本配置僅適合Win2003，部分內容也適合于Win2000。很多人覺得3389不安全，其實只要設置好，密碼夠長，攻破3389也不是件容易的事情，我覺得別的遠程軟件都很慢，還是使用了3389連接。

　　經測試，本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的單服務器多網站中一切正常。以下配置中打勾的為推薦進行配置，打叉的為可選配置。

　　一、系統權限的設置

　　1、磁盤權限

　　系統盤只給 Administrators 組和 SYSTEM 的完全控制權限

　　其他磁盤只給 Administrators 組完全控制權限

　　系統盤Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限

　　系統盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限

　　系統盤windowssystem32config 禁止guests組

　　系統盤Documents and SettingsAll Users「開始」菜單程序 禁止guests組

　　系統盤windownssystem32inetsrvdata 禁止guests組

　　系統盤WindowsSystem32 at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權限

　　系統盤WindowsSystem32 cmd.exe、format.com 僅 Administrators 組完全控制權限

　　把所有（Windowssystem32和WindowsServicePackFilesi386） format.com 更名為 format_nowayh.com

　　2、本地安全策略設置

　　開始菜單->管理工具->本地安全策略

　　A、本地策略-->審核策略

　　審核策略更改　成功　失敗

　　審核登錄事件　成功　失敗

　　審核對象訪問失敗

　　審核過程跟蹤　無審核

　　審核目錄服務訪問失敗

　　審核特權使用失敗

　　審核系統事件　成功　失敗

　　審核賬戶登錄事件　成功　失敗

　　審核賬戶管理　成功　失敗

　　B、本地策略-->用戶權限分配

　　關閉系統：只有Administrators組、其它全部刪除。

　　通過終端服務拒絕登陸：加入Guests組

　　通過終端服務允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除

　　C、本地策略-->安全選項

　　交互式登陸：不顯示上次的用戶名　啟用

　　網絡訪問：不允許SAM帳戶和共享的匿名枚舉 啟用

　　網絡訪問：不允許為網絡身份驗證儲存憑證　啟用

　　網絡訪問：可匿名訪問的共享　全部刪除

　　網絡訪問：可匿名訪問的命全部刪除

　　網絡訪問：可遠程訪問的注冊表路徑全部刪除

　　網絡訪問：可遠程訪問的注冊表路徑和子路徑全部刪除

　　帳戶：重命名來賓帳戶重命名一個帳戶

　　帳戶：重命名系統管理員帳戶　重命名一個帳戶

　　D、賬戶策略-->賬戶鎖定策略

　　將賬戶設為“5次登陸無效”，“鎖定時間為30分鐘”，“復位鎖定計數設為30分鐘”

　　二、其他配置

　　√·把Administrator賬戶更改

　　管理工具→本地安全策略→本地策略→安全選項

　　√·新建一無任何權限的假Administrator賬戶

　　管理工具→計算機管理→系統工具→本地用戶和組→用戶

　　更改描述：管理計算機(域)的內置帳戶

　　×·重命名IIS來賓賬戶

　　1、管理工具→計算機管理→系統工具→本地用戶和組→用戶→重命名IUSR_ComputerName

　　2、打開 IIS 管理器→本地計算機→屬性→允許直接編輯配置數據庫

　　3、進入Windowssystem32inetsrv文件夾→MetaBase.xml→右鍵編輯→找到"AnonymousUserName"→寫入"IUSR_"新名稱→保存

　　4、關閉"允許直接編輯配置數據庫"

　　√·禁止文件共享

　　本地連接屬性→去掉"Microsoft網絡的文件和打印共享"和"Microsoft 網絡客戶端"前面的"√"

　　√·禁止NetBIOS（關閉139端口）

　　本地連接屬性→TCP/IP屬性→高級→WINS→禁用TCP/IP上的NetBIOS

　　管理工具→計算機管理→設備管理器→查看→顯示隱藏的設備→非即插即用驅動程序→禁用 NetBios over tcpip→重啟

　　√·防火墻的設置

　　本地連接屬性→高級→Windows防火墻設置→高級→第一個"設置"，勾選FTP、HTTP、遠程桌面服務

　　√·禁止ADMIN$缺省共享、磁盤默認共享、限制IPC$缺省共享（匿名用戶無法列舉本機用戶列表、禁止空連接）

　　新建REG文件，導入注冊表

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]

　　"AutoshareWks"=dword:00000000

　　"AutoShareServer"=dword:00000000

　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

　　"restrictanonymous"=dword:00000001

　　√·刪除以下注冊表主鍵

　　Wscript.Network

　　Wscript.Network.1

　　

　　Wscript.Shell

　　Wscript.Shell.1

　　

　　Shell.Application

　　Shell.Application.1

　　

　　√·更改3389端口為12344

　　這里只介紹如何更改，既然本端口公布出來了，那大家就別用這個了，端口可用windows自帶的計算器將10進制轉為16進制，16進制數替換下面兩個的dword:后面的值（7位數，不夠的在前面補0），登陸的時候用10進制，端口更改在服務器重啟后生效。新建REG文件，導入注冊表

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]

　　"PortNumber"=dword:0003038

　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

　　"PortNumber"=dword:00003038

　　最后別忘了Windows防火墻允許12344端口，關閉3389端口

　　√·禁止非管理員使用at命令，新建REG文件，導入注冊表

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]

　　"SubmitControl"=dword:00000001

　　√·卸載最不安全的組件

　　運行"卸載最不安全的組件.bat"，重啟后更名或刪掉WindowsSystem32里的wshom.ocx和shell32.dll

　　----------------卸載最不安全的組件.bat-----------------

　　regsvr32/u %SystemRoot%System32wshom.ocx

　　regsvr32/u %SystemRoot%System32shell32.dll

　　regsvr32/u %SystemRoot%System32wshext.dll

　　-------------------------------------------------------

　　√·Windows日志的移動

　　打開"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog"

　　Application 子項：應用程序日志

　　Security 子項：安全日志

　　System 子項：系統日志

　　分別更改子項的File鍵值，再把System32config目錄下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt復制到目標文件夾，重啟。

　　√·Windows日志的保護

　　1、移動日志后的文件夾→屬性→安全→高級→去掉"允許父系的繼承權限……"→復制→確定

　　2、保留System賬戶和User組，System賬戶保留除完全控制和修改之外的權限，User組僅保留只讀權限

　　3、AppEvent.Evt、SysEvent.Evt保留Administrator、System賬戶和User組，Administrator、System賬戶保留除完全控制和修改之外的權 限，User組僅保留只讀權限；

　　DnsEvent.Evt、SecEvent.Evt保留System賬戶和User組，System賬戶保留除完全控制和修改之外的權限，User組僅保留只讀權限

　　√·要手動停止/禁用的服務：Computer Browser、Error reporting service、Microsoft Serch、Print Spooler、Remote Registry、Server 、TCP/IP NetBIOS Helper、Workstation

　　√·解決在 IIS 6.0 中，無法下載超過4M的附件（現改為10M）

　　停止IIS服務→打開WINDOWSsystem32inetsrv→記事本打開MetaBase.xml→找到 AspBufferingLimit 項→值改為 10485760

　　√·設置Web上傳單個文件最大值為10 MB

　　停止IIS服務→打開WINDOWSsystem32inetsrv→記事本打開MetaBase.xml→找到 AspMaxRequestEntityAllowed 項→值改為 10485760

　　×·重新定位和設置 IIS 日志文件的權限

　　1、將 IIS 日志文件的位置移動到非系統分區：在非系統的NTFS分區新建一文件夾→打開 IIS 管理器→右鍵網站→屬性→單擊"啟用日志 記錄"框架中的"屬性"→更改到剛才創建的文件夾

　　2、設置 IIS 日志文件的權限：瀏覽至日志文件所在的文件夾→屬性→安全→確保Administrators和System的權限設置為"完全控制"

　　×·配置 IIS 元數據庫權限

　　打開 WindowsSystem32InetsrvMetaBase.xml 文件→屬性→安全→確認只有 Administrators 組的成員和 LocalSystem 帳戶擁有對元 數據庫的完全控制訪問權，刪除所有其他文件權限→確定

　　解釋 Web 內容的權限

　　打開IIS管理器→右鍵想要配置的網站的文件夾、網站、目錄、虛擬目錄或文件

　　腳本源文件訪問，用戶可以訪問源文件。如果選擇"讀"，則可以讀源文件；如果選擇"寫"，則可以寫源文件。腳本源訪問包括腳本的源代碼 。如果"讀"或"寫"均未選擇，則此選項不可用。

　　讀（默認情況下選擇）：用戶可以查看目錄或文件的內容和屬性。

　　寫：用戶可以更改目錄或文件的內容和屬性。

　　目錄瀏覽：用戶可以查看文件列表和集合。

　　日志訪問：對網站的每次訪問創建日志項。

　　檢索資源：允許檢索服務檢索此資源。這允許用戶搜索資源。

　　√·關閉自動播放

　　運行組策略編輯器（gpedit.msc）→計算機配置→管理模板→系統→關閉自動播放→屬性→已啟用→所有驅動器

　　√·禁用DCOM

　　運行Dcomcnfg.exe。控制臺根節點→組件服務→計算機→右鍵單擊“我的電腦”→屬性”→默認屬性”選項卡→清除“在這臺計算機上啟用分布式 COM”復選框。

　　√·啟用父路徑

　　IIS管理器→右鍵網站→屬性→主目錄→配置→選項→啟用父路徑

　　√·IIS 6.0 系統無任何動作超時時間和腳本超時時間

　　IIS管理器→右鍵網站→屬性→主目錄→配置→選項→分別改為40分鐘和180秒

　　√·刪除不必要的IIS擴展名映射

　　IIS管理器→右擊Web站點→屬性→主目錄→配置→映射，去掉不必要的應用程序映射，主要為.shtml, .shtm, .stm

　　√·增加IIS對MIME文件類型的支持

　　IIS管理器→選擇服務器→右鍵→屬性→MIME類型（或者右鍵web站點→屬性→HTTP頭→MIME類型→新建）添加如下表內容，然后重啟IIS，擴展名MIME類型

　　.iso application/octet-stream

　　.rmvb application/vnd.rn-realmedia

　　√·禁止dump file的產生

　　我的電腦→右鍵→屬性→高級→啟動和故障恢復→寫入調試信息→無。

　　dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給黑客提供 一些敏感信息比如一些應用程序的密碼等。

　　三、Serv-U FTP服務的設置

　　√·本地服務器→設置→攔截"FTP_bounce"攻擊和FXP

　　對于60秒內連接超過10次的用戶攔截5分鐘

　　√·本地服務器→域→用戶→選中需要設置的賬號→右邊的"同一IP只允許2個登錄"

　　√·本地服務器→域→設置→高級→取消"允許MDTM命令來更改文件的日期/時間"

　　設置Serv-U程序所在的文件夾的權限，Administrator組完全控制，禁止Guests組和IIS匿名用戶有讀取權限

　　服務器消息，自上而下分別改為：

　　服務器工作正常，現已準備就緒...

　　錯誤！請與管理員聯系！

　　FTP服務器正在離線維護中，請稍后再試！

　　FTP服務器故障，請稍后再試！

　　當前賬戶達到最大用戶訪問數，請稍后再試！

　　很抱歉，服務器不允許匿名訪問！

　　您上傳的東西太少，請上傳更多東西后再嘗試下載！

　　四、SQL安全設置

　　審核指向SQL Server的連接

　　企業管理器→展開服務器組→右鍵→屬性→安全性→失敗

　　修改sa賬戶密碼

　　企業管理器→展開服務器組→安全性→登錄→雙擊sa賬戶

　　SQL查詢分析器

　　use master

　　exec sp_dropextendedproc xp_cmdshell

　　exec sp_dropextendedproc xp_dirtree

　　exec sp_dropextendedproc xp_enumgroups

　　exec sp_dropextendedproc xp_fixeddrives

　　exec sp_dropextendedproc xp_loginconfig

　　exec sp_dropextendedproc xp_enumerrorlogs

　　exec sp_dropextendedproc xp_getfiledetails

　　exec sp_dropextendedproc Sp_OACreate

　　exec sp_dropextendedproc Sp_OADestroy

　　exec sp_dropextendedproc Sp_OAGetErrorInfo

　　exec sp_dropextendedproc Sp_OAGetProperty

　　exec sp_dropextendedproc Sp_OAMethod

　　exec sp_dropextendedproc Sp_OASetProperty

　　exec sp_dropextendedproc Sp_OAStop

　　exec sp_dropextendedproc Xp_regaddmultistring

　　exec sp_dropextendedproc Xp_regdeletekey

　　exec sp_dropextendedproc Xp_regdeletevalue

　　exec sp_dropextendedproc Xp_regenumvalues

　　exec sp_dropextendedproc Xp_regread

　　exec sp_dropextendedproc Xp_regremovemultistring

　　exec sp_dropextendedproc Xp_regwrite

　　drop procedure sp_makewebtask

關鍵字：網站、服務器、安全策略

【 頂部 】 【 關閉 】