2003系统安全设置

Windows Server 2003 (企业版32位)系统安全设置

系统中最多装一个杀毒软件和RAR解压缩工具和很小的一个流量监控软件。其他的无关软件也一律不要安装，甚至不用装office。多一个就会多一份漏洞和不安全隐患。开启系统自带防火墙是正确有效的防护，请相信微软的智商。通过以下基本安全设置后，加上服务器管理员规范的操作，服务器一般不会出现什么意外了，毕竟我们的服务器不是用来架设多个WEB网站的，造成漏洞的可能性大大降低。当然，没有绝对的事，做好服务器系统和OA数据备份是必须的。

如果对以下操作不太熟悉，建议先在本地机器练练，不要拿用户服务器测试，以免造成其他问题。

另赠送32位和64位的系统解释：windows server 200332位和64位操作系统的区别 问：

1、windows server 2003 32位和64位操作系统的区别

2、32位windows server 2003是否可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上

答：

1、32位和64位的差别在于如果你的CPU是64位的，64位的OS能够完全发挥CPU的性能，而不需要使CPU运行在32位兼容模式下。

2、32位windows server 2003可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上，通过PAE模式也可以支持4G以上内存。

另外补充一下，Windows Server 2003的硬件支持特性并不是由32位或64位来决定的，而是由OS本身的版本来决定的。

以Windows Server 2003为例，标准版可以支持的最大CPU数为4路，最大内存数为4G，而企业版则可以支持最大CPU数8路，最大内存数32G。

回正题：

(一) 禁用不需要的服务

Alerter通知选定的用户和计算机管理警报。

Computer Browser维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序崩溃。

Help and Support启用在此计算机上运行帮助和支持中心。

Print Spooler管理所有本地和网络打印队列及控制所有打印工作。

Remote Registry使远程用户能修改此计算机上的注册表设置。

Remote Desktop Help Seion Manager 管理并控制远程协助。

Server支持此计算机通过网络的文件、打印、和命名管道共享。

Task Scheduler使用户能在此计算机上配置和计划自动任务。(如果不需要可以禁用) 可能需要

TCP/IP NetBIOS Helper 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。

Workstation创建和维护到远程服务的客户端网络连接。

禁用以上列出的服务，系统默认已经禁用的服务如果特殊需要请不要开启。

(二) 本地安全策略设置

打开【控制面版】，找到【管理工具】，打开【本地安全策略】

帐户策略—>帐户锁定策略 1)

2)

3)

4) 将帐户锁定阈值，由默认值0改为5，即5次无效登录，帐户将被锁定30分钟。可根据实际情况进行修改。 帐户锁定时间默认为30分钟，可以根据需要改成更长或更短的时间。 本地策略—>审核策略 审核策略更改成功 失败 审核登录事件成功 失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功 失败 审核账户登录事件 成功 失败 审核账户管理成功 失败 本地策略—>用户权限分配 关闭系统只留Administrators组、其它全部删除。 允许通过终端服务登录 只留Administrators，Remote Desktop Users组，其他全部删除。 本地策略—>安全选项

交互式登陆: 不显示上次的用户名启用

(Interactive logon: Do not display last user name启用)

网络访问: 不允许 SAM 帐户和共享的匿名枚举启用

(Network acce: Do not allow anonymous enumeration of SAM accounts and shares 启用)

网络访问: 不允许存储网络身份验证的凭据或 .NET Paports启用

(Network acce: Do not allow storage of credentials or .NET Paports for network authentication 启

用)

网络访问: 可匿名访问的共享全部删除

(Network acce: Shares that can be acceed anonymously 全部删除)

网络访问: 可匿名访问的命名管道全部删除

(Network acce: Named Pipes that can be acceed anonymously 全部删除)

网络访问: 可远程访问的注册表路径全部删除

(Network acce: Remotely acceible registry paths 全部删除)

网络访问: 可远程访问的注册表路径和子路径全部删除

(Network acce: Remotely acceible registry paths and sub-paths 全部删除)

帐户：重命名来宾帐户输入一个新的帐户

帐户：重命名系统管理员帐户输入一个新的帐户

(三) 改名或卸载最不安全的组件，防止ASP网马运行，（没有架设ASP运行环境，这一步可以不做）

1) 卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.bat文件，然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器就可以了。

regsvr32/u C:\\WINDOWS\\System32\\wshom.ocx

del C:\\WINDOWS\\System32\\wshom.ocx

regsvr32/u C:\\WINDOWS\\system32\\shell32.dll

del C:\\WINDOWS\\system32\\shell32.dll

2) 改名不安全组件(这一步可以不做)

a) Scripting.FileSystemObject可以对文件和文件夹进行常规操作

禁用该组件并不是最理想的安全措施，禁用后会导致大部ASP网站无法运行

定位到HKEY_CLASSES_ROOT\\Scripting.FileSystemObject将其重命名

定位到HKEY_CLASSES_ROOT\\Scripting.FileSystemObject\\CLSID删除其右侧的默认值

禁止Guests组用户调用此组件，运行中输入“cacls C:\\WINDOWS\\system32\\scrrun.dll /e /d guests” b) WScript.Shell可以调用系统内核运行DOS基本命令，非常危险

定位到HKEY_CLASSES_ROOT\\WScript.Shell将其重命名

定位到HKEY_CLASSES_ROOT\\WScript.Shell\\CLSID删除其右侧的默认值

定位到HKEY_CLASSES_ROOT\\WScript.Shell.1将其重命名

定位到HKEY_CLASSES_ROOT\\WScript.Shell.1\\CLSID删除其右侧的默认值

c) Shell.Application可以调用系统内核运行DOS基本命令，非常危险

定位到HKEY_CLASSES_ROOT\\Shell.Application将其重命名

定位到HKEY_CLASSES_ROOT\\Shell.Application\\CLSID删除其右侧的默认值

定位到HKEY_CLASSES_ROOT\\Shell.Application.1将其重命名

定位到HKEY_CLASSES_ROOT\\Shell.Application.1\\CLSID删除其右侧的默认值

禁止Guests组用户调用此组件，运行中输入“cacls C:\\WINDOWS\\system32\\shell32.dll /e /d guests”

d) WScript.Network为ASP程序罗列和创建系统用户(組)提供了可能

定位到HKEY_CLASSES_ROOT\\WScript.Network将其重命名

定位到HKEY_CLASSES_ROOT\\WScript.Network\\CLSID删除其右侧的默认值

定位到HKEY_CLASSES_ROOT\\WScript.Network.1将其重命名

定位到HKEY_CLASSES_ROOT\\WScript.Network.1\\CLSID删除其右侧的默认值0

注：以上操作需要重新启动服务后才会生效。

(四) 组策略设置（运行中输入“gpedit.msc”打开）

1) 关闭自动播放

有两处需要修改分别是：

1、计算机配置—>管理模板—>系统(System)

2、用户配置—>管理模板—>系统(System)

将两处的“关闭自动播放(Turn off Autoplay)”设置成“已启用”同时选择“所有驱动器(All drives)”

(五) 禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。

1) 右击【我的电脑】选择【属性】打开【系统属性】，点击【启动和故障恢复】的【设置】，将【写入调试信息】由“完全内存转储”改为“(无)”，并删除C:\\WINDOWS下的MEMORY.DMP（如果存在这个文件）

2) 关闭华医生Dr.Watson，在运行中输入“drwtsn32”调出系统里的华医生Dr.Watson，只保留“转储全部线程上下文”选项，否则一旦程序出错，硬盘会读很久，并占用大量空间。同时删除C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\Microsoft\\Dr Watson下的user.dmp（如果存在这个文件）

(六) 网络连接设置

1) 打开网络连接的属性，去掉“Microsoft网络客户端(Client for Microsoft Networkd)”和“Microsoft网络的文件和打印机共享(File and Printer Sharing for Microsoft Netwoks)”前的勾

2) 打开“Internet 协议 (TCP/IP)(Internet Protocol (TCP/IP))”的属性，点击【高级】再点击【WINS】选项卡，选择“禁用TCP/IP上的NetBIOS”，这样可以关闭139端口。

3) 开启Windwos自带的防火墙

打开本地连接属性，点击【高级】再点击【设置】，会提示你防火墙没有运行，点击【是】开启防火墙，在防火墙设置对话框【常规】选项卡中点击“启用”（不要勾选“不允许例外”），然后在【例外】选项卡中点击【添加端口】，添加需要的端口如21，25，80，110，1433，3306，3389

等，在【高级】选项卡中点击ICMP的【设置】勾选“允许传入回显请求”

OA系统一般开启的端口是80 ，精灵1188和视频会议1935，现在的高百特不知是什么端口了（UDP协议），远程桌面3389，其他不要开。

(七) 本地用户和组设置

1) 禁用Guest（如果之前已经重命名了来宾帐户，则禁用重命名后的帐户），SUPPORT_388945a0，SQLDebugger（安装了SQL Server 2000后会出现这个帐户）

2) 创建Administrator陷阱帐户（前题需要已经重命名了系统管理员帐户）并设置一个超过10位的超级复杂密码

3) 重命名Administrators组，在组里面右击Administrators选择重命名(Rename)，然后输入一个新的名字。这样即使系统出现了溢出漏洞，想通过“net localgroup administraots xxx /add”来提权是根本不可能的了，除非知道重命名后的管理员组的名字。

(八) 防止Serv-U权限提升，（一般OA服务器中不会架设这个FTP，可不用设置）

1) 用Ultraedit打开ServUDaemon.exe查找“Ascii:LocalAdministrator”和“#l@$ak#.lk;0@P”修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

2) 另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

3)

(九) IIS设置（一般OA服务器中不会架设这个IIS，可不用设置）

1)

2)

3) 修改默认FTP站点的主目录路径为C:\\ftproot 删除或停用网站目录下的默认网站 在Web服务扩展里面将Active Server Pages设置为允许

（十）windows2003修改远程登陆端口号

现在利用终端服务(3389漏洞)结合输入法漏洞攻击Win 2003 Server的案例越来越多，作为一条安全措施，可以修改一下终端服务所提供的端口，使常规的扫描器扫描不到。但这个方法说到底仍然是一个治标不治本的办法，如果攻击者知道修改了的端口所提供的服务后，仍然会连接上你的终端服务器的(不过几率微小)。

具体操作如下：

在服务器上做如下修改： 开始/运行/Regedt32.exe，找到：

KEY＿LOCAL＿MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcpHKEY＿LOCAL＿MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp下都有一个PortNumber值，通常为3389，将其修改为自己的值，如9833(可自己指定端口，但最好不要设为低端端口，以免冲突).0xd3d，是16进制，也就是10进制的3389，也就是RDP协议的端口，改成你欲设的端口。

完成这两步操作后，我们就可以使用远程桌面通过ip地址加端口号的方式连接。

注：如果您更改了远程登陆的端口请记得在系统或者您自己安装的防火墙上打开这个例外端口。

（十一）检查2003系统是否被建立了隐藏的管理员账号：

超级用户建立以后，就不能再改密码了，如果用net user命令来改密码的话，那么在帐户管理器中将又会看这个隐藏的超级用户了，而且不能删除。

经过实践，这个隐藏帐号是可以删除的，“开始”→“运行”并输入\"regedit.exe\" 回车,启动注册表编辑器regedit.exe。 打开键：HKEY_LOCAL_MAICHINE\\SAM\\SAM\\Domains\\account\\user\\names\\这里删除你想要删除的用户，前提是你需要有这个注册项的权限！

通达OA——马利民

操作系统安全设置文档

linux系统安全设置总结

系统安全

系统安全

系统安全责任书

系统安全接地

信息系统安全

系统安全性需求

信息系统安全自查报告

系统安全保障措施

《2003系统安全设置.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档