1、Windows Server 2003服務(wù)器系統(tǒng)安全配置方案一、系統(tǒng)安裝1.按照窗口2003安裝光盤中的說明進行操作。默認情況下，2003年系統(tǒng)中未安裝IIS6.0。2.IIS6.0的安裝開始菜單-控制面板-添加或刪除程序-添加/刪除窗口組件-ASP.NET應(yīng)用程序(可選)|啟用網(wǎng)絡(luò)組件訪問(必需)| 互聯(lián)網(wǎng)信息服務(wù)(IIS)-互聯(lián)網(wǎng)信息服務(wù)管理器(必需)|公共文件(必需)|萬維網(wǎng)服務(wù)活動服務(wù)器頁面(必需)| 互聯(lián)網(wǎng)數(shù)據(jù)連接器(可選)| 電子廣播發(fā)布(可選)|萬維網(wǎng)服務(wù)(必需)|服務(wù)器端包含文件(可選)然后單擊確定-下一次安裝。3.系統(tǒng)補丁的更新單擊開始菜單-所有程序-窗口更新按照提示安裝補丁

2、。4.備用系統(tǒng)用GHOST備份系統(tǒng)。5.安裝常用軟件例如：殺毒軟件、解壓縮軟件等。安裝后，使用GHOST再次備份系統(tǒng)。二、系統(tǒng)權(quán)限設(shè)置1.磁盤權(quán)限系統(tǒng)磁盤和所有磁盤僅向管理員組和系統(tǒng)提供完全控制系統(tǒng)磁盤文檔和設(shè)置目錄僅將完全控制權(quán)交給管理員組和系統(tǒng)系統(tǒng)磁盤文檔和設(shè)置所有用戶目錄僅向管理員組和系統(tǒng)提供完全控制系統(tǒng)磁盤Inetpub目錄和下面的所有目錄和文件僅授予管理員組和系統(tǒng)完全控制權(quán)系統(tǒng)磁盤、cacls.exe、net.exe和net1.exe文件僅授予管理員組和系統(tǒng)完全控制權(quán)2.本地安全策略設(shè)置開始菜單-管理工具-本地安全策略A.本地策略審核策略審核策略更改成功失敗審核登錄事件成功失敗審核對

3、象訪問失敗審計流程跟蹤無審計審核目錄服務(wù)訪問失敗審核權(quán)限使用失敗審核系統(tǒng)事件成功失敗審核帳戶登錄事件成功失敗審核帳戶管理成功失敗B.本地策略用戶權(quán)限分配關(guān)閉系統(tǒng)：僅刪除管理員組和其他人。拒絕通過終端服務(wù)登錄：加入來賓和用戶組允許通過終端服務(wù)登錄：僅加入管理員組，并刪除所有其他人C.本地策略安全選項交互式登錄：不顯示最后啟用的用戶名網(wǎng)絡(luò)訪問：不允許啟用SAM帳戶和共享的匿名枚舉網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗證啟用存儲憑據(jù)網(wǎng)絡(luò)訪問：所有可以匿名訪問的共享都被刪除網(wǎng)絡(luò)訪問：所有可以匿名訪問的生命都被刪除網(wǎng)絡(luò)訪問：刪除所有可遠程訪問的注冊表路徑網(wǎng)絡(luò)訪問：刪除所有可遠程訪問的注冊表路徑和子路徑帳戶：重命名

4、來賓帳戶重命名帳戶帳戶：重命名系統(tǒng)管理員帳戶重命名帳戶3.禁用不必要的服務(wù)開始菜單-管理工具-服務(wù)打印假脫機程序遠程注冊表網(wǎng)絡(luò)輔助程序服務(wù)器在默認情況下在Windows Server 2003系統(tǒng)上啟動的服務(wù)中，上述功能被禁用。除非有特殊需要，否則不應(yīng)啟動默認禁用的服務(wù)。4.啟用防火墻桌面-網(wǎng)絡(luò)鄰居-(右鍵單擊)屬性-本地連接-(右鍵單擊)屬性-高級-(選定)互聯(lián)網(wǎng)連接防火墻-設(shè)置選擇要在服務(wù)器上使用的服務(wù)端口例如，網(wǎng)絡(luò)服務(wù)器應(yīng)該提供網(wǎng)絡(luò)(80)、文件傳輸協(xié)議(21)服務(wù)和遠程桌面管理(3389)用復(fù)選標記標記“FTP服務(wù)器”、“WEB服務(wù)器”和“遠程桌面”如果您要提供服務(wù)的端口不在其中，您也

5、可以單擊“添加”按鈕來添加它。具體參數(shù)可參照系統(tǒng)中的原始參數(shù)。然后單擊確定。注意：如果此服務(wù)器是遠程管理的，首先要確定是否選擇或添加了遠程管理的端口。ASP虛擬主機安全檢測探測器1.5版窗外特權(quán)結(jié)界“許可”這個詞在計算機應(yīng)用程序中經(jīng)常出現(xiàn)，尤其是在越來越多的朋友將視窗2000/XP加載到計算機中之后，讀者經(jīng)常會問，什么是許可？它有什么用？下面我們將使用幾個典型的例子來解釋權(quán)限在windows中的應(yīng)用，這樣您不僅可以限制其他人訪問您的文件夾并指定用戶在沒有安裝任何軟件的情況下不能使用的程序，還可以擁有來自Microsoft內(nèi)部的獨特技能來加強系統(tǒng)安全性。-首次了解視窗權(quán)限首先，為了充分利用win

6、dows權(quán)限的所有功能，請確保應(yīng)用權(quán)限的分區(qū)是NTFS文件系統(tǒng)。本文將以SP2視窗XP簡體中文專業(yè)版為例來說明。1.什么是權(quán)威？例如，窗口就像一個有導(dǎo)師甲和導(dǎo)師乙的實驗室；學(xué)生a和b都可以在實驗室完成實驗。然而，這里有不同的等級。兩位導(dǎo)師可以指定學(xué)生可以使用哪些實驗工具以及他們不能接觸哪些工具，這樣實驗室就不會因為學(xué)生誤用實驗工具而出現(xiàn)問題。同時，兩位教師可以限制對方使用實驗工具。因此，權(quán)威在。windows是分配和限制某個用戶或同一級別用戶權(quán)限的方法。就其外觀而言，windows用戶必須遵循這種“不平等”的系統(tǒng)，正是這種系統(tǒng)使windows能夠更好地為多用戶創(chuàng)建一個良好而穩(wěn)定的操作環(huán)境。2.

7、權(quán)限是什么？在基于NT內(nèi)核的Windows 2000/XP中，權(quán)限主要分為七類：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入和特殊權(quán)限(見圖1)。其中，完全控制包括另外六個權(quán)限。只要您擁有它，您就擁有另外六個權(quán)限，其余的復(fù)選框?qū)⒈蛔詣舆x中。它屬于“最高級別”權(quán)限。但是，其他權(quán)限的級別是：特殊權(quán)限讀取和運行修改寫入讀取。默認情況下，Windows XP將啟用“簡單文件共享”，這意味著“安全”選項卡和權(quán)限的高級選項都不可用。因此，本文中描述的權(quán)限應(yīng)用程序操作無法執(zhí)行?，F(xiàn)在右鍵單擊任何文件或文件夾。選擇屬性。如果看不到“安全”選項卡，可以通過以下方法打開它。打開“我的電腦”，單擊“工具文件

8、夾選項查看”，然后單擊“取消”使用簡單文件共享(推薦)復(fù)選框。實戰(zhàn)權(quán)威積極應(yīng)用以下應(yīng)用程序的前提是受限用戶不在管理員組中，否則可能會發(fā)生未經(jīng)授權(quán)的訪問，這將在后面的“反向應(yīng)用程序”中討論。執(zhí)行權(quán)限設(shè)置的用戶必須至少是超級用戶組的成員，才能擁有足夠的權(quán)限進行設(shè)置。示例1:不要查看我的文檔-保護您的文件或文件夾假設(shè)計算機a中有三個用戶，用戶名分別是用戶1、用戶2和用戶3。用戶1不希望用戶2和用戶3查看和操作他們自己的測試文件夾。步驟1:右鍵單擊“測試”文件夾，選擇“屬性”進入“安全性”標簽。您將在“組或用戶名”列中看到管理員(管理員)、創(chuàng)建者所有者、系統(tǒng)用戶(用戶)、用戶1(用戶1)。它們分別代表

9、名為計算機a的文件夾的管理員組、創(chuàng)建組、所有者組、系統(tǒng)組、用戶組和用戶1權(quán)限設(shè)置。當然，對于不同的計算機設(shè)置和軟件安裝，此列中用戶或用戶組的信息可能與我所描述的不同。但是，在正常情況下，至少包括三個項目中的一個：管理員、系統(tǒng)、用戶或所有人(見圖2)。步驟2:依次選擇和刪除管理員、創(chuàng)建者所有者、系統(tǒng)、用戶，并且只保留您使用的用戶帳戶。您可能會遇到如圖3所示的提示框。事實上，只需單擊“高級”按鈕，在“權(quán)限”選項卡中，取消“從父對象繼承可應(yīng)用于子對象的權(quán)限項目，包括在此明確定義的權(quán)限項目”復(fù)選框，然后單擊彈出對話框中的“刪除”。此操作使此文件夾清除從上一個目錄繼承的權(quán)限設(shè)置，并且血糖儀保留您使用的用

10、戶1帳戶。這是如此簡單，你可以達到的目的，其他用戶，甚至系統(tǒng)權(quán)限，不能訪問測試文件夾。需要注意的是，如果需要在此文件夾中安裝軟件，請不要刪除“系統(tǒng)”，否則可能會導(dǎo)致系統(tǒng)訪問錯誤。管理員不是最高指揮官：你可能會問，為什么這里有一個“系統(tǒng)”賬戶？同時，許多朋友認為windows2000/XP中的管理員是擁有最高權(quán)限的用戶。事實上，否則，這個“系統(tǒng)”擁有最高的權(quán)威，因為它“作為操作系統(tǒng)的一部分工作”。任何通過某種方法獲得此權(quán)限的用戶都可以覆蓋所有內(nèi)容。-例2:工作時間不要聊天禁止用戶使用程序步驟1:在安裝目錄下找到聊天程序的主程序，如QQ，其主程序是QQ.exe，打開其屬性對話框，進入“安全”選項卡

11、，選擇或添加您要限制的用戶，如用戶3。步驟2:選擇“完全控制”作為“拒絕”，選擇“讀取并運行”以及“拒絕”。步驟3:單擊“高級”按鈕輸入高級權(quán)限。選擇用戶3，然后單擊“編輯”按鈕輸入權(quán)限項目。選中此處“拒絕”列中的“更改權(quán)限”和“取得所有權(quán)”復(fù)選框。組策略編輯器也可以用來實現(xiàn)這個功能，但是安全性不如上述方法高。單擊“開始運行”，輸入“gpedit.msc”，進入并打開組策略編輯器，輸入“計算機設(shè)置窗口設(shè)置安全設(shè)置軟件限制策略其他規(guī)則”，右鍵單擊，選擇“所有任務(wù)新路徑規(guī)則”，然后根據(jù)提示設(shè)置要限制的軟件的主程序路徑，然后設(shè)置所需的安全級別，無論是“不允許”還是“限制”。-示例3:新來者是訪客微軟

12、增強系統(tǒng)安全性的內(nèi)部秘密這個實戰(zhàn)內(nèi)容需要管理員權(quán)限。所謂的入侵無非是用某種方法獲取管理員級權(quán)限或系統(tǒng)級權(quán)限，以便進行下一步操作，比如添加自己的用戶。如果你想讓入侵者“進來”而什么也不做呢？始終只能是來賓權(quán)限或低于此權(quán)限，即使本地登錄，甚至不能關(guān)機。然后，他將不能進行任何破壞性的活動。注意：這種方法有很高的風險。建議根本不知道以下程序目的的讀者不要嘗試，以免因誤操作導(dǎo)致系統(tǒng)故障或許多錯誤。步驟1:確定要設(shè)置的程序在系統(tǒng)目錄中搜索危險的程序，這些程序可以用來創(chuàng)建用戶來獲取和提升低權(quán)限用戶的權(quán)限，格式化硬盤，惡意操作如計算機崩潰：cmd.exe，regedit.exe，regsvr32.exe，re

13、gedt32.exe，gpedit.msc，，compmgmt.msc，mmc.exe，telnet.exe，ftp.exe，ftp.exe，XCOPY.EXE，at.exe，cacls.exe，edlin.exe，rsh.exe，finger.exe，runas.exe，net.exe，tracert.exe，netsh步驟2:根據(jù)系統(tǒng)調(diào)用的可能性對設(shè)置進行分組分組如下。設(shè)置這些程序權(quán)限。完成一個組后，建議重新啟動計算機以確認系統(tǒng)是否正常運行，并檢查事件查看器是否有錯誤消息(“控制面板管理工具事件查看器”)。(1)(只保留您自己的用戶，系統(tǒng)也會被刪除)(2)mmc.exe、tftp.exe、ftp.exe、XCOPY。EXE、comsdupd.exe(只保留您自己的用戶，系統(tǒng)也會被刪除)(3)regedit.exe、regedt32.exe、f