win2003配置iis,windows server2003安全模式

win2003配置iis,windows server2003安全模式,[推荐]Win2003Server安全配置完整篇

详细介绍了WindowsServer2003中的安全配置问题,包括端口、审计、默认共享、磁盘管理、防火墙和数据库等。相信会让你有所收获。

一、先关闭不需要的端口

我更小心了。我先关闭了端口。只开了338921801433。一直有人说默认3389不安全。我不否认这一点,但是使用的方法只能一一穷尽。你把账号的密码改成了15或者16位,我估计他要好几年才能破解。哈哈!方法:本地连接-属性-互联网协议(TCP/IP)-高级-选项-TCP/IP过滤-属性-勾选添加需要的端口即可。PS一句:设置好端口后,需要重启!

当然,你也可以改变远程连接端口的方法:

windows registrytryeditorversion 5.00

[HKEY _ LOCAL _ MACHINE SYSTEM current Control set Control TerminalServer win stations RDP-Tcp]

端口号=dword:00002683

保存。REG文件并双击它!改成9859,当然也可以换其他端口,直接打开上面注册表的地址,把值改成十进制,输入你想要的端口!重启生效!

还有一点,2003系统中,带TCP/IP过滤中的端口过滤功能,使用FTP服务器时,只开放21个端口。FTP传输时,FTP特有的端口模式和被动模式在传输数据时需要动态打开高端口。所以在使用TCP/IP过滤时,经常会出现连接后目录和数据传输无法列出的问题。所以2003系统增加的windows连接防火墙可以很好的解决这个问题,所以不建议使用网卡的TCP/IP过滤功能。做FTP下载的用户要看仔细了,因为他们怪我说我的文章都是垃圾.如果要关闭不必要的端口,在 system32 drivers etc services中有列表,记事本可以打开。如果你比较懒,最简单的方法就是启用WIN2003自带的网络防火墙,更改端口。功能还可以!连接Internet防火墙可以有效拦截Windows2003服务器的非法入侵,防止非法远程主机扫描服务器,提高Windows2003服务器的安全性。同时还能有效拦截利用操作系统漏洞攻击端口的病毒,如冲击波和其他蠕虫。如果在Windows2003构建的虚拟路由器上启用此防火墙功能,可以保护整个内部网络。

港口介绍可以在:https://www.jb51.net/article/48186.htm找到

二、关闭不需要的服务打开相应的审核策略

我关闭了以下服务

浏览器维护网络上计算机的最新列表并提供此列表。

Taskscheduler允许程序在指定的时间运行。

在Messenger客户端和服务器之间传输NETSEND和警报服务消息。

DistributedFileSystem: LAN管理共享文件,因此不需要禁用它。

Distributedlinktrackingclient:用于更新局域网的连接信息,不需要禁用。

Errorreportingservice:错误报告被禁止。

MicrosoftSerch:提供快速单词搜索,可以在没有任何需要的情况下禁用。

LMSecuritySupportProvider:由Telnet服务和MicrosoftSerch使用,不需要禁用。

如果没有要禁用的打印机。

RemoteRegistry:禁止远程修改注册表。

Remotedesktophelpsession管理器:禁止远程协助。

如果工作站关闭,远程网络命令将无法列出用户组。

禁止所有不必要的服务。虽然这些可能是攻击者得不到的,但是根据安全规则和标准,不需要打开多余的东西,这样就减少了一个隐患。

在“网络连接”中,删除所有不必要的协议和服务。这里,仅安装了基本互联网协议(TCP/IP ),并且另外安装了Qos分组调度器来控制带宽流服务。在高级tcp/ip设置中-“NetBIOS”设置“禁用tcp/IP上的NetBIOS”。在高级选项中,使用“Internet连接防火墙”,这是windows2003附带的防火墙。它在2000系统中没有任何功能。虽然没有功能,但是可以屏蔽端口,从而基本实现了一个IPSec的功能。

输入gpedit.msc并回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审计策略。在创建审计项目时,需要注意的是,如果审计项目太多,生成的事件就越多,因此发现严重事件的难度就越大。当然,如果审核太少会影响你发现严重事件,你需要根据情况在两者之间进行选择。

建议审查的项目有:

登录事件成功但失败。

帐户登录事件成功和失败。

系统事件成功和失败。

策略更改成功但失败。

对象访问失败。

目录服务访问失败。

权限使用失败。

三、关闭默认共享的空连接

因为比较简单,这里就不讨论了。

https://www.jb51.net/article/42238.htm

四、磁盘权限设置

c盘只给管理员和系统权限,其他权限不给。其他磁盘也可以这样设置。这里给的系统权限不一定需要给,只是因为有些第三方应用是作为服务启动的,需要添加这个用户,否则启动不了。

Windows目录应该添加到用户的默认权限中,否则ASP、ASPX等应用无法运行。以前有朋友单独设置了Instsrv、temp等目录权限,其实没必要。

另外在c:/DocumentsandSettings/这里很重要,下面目录中的权限完全不会继承之前的设置。如果只对c盘设置了管理员权限,那么everyone用户将在AllUsers/ApplicationData目录下拥有完全控制权限,这样就可以跳转到这个目录,编写脚本或文件,然后结合其他漏洞增强权限。

比如利用serv-u的本地溢出来增强权限,或者系统中缺失补丁,数据库弱点,甚至社交工程等等。有很多方法。以前有人说‘只要给我一个webshell,我就能得到系统’,确实有可能。在用作web/ftp服务器的系统中,建议锁定所有这些目录。其他磁盘的目录都是这样设置的,每个磁盘只给一个adinistrators权限。

此外,它将:

net.exeNET命令

Cmd.exeCMD懂电脑的一切~

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

Cacls.exeACL用户组权限设置,这个命令可以设置NTFS下任何文件夹的任何权限!我入侵的时候没少用这个.(:

format.exe

大家都知道ASP木马吧?有一个CMD运行这个。如果这些都能运行.CMD下55,估计没别的了。估计会在格式下哭~ ~(:这些文件设置为只允许管理员访问。

五、防火墙、杀毒软件的安装

其实这个东西的安装我也说不上来。反正各种装置都有。推荐用卡巴和麦考菲。

https://www.jb51.net/hack/40724.html

https://www.jb51.net/softjc/468585.html

https://www.jb51.net/hack/536709.html

https://s.jb51.net/mcafee.htm

六、SQL2000SERV-UFTP安全设置

SQL安全方面

1.最好不要拥有两个以上的系统管理员角色。

2.如果在这台机器上,最好将身份验证配置为Win登录。

3.不要使用Sa帐户,并配置一个超级复杂的密码。

4.删除以下扩展存储过程格式:

使用主机

Sp_dropextendedproc 扩展存储过程名称

Xp_cmdshell:这是操作系统的最佳捷径。删除

访问注册表的存储过程,删除

XP _ regaddmultistringXp _ regdeletekeyXp _ regdeletevalueXp _ regenumvalues

Xp _ regread Xp _ regwrite Xp _ regremovemultistring

OLE自动存储过程,不需要删除

Sp _ OACreate Sp _ OADestroySp _ OAGetErrorInfoSp _ OAGetProperty

sp _ OAMethodSp _ OASetPropertySp _ OAStop

5.隐藏SQLServer并更改默认端口1433

右键选择实例选择属性-常规-网络配置,选择TCP/IP协议属性,选择隐藏SQLServer实例,更改原来的默认端口1433。

serv-u的几个常规安全要求设置如下:

请检查“Block”FTP _ bounce“attack and XP”。什么是FXP?通常,当FTP协议用于文件传输时,客户端首先向FTP服务器发送‘PORT’命令,该命令包含用户的IP地址和用于数据传输的端口号。服务器收到后,它使用命令提供的用户地址信息与用户建立连接。大多数情况下,上述过程不会有问题,但当客户端是恶意用户时,FTP服务器可能会通过在PORT命令中添加特定的地址信息,与其他非客户端机器建立连接。虽然恶意用户可能没有直接访问特定机器的权限,但是如果FTP服务器有访问机器的权限,那么恶意用户就可以通过FTP服务器作为中介最终连接到目标服务器。这是FXP,也称为跨服务器攻击。选中时,可以防止这种情况。

七、IIS安全设置

IIS的安全性:

1.不要使用默认网站。如果这样做,应该将IIS目录与系统盘分开。

2.删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。

3.删除系统盘下的虚拟目录,比如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4.删除不必要的IIS扩展映射。

右键单击“默认网站属性主目录配置”打开应用程序窗口,删除不必要的应用程序映射。主要是。shtml,shtm,stm。

5.更改IIS日志的路径。

右键单击默认网站属性-网站-单击启用日志记录下的属性。

6.如果您使用的是2000,可以使用iislockdown来保护IIS,但不要求运行2003的IE6.0版本。

八。其他人

1.升级系统,打操作系统补丁,尤其是IIS6.0补丁,SQLSP3a补丁,甚至是IE6.0补丁。同时,及时跟踪最新的漏洞补丁;

2.停止访客帐号,给访客添加异常复杂的密码,重命名或伪装管理员!

3.隐藏重要文件/目录

可以修改注册表实现完全隐藏:“HKEY _本地_机器软件微软 windows 当前版本资源管理器高级文件夹 hi-dden showall”,右击“CheckedValue”,选择修改,将值从1改为0。

4.启动系统自带的互联网连接防火墙,在设置服务选项中检查Web服务器。

5.防止SYN flood攻击

HKEY _ LOCAL _ MACHINE SYSTEM current control set Services Tcpip Parameters

创建一个名为SynAttackProtect的新DWORD值,值为2

6.禁止响应ICMP路由通告消息。

HKEY _ LOCAL _ MACHINE SYSTEM current control set Services Tcpip Parameters Interfaces interface

创建一个名为PerformRouterDiscovery的新DWORD值,其值为0

7.防止ICMP重定向消息的攻击

HKEY _ LOCAL _ MACHINE SYSTEM current control set Services Tcpip Parameters

将EnableICMPRedirects值设置为0。

8.不支持IGMP协议。

HKEY _ LOCAL _ MACHINE SYSTEM current control set Services Tcpip Parameters

创建一个新的DWORD值,名为IGMPLevel,值为0

9.禁用DCOM:

运行输入Dcomcnfg.exe。进入,点击“控制台根节点”下的“组件服务”。打开计算机子文件夹。

对于本地计算机,右键单击我的电脑,然后选择属性。选择默认属性选项卡。

清除“在这台计算机上启用分布式COM”复选框。

关于[推荐]Win2003服务器安全配置的这篇文章到此结束。有关Win2003安全配置的更多信息,请搜索我们以前的文章或继续浏览下面的相关文章。希望你以后能支持我们!

win2003配置iis,windows server2003安全模式