Windows-Server-2003-系统配置方案

由于近短ASP木马问题严重/很多主机租用朋友和主机管理员想我询问WIN2003的一些安全配置措施，现我做拉初步整理。希望对大家有所帮助。有不足之处请大家补上。一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。２、IIS6.0的安装开始菜单—控制面板—添加或删除程序—添加/删除Windows组件应用程序———ASP.NET（可选）|——启用网络COM+访问（必选）|——Internet信息服务(IIS)———Internet信息服务管理器（必选）|——公用文件（必选）|——万维网服务———ActiveServerpages（必选）|——Internet数据连接器（可选）|——WebDAV发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）然后点击确定—下一步安装。３、系统补丁的更新点击开始菜单—所有程序—WindowsUpdate按照提示进行补丁的安装。４、备份系统用GHOST备份系统。５、安装常用的软件例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。二、系统权限的设置１、磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限２、本地安全策略设置开始菜单—管理工具—本地安全策略A、本地策略——审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略——用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略——安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户３、禁用不必要的服务开始菜单—管理工具—服务PrintSpoolerRemoteRegistryTCP/IPNetBIOSHelperServer以上是在WindowsServer2003系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。４、启用防火墙桌面—网上邻居—（右键）属性—本地连接—（右键）属性—高级—（选中）Internet连接防火墙—设置把服务器上面要用到的服务端口选中例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）在“FTP服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。ASP虚拟主机安全检测探针V1.5走出Windows权限迷魂阵在电脑应用中经常会看到权限这个词，特别是Windows2000/XP被越来越多的朋友装进电脑后，常常会有读者问，什么是权限呢?它到底有什么用?下面我们将用几个典型实例为大家讲解windows中的权限应用，让你不仅可以在不安装任何软件的情况下，限制别人访问你的文件夹、指定用户不能使用的程序，而且还有来自微软内部的加强系统安全的绝招。--------------------------------------------------------------------------------初识Windows的权限首先，要完全使用windows权限的所有功能，请确保在应用权限的分区为NTFS文件系统。本文将以windowsXP简体中文专业版+SP2作为范例讲解。1．什么是权限?举个形象的例子，windows就像一个实验室，其中有导师A、导师B；学生A、学生B．大家都能在实验室里面完成实验。但在这里又是分等级的．两位导师可以指定学生能使用什么样的实验工具，不能碰什么工具，从而使得实验室不会因为学生乱用实验工具．而出现问题。同时．两位导师又能互相限制对方对实验工具的使用。因此．windows中的权限就是对某个用户或同等级的用户进行权力分配和限制的方法。正是有了它的出现，windows中的用户要遵循这种不平等的制度，而正是这个制度，才使得windows可以更好地为多个用户的使用创造了良好，稳定的运行环境。2．权限都包含有什么?在以NT内核为基础的Windows2000/XP中，权限主要分为七大类完全控制、修改，读取和运行、列出文件夹目录、读取、写入、特别的权限(见图1)。其中完全控制包含了其他六大权限．只要拥有它，就等同于拥有了另外六大权限，其余复选框会被自动选中．属于最高等级的权限。而其他权限的等级高低分别是：特别的权限读取和运行修改写入读取。默认情况下，WindowsXP将启用简单文件共享，这意味着安全性选项卡和针对权限的高级选项都不可用．也就不能进行本文所述的那些权限应用操作了。请现在就右击任意文件或文件夹．选择属性，如果没有看到安全选项卡，你可以通过如下方法打开它。打开我的电脑，点击工具→文件夹选项→查看，接着在然后单击取消使用简单文件共享(推荐)复选框即可。实战权限正面应用以下应用的前提，是被限制的用户不在Administrators组，否则将可能发生越权访问，后面反面应用会讲到。执行权限设置的用户至少需要为PowerUsers组的成员，才有足够权限进行设置。实例1：我的文档你别看－保护你的文件或文件夹假设A电脑中有三个用户，用户名分别为User1、User2、User3。Userl不想让User2和User3查看和操作自己的test文件夹。第一步：右击test文件夹并选择属性，进入安全选项卡，你将会看到组或用户名称栏里有Administrators(A\Administrators)、CREATOROWNER、SYSTEMUsers(A\Users)、User1(A\User1)。他们分别表示名为A电脑的管理员组，创建、所有者组，系统组，用户组以及用户User1对此文件夹的权限设置。当然，不同的电脑设置和软件安装情况，此栏里的用户或用户组信息不一定就是和我描述的一样．但正常情况下最少将包含3项之一：Administrators、SYSTEM、Users或Everyone(见图2)。第二步：依次选中并删除Administrators、CREATOROWNER、SYSTEM、Users，仅保留自己使用的Userl账户。在操作中可能会遇到如图3的提示框。其实只要单击高级按钮，在权限选项卡中，取消从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目的复选框，在弹出对话框中单击删除即可。该操作使此文件夹清除了从上一级目录继承来的权限设置，仪保留了你使用的User1账户。就这么轻松，你就实现了其他用户，甚至系统权限都无法访问test文件夹的目的。★需要注意的是，如果这个文件夹中需要安装软件，那么就不要删除SYSTEM，不然可能引起系统访问出错★Administrator并不是最高指挥官：你可能会问，为什么这里会有一个SYSTEM账户呢?同时许多朋友认为windows2000/XP中的Administrator是拥有权限最高的用户，其实不然，这个SYSTEM才具有系统最高权限，因为它是作为操作系统的一部分工作，任何用户通过某种方法获取了此权限，就能凌驾一切。--------------------------------------------------------------------------------实例2：上班时间别聊天－禁止用户使用某程序第一步：找到聊天程序的主程序，如QQ，其主程序就是安装目录下的QQ.exe，打开它的属性对话框，进入安全选项卡，选中或添加你要限制的用户，如User3。第二步：接着选择完全控制为拒绝，读取和运行也为拒绝。第三步：单击高级按钮进入高级权限没置，选中User3，点编辑按钮，进入权限项目。在这里的拒绝栏中选中更改权限和取得所有权的复选框。也可以使用组策略编辑器来实现此功能，但安全性没有上面方法高。点击开始→运行，输入gpedit.msc，回车后打开组策略编辑器，进入计算机设置→windows设置→安全设置→软件限制策略→其他规则，右击，选择所有任务→新路径规则，接着根据提示设置想要限制的软件的主程序路径，然后设定想要的安全级别，是不允许的还是受限制的。--------------------------------------------------------------------------------实例3：来者是客-－微软内部增强系统安全的秘技本实战内容将需要管理员权限。所谓入侵，无非就是利用某种方法获取到管理员级别的权限或系统级的权限，以便进行下一步操作，如添加自己的用户。如果想要使入侵者进来之后不能进行任何操作呢?永远只能是客人权限或比这个权限更低，就算本地登录，连关机都不可以。那么，他将不能实施任何破坏活动。注意：此法有较高的危险性．建议完全不知道以下程序用途的读者不要尝试．以免误操作引起系统不能进入或出现很多错误。第一步：确定要设置的程序搜索系统目录下的危险程序，它们可以用来创建用户夺取及提升低权限用户的权限，格式化硬盘，引起电脑崩溃等恶意操作：cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe第二步：按系统调用的可能性分组设置按照下面分组．设置这些程序权限。完成一组后，建议重启电脑确认系统运行是否一切正常，查看事件查看器，是否有错误信息(控制面板→管理工具→事件查看器)。(1)cmd.exe、net.exegpedit.msctelnet.execommand.com(仅保留你自己的用户，SYSTEM也删除)(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe(仅保留你自己的用户，SYSTEM也删除)(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug