服務(wù)器安全策略有哪些？

一、修改windows默認(rèn)的遠(yuǎn)程端口

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了和田免費(fèi)建站歡迎大家使用！

也許有高手認(rèn)為自己做的挺安全的，就算是默認(rèn)端口也不用被入侵以及被破密。其實(shí)修改默認(rèn)的遠(yuǎn)程端口一方面是防止入侵，另外一方面也是防止被掃描影響系統(tǒng)的穩(wěn)定。

有了解過掃描3389軟件的人都知道，一般的攻擊者都是掃描3389端口的，所以改成其它的端口可以防止被掃描到您的主機(jī)。為什么說另外一方面也是防止被掃描3389端口影響到系統(tǒng)的穩(wěn)定呢？如果您的服務(wù)器默認(rèn)是使用3389端口，掃描軟件就會(huì)強(qiáng)力嘗試密碼字典里的密碼，與您的主機(jī)建議很多的連接，占用系統(tǒng)里的資源導(dǎo)致服務(wù)器出現(xiàn)卡的現(xiàn)象。所以修改默認(rèn)的遠(yuǎn)程端口是有幾個(gè)好處的，希望大家重視。

二、修改windows默認(rèn)的用戶名

我們做安全也是針對(duì)攻擊的行為而制作相對(duì)的策略，攻擊的人嘗試密碼破解的時(shí)候，都是使用默認(rèn)的用戶名administrator，當(dāng)你修改了用戶名之后，它猜不出您的用戶名，即使密碼嘗試上千萬次都不會(huì)成功的，如果要使用用戶名字典再加下密碼字典，我估計(jì)攻擊者就沒有那個(gè)心思了，而且也不會(huì)一時(shí)間破密到您的用戶名。所以修改用戶名就會(huì)減低被入侵的可能。

那么修改成什么樣的用戶名才是比較安全呢？個(gè)人建議使用中文再加上數(shù)字再上字母這樣的用戶名就非常強(qiáng)大了。例如： 非誠勿擾ADsp0973

三、使用復(fù)雜的密碼

從掃描以及破解的軟件看，都是使用簡(jiǎn)單的常用的密碼進(jìn)行破解的，例如1q2w3e4r5t或者123456或者12345qwert等簡(jiǎn)單的組合密碼，所以使用這些密碼是非常不安全的。我個(gè)人就建議避免使用簡(jiǎn)單的密碼防止被破解。

建議使用的密碼里包含 大字字母+小字字母+數(shù)字+特殊字符。 長度至少要12以上這樣會(huì)好一些。

如何讓win更安全

“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計(jì)算機(jī)欣賞音樂、上網(wǎng)沖浪、運(yùn)行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全，成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓W(xué)indows Server 2003更加安全。

理解你的角色

理解服務(wù)器角色絕對(duì)是安全進(jìn)程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個(gè)服務(wù)器甚至可以被配置為上述角色的組合。

現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如，如果你的服務(wù)器將作為IIS服務(wù)器，那么你將需要開啟IIS服務(wù)。然而，如果服務(wù)器將作為獨(dú)立的文件或者打印服務(wù)器，啟用IIS服務(wù)則會(huì)帶來巨大的安全隱患。

我之所以在這里談到這個(gè)的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。

因?yàn)橛泻芏鄰?qiáng)化服務(wù)器的方法，所以我將以配置一個(gè)簡(jiǎn)單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟。我將努力指出當(dāng)服務(wù)器角色改變時(shí)你將要做的。請(qǐng)諒解這并不是一個(gè)涵蓋每種角色服務(wù)器的完全指南。

物理安全

為了實(shí)現(xiàn)真正意義上的安全，你的服務(wù)器必須被放置在一個(gè)安全的位置。通常地，這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當(dāng)重要的，因?yàn)楝F(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時(shí)候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點(diǎn)。對(duì)于任何角色的Windows Server 2003，這都是必要的。

創(chuàng)建基線

除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時(shí)候，應(yīng)該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

實(shí)現(xiàn)這一目的最好的方法是創(chuàng)建一個(gè)安全基線(security baseline)。安全基線是文檔和公認(rèn)安全設(shè)置的清單。在大多數(shù)情況下，你的基線會(huì)隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個(gè)不同的基線，以便將它們應(yīng)用到不同類型的服務(wù)器上。例如，你可以為文件服務(wù)器制定一個(gè)基線，為域控制器制定另一個(gè)基線，并為IAS服務(wù)器制定一個(gè)和前兩者都不同的基線。

windows 2003包含一個(gè)叫"安全配置與分析"的工具。這個(gè)工具讓你可以將服務(wù)器的當(dāng)前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。

安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個(gè)體模板最簡(jiǎn)單的方法是使用管理控制臺(tái)(MMC)。

要打開這個(gè)控制 臺(tái)，在RUN提示下輸入MMC命令，在控制臺(tái)加載后，選擇添加/刪除管理單元屬性命令，Windows就會(huì)顯示添加/刪除管理單元列表。點(diǎn)擊"添加"按鈕，你將會(huì)看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點(diǎn)擊添加，關(guān)閉和確認(rèn)按鈕。

在安全模板管理單元加載后，你就可以察看每一個(gè)安全模板了。在遍歷控制臺(tái)樹的時(shí)候，你會(huì)發(fā)現(xiàn)每個(gè)模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個(gè)模板的用途。例如，HISECDC模板就是一個(gè)高安全性的域控制器模板。

如果你正在安全配置一個(gè)文件服務(wù)器，我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時(shí)，你會(huì)發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全，但是不一定能滿足你的需求。某些安全設(shè)置可能過于嚴(yán)格或過于松散。我建議你修改現(xiàn)有的設(shè)置，或是創(chuàng)建一個(gè)全新的策略。通過在控制臺(tái)中右擊C:WINDOWSSecurityTemplates文件夾并在目標(biāo)菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個(gè)新的模板。

在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個(gè)安全配置與分析的管理單元。在這個(gè)管理單元加載后，右擊"安全配置與分析"容器，接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫"命令，點(diǎn)擊"打開"按鈕，你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。

接下來，右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會(huì)看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點(diǎn)擊打開。在模板被導(dǎo)入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計(jì)算機(jī)"命令。Windows將會(huì)提示你寫入錯(cuò)誤日志的.位置，鍵入文件路徑并點(diǎn)擊"確定"。

在這樣的情況下，Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過"安全配置與分析控制臺(tái)"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。

在你可以檢查差異列表的時(shí)候，就是執(zhí)行基于模板安全策略的時(shí)候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計(jì)算機(jī)"命令。這一工具將會(huì)立即修改你計(jì)算機(jī)的安全策略，從而匹配模板策略。

組策略實(shí)際上是層次化的。組策略可以被應(yīng)用到本地計(jì)算機(jī)級(jí)別、站點(diǎn)級(jí)別、域級(jí)別和OU級(jí)別。當(dāng)你實(shí)現(xiàn)基于模板的安全之時(shí)，你正在在修改計(jì)算機(jī)級(jí)別的組策略。其他的組策略不會(huì)受到直接影響，盡管最終策略可能會(huì)反映變化，由于計(jì)算機(jī)策略設(shè)置被更高級(jí)別的策略所繼承。

修改內(nèi)建的用戶賬號(hào)

多年以來，微軟一直在強(qiáng)調(diào)最好重命名Administrator賬號(hào)并禁用Guest賬號(hào)，從而實(shí)現(xiàn)更高的安全。在Windows Server 2003中，Guest 賬號(hào)是缺省禁用的，但是重命名Administrator賬號(hào)仍然是必要的，因?yàn)楹诳屯鶗?huì)從Administrator賬號(hào)入手開始進(jìn)攻。

有很多工具通過檢查賬號(hào)的SID來尋找賬號(hào)的真實(shí)名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測(cè)Administrator賬號(hào)真實(shí)名稱的辦法。即便如此，我還是鼓勵(lì)每個(gè)人重命名Administrator 賬號(hào)并修改賬號(hào)的描述信息，有兩個(gè)原因:

首先，誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號(hào)為一個(gè)獨(dú)特的名稱讓你能更方便的監(jiān)控黑客對(duì)此賬號(hào)的進(jìn)攻。

另一個(gè)技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號(hào)，完全獨(dú)立于域中的管理 員賬號(hào)。你可以配置每個(gè)成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測(cè)出你的本地用戶名和密碼，你肯定不希望他用相同的賬號(hào)侵犯其他的服務(wù)器。當(dāng)然，如果你擁有良好的物理安全，誰也不能使用本地賬號(hào)取得你服務(wù)器的權(quán)限。

服務(wù)賬號(hào)

Windows Server 2003在某種程度上最小化服務(wù)賬號(hào)的需求。即便如此，一些第三方的應(yīng)用程序仍然堅(jiān)持傳統(tǒng)的服務(wù)賬號(hào)。如果可能的話，盡量使用本地賬號(hào)而不是域賬號(hào)作為服務(wù)賬號(hào)，因?yàn)槿绻橙宋锢砩汐@得了服務(wù)器的訪問權(quán)限，他可能會(huì)轉(zhuǎn)儲(chǔ)服務(wù)器的LSA機(jī)密，并泄露密碼。如果你使用域密碼，森林中的任何計(jì)算機(jī)都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶，密碼只能在本地計(jì)算機(jī)上使用，不會(huì)給域帶來任何威脅。

系統(tǒng)服務(wù)

一個(gè)基本原則告訴我們，在系統(tǒng)上運(yùn)行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個(gè)重要安全策略是減少運(yùn)行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時(shí)增強(qiáng)服務(wù)器的性能。

在Windows 2000中，缺省運(yùn)行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場(chǎng)。事實(shí)上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多數(shù)不是絕對(duì)必要的服務(wù)。即使如此，還是有一些有爭(zhēng)議的服務(wù)缺省運(yùn)行。

其中一個(gè)服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計(jì)簡(jiǎn)化用戶的工作。DFS允許管理員創(chuàng)建一個(gè)邏輯的區(qū)域，包含多個(gè)服務(wù)器或分區(qū)的資源。對(duì)于用戶，所有這些分布式的資源存在于一個(gè)單一的文件夾中。

我個(gè)人很喜歡DFS，尤其因?yàn)樗娜蒎e(cuò)和可伸縮特性。然而，如果你不準(zhǔn)備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強(qiáng)的安全性。在我看來，DFS的利大于弊。

另一個(gè)這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強(qiáng)制的服務(wù)，因?yàn)樗軌虮３諷YSVOL文件夾的同步。對(duì)于成員服務(wù)器來說，這個(gè)服務(wù)不是必須的，除非運(yùn)行DFS。

如果你的文件服務(wù)器既不是域控制器，也不使用DFS，我建議你禁用FRS服務(wù)。這么做會(huì)減少黑客在多個(gè)服務(wù)器間復(fù)制惡意文件的可能性。

另一個(gè)需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請(qǐng)求，并在這些請(qǐng)求下控制所有的打印工作。所有的打印操作都離不開這個(gè)服務(wù)，它也是缺省被啟用的。

不是每個(gè)服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器，你應(yīng)該禁用這個(gè)服務(wù)。畢竟，專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地，沒有人會(huì)在服務(wù)器控制臺(tái)工作，因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。

我相信通常在災(zāi)難恢復(fù)操作過程中，打印錯(cuò)誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務(wù)器上簡(jiǎn)單的關(guān)閉這一服務(wù)。

信不信由你，PSS是最危險(xiǎn)的Windows組件之一。有不計(jì)其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動(dòng)機(jī)是因?yàn)樗墙y(tǒng)級(jí)的服務(wù)，因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級(jí)別的特權(quán)。為了防止此類攻擊，還是關(guān)掉這個(gè)服務(wù)吧。

Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實(shí)得到了增強(qiáng)，尤其在安全方面，總體感覺做的還算不錯(cuò).但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server，你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.

剛做完2003,想做網(wǎng)吧服務(wù)器,怎么設(shè)置才能安全

Windows Server 2003 安全性指南介紹

Windows Server 2003安全指南概述

安全性指南概述

更新日期：2003年6月20日

"Windows Server 2003安全指南"旨在提供一套易于理解的指南、工具和模板，幫助用戶維護(hù)一個(gè)安全的Windows Server 2003環(huán)境。盡管該產(chǎn)品在默認(rèn)安裝狀態(tài)下非常安全，但是您仍然可以根據(jù)實(shí)際需要對(duì)大量安全選項(xiàng)進(jìn)行進(jìn)一步配置。該指南不僅提供了安全方面的建議，而且提供了與安全風(fēng)險(xiǎn)有關(guān)的背景信息，說明了這些設(shè)置在減輕安全威脅的同時(shí)，可能會(huì)對(duì)環(huán)境產(chǎn)生的影響。

指南解釋了三種不同環(huán)境所具有的不同需求，以及每一種規(guī)定的服務(wù)器設(shè)置在客戶機(jī)依賴關(guān)系方面所要解決的問題。我們所考慮的三種環(huán)境分別是：舊有客戶機(jī)（Legacy Client）、企業(yè)客戶機(jī)（Enterprise Client）和高安全性（High Security）。

"舊有客戶機(jī)"設(shè)置設(shè)計(jì)用來工作在運(yùn)行Windows Server 2003域控制器和成員服務(wù)器的Active Directory域中，域中還運(yùn)行基于Windows 98、Windows NT 4.0以及其它更新操作系統(tǒng)的客戶機(jī)。

"企業(yè)客戶機(jī)"設(shè)置設(shè)計(jì)用來工作在Windows Server 2003域控制器和成員服務(wù)器的Active Directory域中，域中同時(shí)還運(yùn)行基于Windows 2000、Windows XP以及其它更新操作系統(tǒng)的客戶機(jī)。

"高安全性"設(shè)置也設(shè)計(jì)用來工作在Windows Server 2003域控制器和成員服務(wù)器的Active Directory域中，域中同時(shí)還運(yùn)行基于Windows 2000、Windows XP以及其它更新操作系統(tǒng)的客戶機(jī)。但是，"高安全性"設(shè)置具有很多限制，以致許多應(yīng)用程序無法正常工作，同時(shí)服務(wù)器的性能也會(huì)有輕微的降低，對(duì)服務(wù)器的管理也更具挑戰(zhàn)性。

這些不同級(jí)別的強(qiáng)化措施針對(duì)具有基線安全性的成員服務(wù)器和各種不同的服務(wù)器角色。我們將在下面對(duì)包括在本指南中的文檔進(jìn)行討論。

指南內(nèi)容

出于易用性的考慮，指南的內(nèi)容被劃分為幾個(gè)不同的部分。其中包括安全性指南及其姐妹篇"威脅和對(duì)策：Windows Server 2003 和 Windows XP中的安全設(shè)置"、測(cè)試指南、交付指南和支持指南。

Windows Server 2003安全指南

Windows Server 2003安全指南 分為12章。每一章都建立在一個(gè)端對(duì)端的過程之上，該過程對(duì)于在您的環(huán)境中實(shí)現(xiàn)和維護(hù)wins2的安全來說是必需的。前幾章的內(nèi)容介紹了強(qiáng)化組織中的服務(wù)器所需的基礎(chǔ)知識(shí)，其余章節(jié)則詳細(xì)介紹了強(qiáng)化每種服務(wù)器角色所需進(jìn)行的操作步驟。

第 1 章： Windows Server 2003安全指南介紹

本章介紹了Windows Server 2003安全指南，并且對(duì)每一章的內(nèi)容進(jìn)行了簡(jiǎn)單概述。

第 2 章：配置域的基礎(chǔ)結(jié)構(gòu)

本章解釋了基線域環(huán)境的構(gòu)建方法，以便為保護(hù)Windows Server 2003基礎(chǔ)結(jié)構(gòu)提供指導(dǎo)。本章首先講解了域級(jí)別的安全設(shè)置選項(xiàng)和相應(yīng)對(duì)策。然后對(duì)Microsoft Active Directory?服務(wù)和組織單位（OU）的設(shè)計(jì)方法以及域策略進(jìn)行了深入介紹。

第 3 章：創(chuàng)建成員服務(wù)器基線

本章解釋了指南所定義三種環(huán)境中相關(guān)服務(wù)器角色的安全模板設(shè)置和其它對(duì)策。本章著重介紹了為將在指南后文中進(jìn)行討論的服務(wù)器角色強(qiáng)化建議建立基線環(huán)境的方法。

第 4 章：強(qiáng)化域控制器

在維護(hù)各種Windows Server 2003 Active Directory 環(huán)境的安全性方面，域控制器服務(wù)器角色是最重要的服務(wù)器角色之一。本章重點(diǎn)介紹了隱藏在我們建議采用的域控制器組策略后面的一些安全考慮事項(xiàng)。

第 5 章：強(qiáng)化基礎(chǔ)結(jié)構(gòu)服務(wù)器

在本章中，基礎(chǔ)結(jié)構(gòu)服務(wù)器被定義為動(dòng)態(tài)主機(jī)控制協(xié)議（Dynamic Host Control Protocol，DHCP）服務(wù)器或 Windows Internet名稱服務(wù)（Windows Internet Name Service，WINS）服務(wù)器。本章詳細(xì)介紹了在環(huán)境中的基礎(chǔ)結(jié)構(gòu)服務(wù)器上進(jìn)行安全設(shè)置能夠?yàn)槟鷰淼暮锰?，這些設(shè)置不能通過成員服務(wù)器基線策略（Member Server Baseline Policy，MSBP）得到應(yīng)用。

第 6 章：強(qiáng)化文件服務(wù)器

本章關(guān)注于文件服務(wù)器角色以及對(duì)該服務(wù)器角色進(jìn)行強(qiáng)化將要面臨的困難。本章詳細(xì)展示了對(duì)文件服務(wù)器進(jìn)行安全方面的設(shè)置所能夠?yàn)槟鷰淼囊嫣?，這些安全設(shè)置均無法通過成員服務(wù)器基線策略（MSBP）進(jìn)行應(yīng)用。

第 7 章：強(qiáng)化打印服務(wù)器

打印服務(wù)器是本章所要講述的重點(diǎn)。再一次地，服務(wù)器提供的最重要服務(wù)都需要使用與Windows NetBIOS相關(guān)的協(xié)議。本章詳細(xì)介紹了能夠加強(qiáng)打印服務(wù)器安全性的設(shè)置，這些設(shè)備不能通過成員服務(wù)器基線策略（MSBP）得到應(yīng)用。

第 8 章：強(qiáng)化IIS服務(wù)器

本章各個(gè)小節(jié)詳細(xì)介紹了能夠增強(qiáng)您所在環(huán)境中的IIS服務(wù)器安全性的設(shè)置。我們?cè)诖藦?qiáng)調(diào)了安全監(jiān)視、檢測(cè)和響應(yīng)等工作的重要性，以確保這些服務(wù)器保持安全狀態(tài)。

第 9 章：強(qiáng)化IAS服務(wù)器

Internet Authentication Servers（Internet身份驗(yàn)證服務(wù)，IAS）提供了Radius服務(wù)，這是一種基于標(biāo)準(zhǔn)的身份驗(yàn)證協(xié)議，旨在對(duì)遠(yuǎn)程訪問網(wǎng)絡(luò)的客戶機(jī)身份進(jìn)行鑒別。本章對(duì)IAS Server能夠從中受益的安全設(shè)置進(jìn)行了詳細(xì)介紹，這些設(shè)置不能通過成員服務(wù)器基線策略（MSBP）應(yīng)用到服務(wù)器上。

第 10 章：強(qiáng)化證書服務(wù)服務(wù)器

證書服務(wù)（Certificate Services）為在服務(wù)器環(huán)境中構(gòu)建公共密鑰基礎(chǔ)結(jié)構(gòu)（PKI）提供了所需的加密和證書管理服務(wù)。本章對(duì)證書服務(wù)服務(wù)器能夠從中受益的安全設(shè)置進(jìn)行了詳細(xì)介紹，這些設(shè)置不能通過成員服務(wù)器基線策略（MSBP）應(yīng)用到服務(wù)器上。

第 11 章：強(qiáng)化堡壘主機(jī)

堡壘主機(jī)是客戶機(jī)能夠通過Internet進(jìn)行訪問的服務(wù)器。我們?cè)诒菊轮性敿?xì)介紹了堡壘主機(jī)能夠從中受益的安全設(shè)置，這些設(shè)置不能通過成員服務(wù)器基線策略（MSBP）應(yīng)用到服務(wù)器上，我們同時(shí)還介紹了在基于Active Directory的域環(huán)境中應(yīng)用這些設(shè)置的方法。

第 12 章：結(jié)論

本章對(duì)整個(gè)安全性指南進(jìn)行了總結(jié)，并且通過簡(jiǎn)短的概述性語言對(duì)指南前面各章中的所有要點(diǎn)進(jìn)行了回顧。

威脅和對(duì)策：Windows Server 2003 和 Windows XP中的安全設(shè)置

本指南的目的在于為Microsoft? Windows?操作系統(tǒng)當(dāng)前版本中可以使用的安全設(shè)置提供一個(gè)參考。它是"Windows Server 2003安全指南"的姐妹篇。

對(duì)于我們?cè)谥改现杏懻摰拿恳环N設(shè)置，我們都介紹了該項(xiàng)設(shè)置可以防范的安全性威脅，可以應(yīng)用的不同對(duì)策，以及這些設(shè)置選項(xiàng)對(duì)系統(tǒng)性能可能產(chǎn)生的影響。

測(cè)試指南

本文檔使得實(shí)施了Windows Server 2003安全指南 的企業(yè)能夠?qū)λ麄兊慕鉀Q方案實(shí)現(xiàn)方式進(jìn)行測(cè)試。文檔還介紹了 Windows Server 2003安全指南測(cè)試小組自己在測(cè)試過程中獲得的真實(shí)體驗(yàn)。

本文描述了Windows Server 2003安全指南 測(cè)試工作的范圍、目標(biāo)和策略。文章還介紹了測(cè)試環(huán)境、測(cè)試案例細(xì)節(jié)、發(fā)布標(biāo)準(zhǔn)以及測(cè)試結(jié)果。

交付指南

本指南為商業(yè)規(guī)劃人員、IT系統(tǒng)設(shè)計(jì)人員或者項(xiàng)目經(jīng)理提供了一些一般性信息，為他們實(shí)施本解決方案以及完成部署本解決方案所必須完成的工作、資源類型、相關(guān)知識(shí)以及所需的大概費(fèi)用提出了建議。這些信息將通過通往一般性解決方案框架的指針以及針對(duì)本安全解決方案而專門提供的工具交付給用戶。

支持指南

本文檔的目標(biāo)讀者是那些正在實(shí)施Windows Server 2003安全指南 的部署小組和那些正在為該解決方案提供支持和維護(hù)服務(wù)的客戶。

文檔旨在圍繞解決方案軟件組件的支持方式提供一些信息，其中包括：逐級(jí)提交路徑、支持服務(wù)和資源以及不同的支持服務(wù)級(jí)別。

下載和資源

下載 Windows Server 2003安全指南

下載"威脅和對(duì)策：Windows Server 2003 和 Windows XP中的安全設(shè)置"

提交您的反饋意見

我們希望聽到大家對(duì)本指南的反饋意見。我們特別希望了解大家對(duì)以下主題的反饋意見：

指南中提供的信息對(duì)您有幫助嗎？

指南中介紹的分步操作過程準(zhǔn)確嗎？

指南的各章內(nèi)容的可讀性如何？是否能夠引起您的興趣？

您從整體上如何對(duì)本指南進(jìn)行評(píng)價(jià)？

請(qǐng)將您的反饋意見發(fā)送到以下電子郵件地址：secwish@microsoft.com. 我們期待著您的回音。

windows server2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺(tái)，安全性相對(duì)于windows 2000有大大的提高,但是2003默認(rèn)的安全配置不一定適合我們的需要，所以，我們要根據(jù)實(shí)際情況來對(duì)win2003進(jìn)行全面安全配置。說實(shí)話，安全配置是一項(xiàng)比較有難度的網(wǎng)絡(luò)技術(shù)，權(quán)限配置的太嚴(yán)格，好多程序又運(yùn)行不起，權(quán)限配置的太松，又很容易被黑客入侵，做為網(wǎng)絡(luò)管理員，真的很頭痛，因此，我結(jié)合這幾年的網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)，總結(jié)出以下一些方法來提高我們服務(wù)器的安全性。

第一招：正確劃分文件系統(tǒng)格式，選擇穩(wěn)定的操作系統(tǒng)安裝盤

為了提高安全性，服務(wù)器的文件系統(tǒng)格式一定要?jiǎng)澐殖蒒TFS（新技術(shù)文件系統(tǒng)）格式，它比FAT16、FAT32的安全性、空間利用率都大大的提高，我們可以通過它來配置文件的安全性，磁盤配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了，可以用CONVERT 盤符 /FS：NTFS /V 來把FAT32轉(zhuǎn)換成NTFS格式。正確安裝windows 2003 server，可以直接網(wǎng)上升級(jí),我們安裝時(shí)盡量只安裝我們必須要用的組件，安裝完后打上最新的補(bǔ)丁，到網(wǎng)上升級(jí)到最新版本！保證操作系統(tǒng)本身無漏洞。

第二招：正確設(shè)置磁盤的安全性,具體如下(虛擬機(jī)的安全設(shè)置，我們以asp程序?yàn)槔?重點(diǎn)：

1、系統(tǒng)盤權(quán)限設(shè)置

C:分區(qū)部分：

c:\

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER 全部(只有子文件來及文件)

system 全部(該文件夾，子文件夾及文件)

IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾)

IIS_WPG(該文件夾，子文件夾及文件)

遍歷文件夾/運(yùn)行文件

列出文件夾/讀取數(shù)據(jù)

讀取屬性

創(chuàng)建文件夾/附加數(shù)據(jù)

讀取權(quán)限

c:\Documents and Settings

administrators 全部(該文件夾，子文件夾及文件)

Power Users (該文件夾，子文件夾及文件)

讀取和運(yùn)行

列出文件夾目錄

讀取

SYSTEM全部(該文件夾，子文件夾及文件)

C:\Program Files

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER全部(只有子文件來及文件)

IIS_WPG (該文件夾，子文件夾及文件)

讀取和運(yùn)行

列出文件夾目錄

讀取

Power Users(該文件夾，子文件夾及文件)

修改權(quán)限

SYSTEM全部(該文件夾，子文件夾及文件)

TERMINAL SERVER USER (該文件夾，子文件夾及文件)

修改權(quán)限

2、網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤)

說明：我們假設(shè)網(wǎng)站全部在E盤wwwsite目錄下，并且為每一個(gè)虛擬機(jī)創(chuàng)建了一個(gè)guest用戶，用戶名為vhost1...vhostn并且創(chuàng)建了一個(gè)webuser組，把所有的vhost用戶全部加入這個(gè)webuser組里面方便管理

E:\

Administrators全部(該文件夾，子文件夾及文件)

E:\wwwsite

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

service全部(該文件夾，子文件夾及文件)

E:\wwwsite\vhost1

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

vhost1全部(該文件夾，子文件夾及文件)

3、數(shù)據(jù)備份盤

數(shù)據(jù)備份盤最好只指定一個(gè)特定的用戶對(duì)它有完全操作的權(quán)限。比如F盤為數(shù)據(jù)備份盤，我們只指定一個(gè)管理員對(duì)它有完全操作的權(quán)限

4、其它地方的權(quán)限設(shè)置

請(qǐng)找到c盤的這些文件，把安全性設(shè)置只有特定的管理員有完全操作權(quán)限。

下列這些文件只允許administrators訪問

net.exe

net1.exet

cmd.exe

t

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號(hào)，更改描述

第三招：禁用不必要的服務(wù)，提高安全性和系統(tǒng)效率

Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表

Task scheduler 允許程序在指定時(shí)間運(yùn)行

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫

Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作

Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)

IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序

Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知

Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件

Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)

Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序

Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息

Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序

第四招:修改注冊(cè)表，讓系統(tǒng)更強(qiáng)壯

1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

2、啟動(dòng)系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止響應(yīng)ICMP路由通告報(bào)文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報(bào)文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7.修改終端服務(wù)端口

運(yùn)行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進(jìn)制狀態(tài)下改成你想要的端口號(hào)吧，比如7126之類的，只要不與其它沖突即可。

第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號(hào)和上面改的一樣就行了。

8、禁止IPC空連接：

cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。打開注冊(cè)表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。

9、更改TTL值

cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實(shí)際上你可以自己更改的：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦

10. 刪除默認(rèn)共享

有人問過我一開機(jī)就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認(rèn)共享，必須通過修改注冊(cè)表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可

11. 禁止建立空連接

默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測(cè)密碼。我們可以通過修改注冊(cè)表來禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS

網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議（TCP/IP）屬性-高級(jí)-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。

2. 賬戶安全

首先禁止一切賬戶，除了你自己，呵呵。然后把Administrator改名。我呢就順手又建了個(gè)Administrator賬戶，不過是什么權(quán)限都沒有的那種，然后打開記事本，一陣亂敲，復(fù)制，粘貼到“密碼”里去，呵呵，來破密碼吧~！破完了才發(fā)現(xiàn)是個(gè)低級(jí)賬戶，看你崩潰不？

創(chuàng)建2個(gè)管理員用帳號(hào)

雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。 創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來收信以及處理一些*常事物，另一個(gè)擁有Administrators 權(quán)限的帳戶只在需要的時(shí)候使用?？梢宰尮芾韱T使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內(nèi)容改為META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;"這樣，出錯(cuò)了自動(dòng)轉(zhuǎn)到首頁

4. 安全日志

我遇到過這樣的情況，一臺(tái)主機(jī)被別人入侵了，系統(tǒng)管理員請(qǐng)我去追查兇手，我登錄進(jìn)去一看：安全日志是空的，倒，請(qǐng)記住：Win2000的默認(rèn)安裝是不開任何安全審核的！那么請(qǐng)你到本地安全策略-審核策略中打開相應(yīng)的審核，推薦的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對(duì)象訪問 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪問 失敗

賬戶登錄事件 成功 失敗

審核項(xiàng)目少的缺點(diǎn)是萬一你想看發(fā)現(xiàn)沒有記錄那就一點(diǎn)都沒轍；審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒空去看，這樣就失去了審核的意義

5. 運(yùn)行防毒軟件

我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的，其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級(jí)病毒庫,我們推薦mcafree殺毒軟件+blackice防火墻

6.sqlserver數(shù)據(jù)庫服務(wù)器安全和serv-u ftp服務(wù)器安全配置，更改默認(rèn)端口，和管理密碼

7.設(shè)置ip篩選、用blackice禁止木馬常用端口

一般禁用以下端口：

135 138 139 443 445 4000 4899 7626

8.本地安全策略和組策略的設(shè)置,如果你在設(shè)置本地安全策略時(shí)設(shè)置錯(cuò)了，可以這樣恢復(fù)成它的默認(rèn)值.

打開 %SystemRoot%\Security文件夾,創(chuàng)建一個(gè) "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個(gè)新建的子文件夾中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數(shù)據(jù)庫并將其改名,如改為"Secedit.old".

啟動(dòng)"安全配置和分析"MMC管理單元:"開始"-"運(yùn)行"-"MMC",啟動(dòng)管理控制臺(tái),"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.

右擊"安全配置和分析"-"打開數(shù)據(jù)庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".

當(dāng)系統(tǒng)提示輸入一個(gè)模板時(shí),選擇"Setup Security.inf",單擊"打開".

如果系統(tǒng)提示"拒絕訪問數(shù)據(jù)庫",不管他.

你會(huì)發(fā)現(xiàn)在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數(shù)據(jù)庫重建成功.