Windows服務器安全設置攻略

　　Windows服務器安全策略怎么做？不要覺得這是一個非常深奧遙不可及的問題，其實也是從各個方面去加固系統(tǒng)的安全性而已，它沒有一個定論，今天我和你們分享一下windows服務器基本安全策略保障服務器基本安全的一些簡單實用的加固方法。

　　Windows服務器安全設置攻略1

　　前言

　　其實，在服務器的安全設置方面，我雖然有一些經(jīng)驗，但是還談不上有研究，所以我寫這篇文章的時候心里很不踏實，總害怕說錯了會誤了別人的事。

　　本文更側重于防止ASP漏洞攻擊，所以服務器防黑等方面的講解可能略嫌少了點。

　　基本的服務器安全設置

　　安裝補丁

　　安裝好操作系統(tǒng)之后，最好能在托管之前就完成補丁的安裝，配置好網(wǎng)絡后，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然后點擊開始→WindowsUpdate，安裝所有的關鍵更新。

　　安裝殺毒軟件

　　雖然殺毒軟件有時候不能解決問題，但是殺毒軟件避免了很多問題。我一直在用諾頓2004，據(jù)說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機好，不過我沒用過。

　　不要指望殺毒軟件殺掉所有的木馬，因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。

　　設置端口保護和防火墻、刪除默認共享

　　都是服務器防黑的措施，即使你的服務器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區(qū)，大概知道屏蔽端口用本地安全策略，不過這方面的東西網(wǎng)上攻略很多，大家可以擻出來看看，晚些時候我或者會復制一些到我的網(wǎng)站上。

　　權限設置

　　阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優(yōu)秀的權限設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

　　權限設置的原理

　　WINDOWS用戶，在WINNT系統(tǒng)中大多數(shù)時候把權限按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統(tǒng)用戶和用戶組。

　　NTFS權限設置，請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū)，然后我們可以確定每個分區(qū)對每個用戶開放的權限。【文件（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）權限。

　　IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現(xiàn)在暫且把它叫“IIS匿名用戶”），當用戶訪問你的網(wǎng)站的.ASP文件的時候，這個.ASP文件所具有的權限，就是這個“IIS匿名用戶”所具有的權限。

　　權限設置的思路

　　要為每個獨立的要保護的個體（比如一個網(wǎng)站或者一個虛擬目錄）創(chuàng)建一個系統(tǒng)用戶，讓這個站點在系統(tǒng)中具有惟一的可以設置權限的身份。

　　在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個用戶名。

　　設置所有的分區(qū)禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父權限，并且要加上超管組和SYSTEM組）。

　　這樣設置了之后，這個站點里的ASP程序就只有當前這個文件夾的權限了，從探針上看，所有的硬盤都是紅叉叉。

　　我的設置方法

　　我是先創(chuàng)建一個用戶組，以后所有的站點的用戶都建在這個組里，然后設置這個組在各個分區(qū)沒有權限或者完全拒絕。然后再設置各個IIS用戶在各在的文件夾里的權限。

　　因為比較多，所以我很不想寫，其實知道了上面的原理，大多數(shù)人都應該懂了，除非不知道怎么添加系統(tǒng)用戶和組，不知道怎么設置文件夾權限，不知道IIS站點屬性在那里。真的'有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，如果我有空，我會寫我的具體設置方法，很傲能還會配上圖片。

　　改名或卸載不安全組件

　　不安全組件不驚人

　　我的在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發(fā)現(xiàn)他的服務器支持很多不安全組件。

　　其實，只要做好了上面的權限設置，那么FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的權限。那個歡樂時光更不用怕，有殺毒軟件在還怕什么時光啊。

　　最危險的組件是WSH和Shell，因為它可以運行你硬盤里的EXE等程序，比如它可以運行提升程序來提升SERV-U權限甚至用SERVU來運行更高權限的系統(tǒng)程序。

　　謹慎決定是否卸載一個組件

　　組件是為了應用而出現(xiàn)的，而不是為了不安全而出現(xiàn)的，所有的組件都有它的用處，所以在卸載一個組件之前，你必須確認這個組件是你的網(wǎng)站程序不需要的，或者即使去掉也不關大體的。否則，你只能留著這個組件并在你的ASP程序本身上下工夫，防止別人進來，而不是防止別人進來后SHELL。

　　比如，F(xiàn)SO和XML是非常常用的組件之一，很多程序會用到他們。WSH組件會被一部分主機管理程序用到，也有的打包程序也會用到。

　　卸載最不安全的組件

　　最簡單的辦法是直接卸載后刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，(以下均以WIN2000為例，如果使用2003，則系統(tǒng)文件夾應該是C:WINDOWS)

　　regsvr32/uC:WINNTSystem32wshom.ocx

　　delC:WINNTSystem32wshom.ocx

　　regsvr32/uC:WINNTsystem32shell32.dll

　　delC:WINNTsystem32shell32.dll

　　然后運行一下，WScript.Shell,Shell.application,WScript.Network就會被卸載了�？赡軙�提示無法刪除文件，不用管它，重啟一下服務器，你會發(fā)現(xiàn)這三個都提示“×安全”了。

　　改名不安全組件

　　需要注意的是組件的名稱和Clsid都要改，并且要改徹底了。下面以Shell.application為例來介紹方法。

　　打開注冊表編輯器【開始→運行→regedit回車】，然后【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。為了確保萬無一失，把這兩個注冊表項導出來，保存為.reg文件。

　　比如我們想做這樣的更改

　　13709620-C279-11CE-A49E-444553540000改名為13709620-C279-11CE-A49E-444553540001

　　Shell.application改名為Shell.application_ajiang

　　那么，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然后把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名后的注冊表項之后，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數(shù)字和ABCDEF六個字母。

　　下面是我修改后的代碼（兩個文件我合到一起了）：

　　WindowsRegistryEditorVersion5.00

　　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

　　@="ShellAutomationService"

　　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

　　@="C:WINNTsystem32shell32.dll"

　　"ThreadingModel"="Apartment"

　　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

　　@="Shell.Application_ajiang.1"

　　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

　　@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

　　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

　　@="1.1"

　　[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

　　@="Shell.Application_ajiang"

　　[HKEY_CLASSES_ROOTShell.Application_ajiang]

　　@="ShellAutomationService"

　　[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

　　@="{13709620-C279-11CE-A49E-444553540001}"

　　[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

　　@="Shell.Application_ajiang.1"

　　你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

　　防止列出用戶組和系統(tǒng)進程

　　我在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

　　【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

　　防止Serv-U權限提升

　　其實，注銷了Shell組件之后，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

　　用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字符就可以了，ServUAdmin.exe也一樣處理。

　　另外注意設置Serv-U所在的文件夾的權限，不要讓IIS匿名用戶有讀取的權限，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

　　利用ASP漏洞攻擊的常見方法及防范

　　一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了權限，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然后用木馬上傳提升工具來獲得更高的權限，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

　　如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網(wǎng)論壇并且數(shù)據(jù)庫忘記了改名，人家就可以直接下載你的數(shù)據(jù)庫了，然后距離找到論壇管理員密碼就不遠了。

　　作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網(wǎng)站被黑客進入。另外就是防止攻擊者使用一個被黑的網(wǎng)站來控制整個服務器，因為如果你的服務器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些權限設置和防提升之后，黑客就算是進入了一個站點，也無法破壞這個網(wǎng)站以外的東西。

　　后記

　　也許有安全高手或者破壞高手看了我的文章會嘲笑或者竊喜，但我想我的經(jīng)驗里畢竟還是存在很多正確的地方，有千千萬萬的比我知道的更少的人像我剛開始完全不懂的時候那樣在渴求著這樣一篇文章，所以我必須寫，我不管別人怎么說我，我也不怕后世會有千千萬萬的人對我唾罵，我一個人承擔下來，我也沒有娘子需要交代的……

　　因為這其實只是拋磚引玉的做法，從別人的笑聲中，我和我的讀者們都可以學到更多有用的東西。

　　Windows服務器安全設置攻略2

　　Windows服務器是Microsoft Windows Server System（WSS）的核心，Windows 的服務器操作系統(tǒng)。每個Windows服務器都與其家用（工作站）版對應（2003 R2除外）。

　　1)、系統(tǒng)安全基本設置

　　1.安裝說明：系統(tǒng)全部NTFS格式化，重新安裝系統(tǒng)（采用原版win2003）,安裝殺毒軟件(Mcafee)，并將殺毒軟件更新，安裝sp2補釘，安裝IIS（只安裝必須的組件）,安裝SQL2000，安裝.net2.0,開啟防火墻。并將服務器打上最新的補釘。

　　2)、關閉不需要的服務

　　Computer Browser:維護網(wǎng)絡計算機更新，禁用

　　Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用

　　Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用

　　Error reporting service：禁止發(fā)送錯誤報告

　　Microsoft Serch：提供快速的單詞搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果沒有打印機可禁用

　　Remote Registry：禁止遠程修改注冊表

　　Remote Desktop Help Session Manager：禁止遠程協(xié)助 其他服務有待核查

　　3)、設置和管理賬戶

　　1、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復雜的密碼

　　2、系統(tǒng)管理員賬戶最好少建，更改默認的管理員帳戶名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于10位

　　3、新建一個名為Administrator的陷阱帳號，為其設置最小的權限，然后隨便輸入組合的最好不低于20位的密碼

　　4、計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效 時間為30分鐘

　　5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用

　　6、 在安全設置-本地策略-用戶權利分配中將“從網(wǎng)絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶,Aspnet賬戶

　　7、創(chuàng)建一個User賬戶，運行系統(tǒng)，如果要運行特權命令使用Runas命令。

　　4）、打開相應的審核策略

　　審核策略更改:成功

　　審核登錄事件:成功,失敗

　　審核對象訪問:失敗

　　審核對象追蹤:成功,失敗

　　審核目錄服務訪問:失敗

　　審核特權使用:失敗

　　審核系統(tǒng)事件:成功,失敗

　　審核賬戶登錄事件:成功,失敗

　　審核賬戶管理:成功,失敗

　　5）、 其它安全相關設置

　　1、禁止C$、D$、ADMIN$一類的缺省共享

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的 窗口中新建Dword值，名稱設為AutoShareServer值設為0

　　2、解除NetBios與TCP/IP協(xié)議的綁定

　　右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的 NETBIOS

　　3、隱藏重要文件/目錄

　　可以修改注冊表實現(xiàn)完全隱藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠標右擊“CheckedValue”，選擇修改，把數(shù)值由1改為0

　　4、防止SYN洪水攻擊

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為SynAttackProtect，值為2

　　5、 禁止響應ICMP路由通告報文

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0

　　6. 防止ICMP重定向報文的攻擊

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設為0

　　7、 不支持IGMP協(xié)議

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為IGMPLevel 值為0

　　8、禁用DCOM：運行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節(jié)點”下的“組件服務”。 打開“計算機”子 文件夾。

　　對于本地計算機，請以右鍵單擊“我的電腦”，然后選擇“屬 性”。選擇“默認屬性”選項卡。清除“在這臺計算機上啟用分布式 COM”復選框。

　　9、終端服務的默認端口為3389，可考慮修改為別的端口。

　　修改方法為： 服務器端：打開注冊表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations” 處找到類似RDP-TCP的子鍵，修改PortNumber值。 客戶端：按正常步驟建一個客戶端連接，選中這個連接，在“文件”菜單中選擇導出，在指定位置會 生成一個后綴為.cns的文件。打開該文件，修改“Server Port”值為與服務器端的PortNumber對應的 值。然后再導入該文件（方法：菜單→文件→導入），這樣客戶端就修改了端口。

　　6）、配置 IIS 服務

　　1、不使用默認的Web站點，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

　　2、刪除IIS默認創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。

　　3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。

　　4、刪除不必要的IIS擴展名映射�！　∮益I單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映 射。主要為.shtml, .shtm, .stm

　　5、更改IIS日志的路徑　右鍵單擊“默認Web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性

　　6、如果使用的是2000可以使用iislockdown來保護IIS，在2003運行的IE6.0的版本不需要。

　　7、使用UrlScan

　　UrlScan是一個ISAPI篩選器，它對傳入的HTTP數(shù)據(jù)包進行分析并可以拒絕任何可疑的通信量。 目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本�！　∪绻麤]有特殊的要求采用UrlScan默認配置就可以了。

　　但如果你在服務器運行ASP.NET程序，并要進行調試你需打開要 %WINDIR%System32InetsrvURLscan，文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節(jié)添 加debug謂詞，注意此節(jié)是區(qū)分大小寫的。

　　如果你的網(wǎng)頁是.asp網(wǎng)頁你需要在DenyExtensions刪除.asp相關的內容。

　　如果你的.網(wǎng)頁使用了非ASCII代碼，你需要在Option節(jié)中將AllowHighBitCharacters的值設為1 　　在對URLScan.ini 文件做了更改后，你需要重啟IIS服務才能生效，快速方法運行中輸入iisreset 　　如果你在配置后出現(xiàn)什么問題，你可以通過添加/刪除程序刪除UrlScan。

　　8、利用WIS (Web Injection Scanner)工具對整個網(wǎng)站進行SQL Injection 脆弱性掃描.

　　7）、配置Sql服務器

　　1、System Administrators 角色最好不要超過兩個

　　3、不要使用Sa賬戶，為其配置一個超級復雜的密碼

　　4、刪除以下的擴展存儲過程格式為：

　　use master sp_dropextendedproc '擴展存儲過程名'

　　xp_cmdshell：是進入操作系統(tǒng)的最佳捷徑，刪除訪問注冊表的存儲過程，

　　刪除

　　Xp_regaddmultistring　　Xp_regkey　　Xp_regvalue　　Xp_regenumvalues 　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

　　OLE自動存儲過程，不需要刪除

　　Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty 　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

　　5、隱藏 SQL Server、更改默認的1433端口

　　右擊實例選屬性-常規(guī)-網(wǎng)絡配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實例，并改原默 認的1433端口。

　　8）、修改系統(tǒng)日志保存地址 默認位置為 應用程序日志、安全日志、系統(tǒng)日志、DNS日志默認位置：%systemroot%system32config，默認 文件大小512KB，管理員都會改變這個默認大小。

　　安全日志文件：%systemroot%system32configSecEvent.EVT 系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT 應用程序日志文件：%systemroot%system32configAppEvent.EVT Internet信息服務FTP日志默認位置：%systemroot%system32logfilesmsftpsvc1，默認每天一個日 志 Internet信息服務WWW日志默認位置：%systemroot%system32logfilesw3svc1，默認每天一個日 志 Scheduler(任務計劃)服務日志默認位置：%systemroot%schedlgu.txt 應用程序日志，安全日志，系統(tǒng)日志，DNS服務器日志，它們這些LOG文件在注冊表中的： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog Schedluler(任務計劃)服務日志在注冊表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0

　　禁止管理共享admin$,c$,d$之類默認共享 [HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動

　　9）、本地安全策略

　　1．只開放服務需要的端口與協(xié)議。 具體方法為：按順序打開“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級→選項→ TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務開設口，常用的TCP 口有：80口用于Web服務；21用于FTP服務；25口用于SMTP；23口用于Telnet服務；110口 用于POP3。常用的UDP端口有：53口－DNS域名解析服務；161口－snmp簡單的網(wǎng)絡管理協(xié)議。 8000、4000用于OICQ，服務器用8000來接收信息，客戶端用4000發(fā)送信息。 封TCP端口: 21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導) 封UDP端口:1434(這個就不用說了吧) 封所有ICMP,即封PING 以上是最常被掃的端口,有別的同樣也封,當然因為80是做WEB用的

　　2、禁止建立空連接 默認情況下，任何用戶可通過空連接連上服務器，枚舉賬號并猜測密碼�？者B接用的端口是139， 通過空連接，可以復制文件到遠端服務器，計劃執(zhí)行一個任務，這就是一個漏洞�？梢酝ㄟ^以下兩 種方法禁止建立空連接：

　�。�1） 修改注冊表中　Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous 的值為1。

　　（2） 修改Windows 2000的本地安全策略。設置“本地安全策略→本地策略→選項”中的 RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。 首先，Windows 2000的默認安裝允許任何用戶通過空連接得到系統(tǒng)所有賬號和共享列表，這本來 是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時任何一個遠程用戶也可以通過同樣的方法得 到您的用戶列表，并可能使用暴力法破解用戶密碼給整個網(wǎng)絡帶來破壞。很多人都只知道更改注冊 表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止空用戶連接， 實際上Windows 2000的本地安全策略里（如果是域服務器就是在域服務器安全和域安全策略里） 就有RestrictAnonymous選項，其中有三個值：“0”這個值是系統(tǒng)默認的，沒有任何限制，遠程用戶 可以知道您機器上所有的賬號、組信息、共享目錄、網(wǎng)絡傳輸列表(NetServerTransportEnum)等；“1” 這個值是只允許非NULL用戶存取SAM賬號信息和共享信息；“2”這個值只有Windows 2000才支 持，需要注意的是，如果使用了這個值，就不能再共享資源了，所以還是推薦把數(shù)值設為“1”比較 好。

　　10)、防止asp木馬

　　1、基于FileSystemObject組件的asp木馬

　　cacls %systemroot%system32scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //刪除

　　2．基于shell.application組件的asp木馬

　　cacls %systemroot%system32shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //刪除

　　3．將圖片文件夾的權限設置為不允許運行。

　　4.如果網(wǎng)站中不存在有asp的話，禁用asp

　　11）、防止SQL注入

　　1．盡量使用參數(shù)化語句

　　2．無法使用參數(shù)化的SQL使用過濾。

　　3．網(wǎng)站設置為不顯示詳細錯誤信息，頁面出錯時一律跳轉到錯誤頁面。

　　4.不要使用sa用戶連接數(shù)據(jù)庫

　　5、新建一個public權限數(shù)據(jù)庫用戶，并用這個用戶訪問數(shù)據(jù)庫 6、[角色]去掉角色public對sysobjects與syscolumns對象的select訪問權限。

　　注意：

　　最后強調一下，以上設置可能會影響到有些應用服務，例如導至不能連接上遠程服務器，因此建議，以上設置首先在本地機器或虛擬機(VMware Workstation)上做好設置，確定沒事之后然后再在服務器上做

　　Windows服務器安全設置攻略3

　　一、禁用Guest賬戶

　　Guest賬戶為黑客入侵打開了方便之門，黑客使用Guest賬戶可以進行提權。禁用Guest賬戶是很好的選擇。

　　打開“開始——管理工具——計算機管理——本地用戶和組——用戶——Guest，右鍵打開屬性，打勾“賬戶已禁用”，最后點擊應用和確定即可禁用Guest賬戶

　　二、密碼策略

　　操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理，用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換密碼。

　　進入“開始——管理工具——本地安全策略”，在“帳戶策略——密碼策略”;

　　“密碼必須符合復雜度要求” 設置為“啟用”

　　“密碼長度最小值”設置為“8-12個字符”

　　“密碼最長使用期限”設置為“90天”

　　“強制密碼歷史”設置為“記住5個密碼”

　　“用可以還原的加密來存儲密碼”設置為“禁用”

　　三、連續(xù)登錄失敗賬戶鎖定策略

　　應啟用登錄失敗鎖定功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施。對于采用靜態(tài)口令認證技術的服務器，應設置當用戶連續(xù)登錄失敗次數(shù)超過5 次(不含5 次)，鎖定該用戶使用的賬號**分鐘。

　　比如連續(xù)登錄失敗超過5次，鎖定該用戶賬號15分鐘

　　進入“開始——管理工具——本地安全策略”，在“帳戶策略——帳戶鎖定策略”：

　　“賬戶鎖定時間”設置為15分鐘

　　“賬戶額鎖定閥值”設置為5 次

　　“復位賬戶鎖定計數(shù)器”設置為15分鐘

　　四、日志審核策略

　　審核內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件。在主機的審核策略上設置日志審核策略，進入“開始 ——管理工具——本地安全策略”，在“本地策略——審核策略”在主機的審核策略上設置日志審核策略：

　　審計帳戶登錄事件： 成功，失敗

　　審計帳戶管理： 成功，失敗

　　審計目錄服務訪問： 成功，失敗

　　審計登錄事件： 成功，失敗

　　審計對象訪問： 成功，失敗

　　審計策略更改： 成功，失敗

　　審計特權使用： 成功，失敗

　　審計系統(tǒng)事件： 成功，失敗

　　審計過程追蹤： 成功，失敗

　　五、設置不顯示最后的用戶名

　　在本地安全設置系統(tǒng)登錄時不顯示最后的用戶名。

　　進入“開始——管理工具——本地安全策略”，在“本地策略——安全選項”

　　“交互式登錄：不顯示最后的用戶名”設置為“已啟用”

　　六、啟用主機安全選項的”關機前清除虛擬內存頁面”

　　應確保系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的 存儲空間，被釋放或重新分配 給其他用戶前得到完全清除。

　　進入“開始——管理工具——本地安全策略”，在本地策略——安全選項

　　“關機：清除虛擬頁面文件內存”設置為“已啟用”

　　七、配置日志文件大小

　　配置日志文件容量，避免受到未預期的`刪除、修改或覆蓋等

　　進入“開始——管理工具——計算機管理——事件查看器——windows日志-系統(tǒng)，右鍵屬性

　　八、磁盤配額配置

　　磁盤配額可以限制指定賬戶能夠使用的磁盤空間,這樣可以避免因某個用戶的過度使用磁盤空間造成其他用戶無法正常工作甚至影響系統(tǒng)運行

　　進入“我的電腦——C盤——屬性——配額”

　　“啟用磁盤管理”設置為啟用

　　“磁盤空間限制為”設置為”90GB”

　　“將警告等級設為”設置為”90GB”

　　“用戶超出配額限制時記錄事件(G)”打勾

　　“用戶超過警告等級時記錄事件(V)” 打勾

　　九、遠程會話策略

　　默認情況下，遠程桌面服務允許用戶從遠程桌面服務會話斷開連接，而不用注銷和結束會話。啟用此策略設置，則達到指定時間后將從服務器中刪除已斷開連接的會話

　　進入運行——gpedit.msc——計算機配置——管理模板——wondows組件——遠程服務——遠程桌面會話主機——會話時間限制

　　“設置已中斷會話的時間限制”設置為“已啟用”

　　“結束已斷開連接的會話”設置為“5分鐘”

　　十、強制啟用SSL

　　當為服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

　　打開“運行-輸入命令 【gpedit.msc】-本地組策略編輯器—計算機配置—管理模板—windows 組件—遠程桌面服務—遠程桌面會話主機—安全

　　啟用“設置客戶端連接加密級別”，將加密等級設置為高級。

　　啟用“遠程（RDP）連接要求使用指定的安全層”安全層選擇SSL。

　　Windows服務器安全設置攻略4

　　一、取消文件夾隱藏共享在默認狀態(tài)下，Windows 2000/XP會開啟所有分區(qū)的隱藏共享，從“控制面板/管理工具/計算機管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”，就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”。但是只要鍵入“計算機名或者IPC$”，系統(tǒng)就會詢問用戶名和密碼，遺憾的是，大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空，入侵者可以輕易看到C盤的內容，這就給網(wǎng)絡安全帶來了極大的隱患。

　　怎么來消除默認共享呢?方法很簡單，打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個名為“AutoShareWKs”的雙字節(jié)值，并將其值設為“0”，然后重新啟動電腦，這樣共享就取消了。關閉“文件和打印共享”文件和打印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，我們可以將它關閉。用鼠標右擊“網(wǎng)絡鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對話框中的兩個復選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協(xié)議對于服務器來說，只安裝TCP/IP協(xié)議就夠了。鼠標右擊“網(wǎng)絡鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協(xié)議的NETBIOS關閉，避免針對NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級”，進入“高級TCP/IP設置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關閉NETBIOS。四、禁用不必要的服務:Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠程修改注冊表)Server(文件共享)Task Scheduler(計劃任務)TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

　　Administrator帳戶擁有最高的系統(tǒng)權限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

　　首先是為Administrator帳戶設置一個強大復雜的密碼(個人建議至少12位)，然后我們重命名Administrator帳戶，再創(chuàng)建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權限的.。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規(guī)”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。七、防范木馬程序

　　木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

　　● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預防的作用。

　　● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運行項目，如果有，刪除即可。

　　● 將注冊表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務，還需要對IIS服務進行安全配置：

　　(1) 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

　　(2) 刪除原默認安裝的Inetpub目錄。(或者更改文件名)

　　(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應的審核。系統(tǒng)提供了九類可以審核的事件，對于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對象訪問：失敗事件過程追蹤：根據(jù)需要選用目錄服務訪問：失敗事件特權使用：失敗事件系統(tǒng)事件：成功和失敗賬戶登錄事件：成功和失敗賬戶管理：成功和失敗十、安裝必要的安全軟件

　　我們還應在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網(wǎng)時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。當然我們也不應安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統(tǒng)打上補丁，微軟那些沒完沒了的補丁還是很有用的。

　　Windows服務器安全設置攻略5

　　1.系統(tǒng)補丁的更新

　　點擊開始菜單—>所有程序—>Windows Update

　　按照提示進行補丁的安裝。

　　2.修改遠程桌面端口：將默認端口3389改為XXXX。如何修改遠程桌面端口可以參考 “服務器安全策略之《修改遠程桌面端口》”

　　3.帳戶：對系統(tǒng)管理員默認帳戶administrator進行重命名，停用guest用戶。

　　4.共享和發(fā)現(xiàn)

　　右鍵“網(wǎng)絡”-屬性-更改高級共享設置--共享和發(fā)現(xiàn)

　　關閉，網(wǎng)絡共享，文件共享，公用文件共享，打印機共享所有

　　5.防火墻的設置

　　控制面板→Windows防火墻設置（啟動防火墻）→更改設置→例外，勾選FTP、HTTP、遠程桌面服務 核心網(wǎng)絡 HTTPS 3306：Mysql 1433：Mssql；

　�。�1）取消網(wǎng)絡連接中的文件和打印共享。

　�。�2）在例外里面添加遠程桌面端口XXX。否則無法在本地遠程連接桌面

　　（3）在防火墻高級設置時勾選Web 服務和安全的Web服務。

　�。�4）在防火墻開放FTP端口XX。

　�。�5）開放短信發(fā)送平臺端口：XXX

　　默認開啟防火墻后ping命令是禁止的，開啟方法如下：

　　方法1：命令行模式

　　進入服務器后 點擊 開始——運行 輸入命令：

　　netsh firewall set icmpsetting 8 這樣就可以在外部ping到服務器了 非常簡單實用！

　　同樣道理，如果想禁止Ping，那運行如下命令即可實現(xiàn)：

　　netsh firewall set icmpsetting 8 disable

　　方法2：防火墻高級面板方式

　　1. 進入控制面板——>管理工具——>找到 “高級安全 Windows防火墻”

　　2. 點擊 入站規(guī)則

　　3. 找到 回顯請求-ICMPv4-In （Echo Request – ICMPv4-In）

　　4. 右鍵 點擊規(guī)則 點擊“啟用規(guī)則（Enable）”

　　禁止ping的方法相同

　　6.禁用不需要的和危險的服務，以下列出服務都需要禁用。

　　打開 控制面板--管理工具--服務（或通過命令services.msc）

　　Distributed linktracking client 用于局域網(wǎng)更新連接信息

　　PrintSpooler 打印服務

　　Remote Registry 遠程修改注冊表

　　Server 計算機通過網(wǎng)絡的文件、打印、和命名管道共享 （關閉會啟動時會報錯）

　　TCP/IP NetBIOS Helper 提供

　　TCP/IP (NetBT) 服務上的

　　NetBIOS 和網(wǎng)絡上客戶端的

　　NetBIOS 名稱解析的.支持

　　Workstation 泄漏系統(tǒng)用戶名列表 與Terminal Services Configuration 關聯(lián)

　　Computer Browser 維護網(wǎng)絡計算機更新 默認已經(jīng)禁用

　　Net Logon 域控制器通道管理 默認已經(jīng)手動

　　Remote Procedure Call (RPC) Locator RpcNs*遠程過程調用 (RPC) 默認已經(jīng)手動

　　刪除服務sc MySql

　　7.禁止IPC空連接：打開注冊表，找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個值改成”1”即可。

　　8.刪除默認共享：打開注冊表，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters，新建 AutoShareServer類型是REG_DWORD把值改為0。

　　9.組策略配置:gpedit—>計算機配置—>windows設置—>安全設置—>本地策略。

　�。�1）在用戶權利分配下，從通過網(wǎng)絡訪問此計算機中刪除Power Users和Backup Operators;

　�。�2）啟用不允許匿名訪問SAM帳號和共享;

　�。�3）啟用不允許為網(wǎng)絡驗證存儲憑據(jù)或Passport;

　　（4）從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

　�。�5）啟用交互登錄：不顯示上次的用戶名;

　�。�6）啟用在下一次密碼變更時不存儲LANMAN哈希值;

　�。�7）禁止IIS匿名用戶在本地登錄。

　　10.本地安全策略設置:

　　開始菜單—>管理工具—>本地安全策略

　　A、本地策略——>審核策略

　　（1）審核策略更改　成功　失敗

　�。�2）審核登錄事件　成功　失敗

　�。�3）審核對象訪問失敗

　�。�4）審核過程跟蹤　無審核

　�。�5）審核目錄服務訪問失敗

　�。�6）審核特權使用失敗

　�。�7）審核系統(tǒng)事件　成功　失敗

　�。�8）審核賬戶登錄事件　成功　失敗

　　（9）審核賬戶管理　成功　失敗

　　注：在設置審核登陸事件時選擇記失敗，這樣在事件查看器里的安全日志就會記錄登陸失敗的信息。

　　B、本地策略——>用戶權限分配

　　（1）關閉系統(tǒng)：只有Administrators組、其它全部刪除。

　�。�2）通過終端服務拒絕登陸：加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger

　�。�3）通過終端服務允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除

　　C、本地策略——>安全選項

　　交互式登陸：不顯示最后的用戶名　　　　　　　 啟用

　　網(wǎng)絡訪問：不允許SAM帳戶的匿名枚舉　　 　　 啟用 已經(jīng)啟用

　　網(wǎng)絡訪問：不允許SAM帳戶和共享的匿名枚舉　　 啟用

　　網(wǎng)絡訪問：不允許儲存網(wǎng)絡身份驗證的憑據(jù)　　　 啟用

　　網(wǎng)絡訪問：可匿名訪問的共享　　　　　　　　　內容全部刪除

　　網(wǎng)絡訪問：可匿名訪問的命名管道　　　　　　　內容全部刪除

　　網(wǎng)絡訪問：可遠程訪問的注冊表路徑　　　　　　內容全部刪除

　　網(wǎng)絡訪問：可遠程訪問的注冊表路徑和子路徑　　內容全部刪除

　　帳戶：重命名來賓帳戶　　　　　　　　　　　　這里可以更改guest帳號

　　帳戶：重命名系統(tǒng)管理員帳戶　　　　　　　　　這里可以更改Administrator帳號

　　D：本地策略>軟件限制策略>其它規(guī)則

　　新建規(guī)則不允許運行以下文件: scrrun.dll,shell.dll，QQ.exe,thunder.exe,telnet.exe等等。隨著維護的深入，逐步追加服務器不需要運行的應用程序。

　　11.新建一無任何權限的假Administrator賬戶

　　管理工具→計算機管理→系統(tǒng)工具→本地用戶和組→用戶

　　新建一個Administrator帳戶作為陷阱帳戶，設置超長密碼，并去掉所有用戶組

　　更改描述：管理計算機(域)的內置帳戶

　　安全策略的作用

　　對服務器進行以上的設置和相關策略的制定，可以有效的增加服務器的自身防御能力，防止黑客利用常見的攻擊手段和方法對服務器進行入侵和破壞。

【W(wǎng)indows服務器安全設置攻略】相關文章：

windows2003服務器IIS設置方法04-21

Windows7系統(tǒng)安全設置08-09

Windows 2003的安裝攻略10-14

淺談Windows XP關機加速設置07-21

windows防火墻設置端口10-12

windows設置定時開機的幾種方法04-21

windows xp怎么設置網(wǎng)絡共享02-24

如何開啟與設置Windows 8防火墻08-19

Windows7系統(tǒng)恢復出廠設置07-26