win2003服務器安全設置教程圖文(系統+數據庫)

這篇文章簡單介紹了win的安全設置方法但一些更安全與深入的設置還需要參考腳本之家以前發布的文章  

　　服務器安全設置

　　系統盤和站點放置盤必須設置為NTFS格式方便設置權限

　　系統盤和站點放置盤除administrators 和system的用戶權限全部去除

　　

　　啟用windows自帶防火牆只保留有用的端口比如遠程和WebFtp()等等有郵件服務器的還要打開和端口

　　

　　

　　

　　安裝好SQL後進入目錄搜索 xplog 然後將找到的三個文件改名或者刪除

　　

　　更改sa密碼為你都不知道的超長密碼在任何情況下都不要用sa這個帳戶

　　

　　改名系統默認帳戶名並新建一個Administrator帳戶作為陷阱帳戶設置超長密碼並去掉所有用戶組（就是在用戶組那裡設置為空即可讓這個帳號不屬於任何用戶組—樣）同樣改名禁用掉Guest用戶

　　

　　配置帳戶鎖定策略（在運行中輸入gpeditmsc回車打開組策略編輯器選擇計算機配置Windows設置安全設置賬戶策略賬戶鎖定策略將賬戶設為“三次登陸無效”“鎖定時間分鐘”“復位鎖定計數設為分鐘”）

　　

　　在安全設置裡本地策略安全選項將

　　網絡訪問可匿名訪問的共享

　　網絡訪問可匿名訪問的命名管道

　　網絡訪問可遠程訪問的注冊表路徑

　　網絡訪問可遠程訪問的注冊表路徑和子路徑

　　以上四項清空

　　

　　在安全設置裡 本地策略安全選項 通過終端服務拒絕登陸 加入

　　以下為引用的內容
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger 

　　（****表示你的機器名具體查找可以點擊 添加用戶或組  選  高級  選 立即查找 在底下列出的用戶列表裡選擇 注意不要添加進user組和administrators組 添加進去以後就沒有辦法遠程登陸了）

　　

　　去掉默認共享將以下文件存為reg後綴然後執行導入即可

　　Windows Registry Editor Version

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

　　"AutoShareServer"=dword:

　　"AutoSharewks"=dword:

　　

　　 禁用不需要的和危險的服務以下列出服務都需要禁用

　　Alerter  發送管理警報和通知

　　Computer Browser:維護網絡計算機更新

　　Distributed File System: 局域網管理共享文件

　　Distributed linktracking client   用於局域網更新連接信息

　　Error reporting service   發送錯誤報告

　　Remote Procedure Call (RPC) Locator   RpcNs*遠程過程調用 (RPC)

　　Remote Registry  遠程修改注冊表

　　Removable storage  管理可移動媒體驅動程序和庫

　　Remote Desktop Help Session Manager  遠程協助

　　Routing and Remote Access 在局域網以及廣域網環境中為企業提供路由服務

　　Messenger  消息文件傳輸服務

　　Net Logon   域控制器通道管理

　　NTLMSecuritysupportprovide  telnet服務和Microsoft Serch用的

　　PrintSpooler  打印服務

　　telnet   telnet服務

　　Workstation   洩漏系統用戶名列表

　　更改本地安全策略的審核策略

　　賬戶管理      成功 失敗

　　登錄事件      成功 失敗

　　對象訪問      失敗

　　策略更改      成功 失敗

　　特權使用      失敗

　　系統事件      成功 失敗

　　目錄服務訪問  失敗

　　賬戶登錄事件  成功 失敗

　　更改有可能會被提權利用的文件運行權限找到以下文件將其安全設置裡除administrators用戶組全部刪除重要的是連system也不要留

　　netexe

　　netexe

　　cmdexe

　　tftpexe

　　netstatexe

　　regeditexe

　　atexe

　　attribexe

　　caclsexe

　　formatcom

　　cexe 特殊文件 有可能在你的計算機上找不到此文件

　　在搜索框裡輸入

　　"netexe""netexe""cmdexe""tftpexe""netstatexe""regeditexe""atexe""attribexe""caclsexe""formatcom""cexe"

　　點擊搜索 然後全選 右鍵 屬性 安全

　　

　　以上這點是最最重要的一點了也是最最方便減少被提權和被破壞的可能的防御方法了

　　後備工作將當前服務器的進程抓圖或記錄下來將其保存方便以後對照查看是否有不明的程序將當前開放的端口抓圖或記錄下來保存方便以後對照查看是否開放了不明的端口當然如果你能分辨每一個進程和端口這一步可以省略

From:http://tw.wingwit.com/Article/Common/201311/7534.html