【正文】 電信局網(wǎng)管的服務(wù)器安全配置作者：日期：我在電信局做網(wǎng)管，原來管理過三十多臺(tái)服務(wù)器，從多年積累的經(jīng)驗(yàn)，寫出以下詳細(xì)的Windows2003服務(wù)系統(tǒng)的安全方案,我應(yīng)用以下方案，安全運(yùn)行了二年，無黑客有成功入侵的記錄，也有黑客入侵成功的在案，但最終還是沒有拿到肉雞的最高管理員身份,只是可以瀏覽跳轉(zhuǎn)到服務(wù)器上所有客戶的網(wǎng)站。服務(wù)器安全設(shè)置 　　 開始菜單—控制面板—添加或刪除—添加/刪除Windows組件　　 應(yīng)用程序 ———（可選）　　　　　　　 |——啟用網(wǎng)絡(luò) COM+ 訪問（必選）　　　　　　　 |——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器（必選）　　　　　　　　　　　　　|——公用文件（必選）　　　　　　　　　　　　|——萬維網(wǎng)服務(wù)———Active Server pages（必選）　　　　　　　　　　　　　　　　　　　|——Internet 數(shù)據(jù)連接器（可選） 　　　　　　　　　　　　　　　　　　　|——WebDAV 發(fā)布（可選）　　　　　　　　　　　　　　　　　　　|——萬維網(wǎng)服務(wù)（必選）　　　　　　　　　　　　　　　　　　　|——在服務(wù)器端的包含文件（可選） 在”網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP）和Microsoft網(wǎng)絡(luò)客戶端。在高級tcp/ip設(shè)置里NetBIOS設(shè)置禁用tcp/IP上的NetBIOS（S）。在“本地連接”打開Windows 2003 自帶的防火墻，可以屏蔽端口，基本達(dá)到一個(gè)IPSec的功能,只保留有用的端口,比如遠(yuǎn)程(3389)和 Web(80),Ftp(21),郵件服務(wù)器(25,110),(443),SQL(1433) IIS (Internet信息服務(wù)器管理器) 在主目錄選項(xiàng)設(shè)置以下讀 允許寫 不允許腳本源訪問 不允許目錄瀏覽 建議關(guān)閉記錄訪問 建議關(guān)閉索引資源 建議關(guān)閉執(zhí)行權(quán)限 推薦選擇 “純腳本” 建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。(最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問權(quán)限，只允許管理員和system為Full Control)。 本地計(jì)算機(jī) 屬性 允許直接編輯配置在IIS中 屬性主目錄配置選項(xiàng)中。 在網(wǎng)站把”啟用父路徑“前面打上勾 在IIS中的Web服務(wù)擴(kuò)展中選中Active Server Pages，點(diǎn)擊“允許” 優(yōu)化IIS6應(yīng)用程序池　　 取消“在空閑此段時(shí)間后關(guān)閉工作進(jìn)程（分鐘）”　　 勾選“回收工作進(jìn)程（請求數(shù)目）”　　 取消“快速失敗保護(hù)” 解決SERVER 2003不能上傳大附件的問題　　 在“服務(wù)”里關(guān)閉 iis admin service 服務(wù)。　　 找到 windows\system32\inetsrv\ 下的 文件?！　?找到 ASPMaxRequestEntityAllowed 把它修改為需要的值（可修改為20M即：20480000）　　 存盤，然后重啟 iis admin service 服務(wù)。 解決SERVER 2003無法下載超過4M的附件問題　　 在“服務(wù)”里關(guān)閉 iis admin service 服務(wù)?！　?找到 windows\system32\inetsrv\ 下的 文件?！　?找到 AspBufferingLimit 把它修改為需要的值（可修改為20M即：20480000）　　 存盤，然后重啟 iis admin service 服務(wù)。 超時(shí)問題　　 解決大附件上傳容易超時(shí)失敗的問題　　 在IIS中調(diào)大一些腳本超時(shí)時(shí)間，操作方法是： 在IIS的“站點(diǎn)或虛擬目錄”的“主目錄”下點(diǎn)擊“配置”按鈕，　　 設(shè)置腳本超時(shí)時(shí)間為：300秒 (注意：不是Session超時(shí)時(shí)間)　　解決通過WebMail寫信時(shí)間較長后，按下發(fā)信按鈕就會(huì)回到系統(tǒng)登錄界面的問題　　 適當(dāng)增加會(huì)話時(shí)間(Session)為 60分鐘。在IIS站點(diǎn)或虛擬目錄屬性的“主目錄”下點(diǎn)擊“配置選項(xiàng)”，　　 就可以進(jìn)行設(shè)置了(Windows 2003默認(rèn)為20分鐘) 修改3389遠(yuǎn)程連接端口[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]PortNumber=dword:0000端口號[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp]PortNumber=dword:0000端口號設(shè)置這兩個(gè)注冊表的權(quán)限, 添加“IUSR”的完全拒絕 禁止顯示端口號 本地策略用戶權(quán)限分配　　 關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。 　　 通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除 在安全設(shè)置里 本地策略用戶權(quán)利分配，通過終端服務(wù)拒絕登陸 加入ASPNET IUSR_ IWAM_ NETWORK SERVICE (注意不要添加進(jìn)user組和administrators組 添加進(jìn)去以后就沒有辦法遠(yuǎn)程登陸了) 在安全設(shè)置里 本地策略安全選項(xiàng)網(wǎng)絡(luò)訪問:可匿名訪問的共享。 網(wǎng)絡(luò)訪問:可匿名訪問的命名管道。 網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑。 網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑。 將以上四項(xiàng)全部刪除 不允許 SAM 賬戶的匿名枚舉 更改為已啟用 不允許 SAM 賬戶和共享的匿名枚舉 更改為已啟用 。 網(wǎng)絡(luò)訪問: 不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports 更改為已啟用 。 ,更改為已啟用 。將以上四項(xiàng)通通設(shè)為“已啟用” 計(jì)算機(jī)管理的本地用戶和組禁用終端服務(wù)(TsInternetUser), SQL服務(wù)(SQLDebugger), SUPPORT_388945a0 禁用不必要的服務(wù)sc config AeLookupSvc start= AUTO sc config Alerter start= DISABLED sc config ALG start= DISABLED sc config AppMgmt start= DEMAND sc config aspnet_state start= DEMAND sc config AudioSrv start= DISABLED sc config BITS start= DEMAND sc config Browser start= DEMAND sc config CiSvc start= DISABLED sc config ClipSrv start= DISABLED sc config start= DEMAND sc config COMSysApp start= DEMAND sc config CryptSvc start= AUTO sc config DLaunch start= AUTO sc config Dfs start= DEMAND sc config Dhcp start= AUTO sc config dmadmin start= DEMAND sc config dmserver start= AUTO sc config Dnscache start= AUTO sc config ERSvc start= DISABLED sc config Eventlog start= AUTO sc config EventSystem start= AUTO sc config helpsvc start= DISABLED sc config HidServ start= AUTO sc config HTTPFilter start= DEMAND sc config IISADMIN start= AUTO sc config ImapiService start= DISABLED sc config IsmServ start= DISABLED sc config kdc start= DISABLED sc config lanmanworkstation start= DISABLED sc config LicenseService start= DISABLED sc config LmHosts start= DISABLED sc config Messenger start= DISABLED sc config mnmsrvc start= DISABLED sc config MSDTC start= AUTO sc config MSIServer start= DEMAND sc config MSSEARCH start= AUTO sc config MSSQLSERVER start= AUTO sc config MSSQLServerADHelper start= DEMAND sc config NetDDE start= DISABLED sc config NetDDEdsdm start= DISABLED sc config Netlogon start= DEMAND sc config Netman start= DEMAND sc config Nla start= DEMAND sc config NtFrs start= DEMAND sc config NtLmSsp start= DEMAND sc config NtmsSvc start= DEMAND sc config PlugPlay start= AUTO sc config PolicyAgent start= AUTO sc config ProtectedStorage start= AUTO sc config RasAuto start= DEMAND sc config RasMan start= DEMAND sc config RDSessMgr start= DEMAND sc config RemoteAccess start= DISABLED sc config RemoteRegistry start= DISABLED sc config RpcLocator start= DEMAND sc config RpcSs start= AUTO sc config RSoPProv start= DEMAND sc config sacsvr start= DEMAND sc config SamSs start= AUTO sc config SCardSvr start= DEMAND sc config Schedule start= AUTO sc config seclogon start= AUTO sc config SENS start= AUTO sc config SharedAccess start= DISABLED sc config ShellHWDetection start= AUTO sc config SMTPSVC start= AUTO sc config Spooler start= DISABLED sc config SQLSERVERAGENT start= AUTO sc config stisvc start= DISABLED sc config swprv start= DEMAND sc config SysmonLog start= AUTO sc config TapiSrv start= DEMAND sc config TermService start= AUTO sc config Themes start= DISABLED sc config TlntSvr start= DISABLED sc config TrkSvr start= DISABLED sc config TrkWks start= AUTO sc config Tssdis start= DISABLED sc config UMWdf start= DEMAND sc config UPS start= DEMAND sc config vds start= DEMAND sc config VSS start= DEMAND sc config W32Time start= AUTO sc config W3SVC start= AUTO sc config WebClient start= DISABLED sc config WinHttpAutoProxySvc start= DEMAND sc config winmgmt start= AUTO sc config WmdmPmSN start= DEMAND sc config Wmi start= DEMAND sc config WmiApSrv start= DEMAND sc config wuauserv start= DISABLED sc config WZCSVC start= DISABLED sc config xmlprov start= DEMAND 刪除默認(rèn)共享 @echo off:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 先列舉存在的分區(qū)，然后再逐個(gè)刪除以分區(qū)名命名的共享；:: 通過修改注冊表防止admin$共享在下次開機(jī)時(shí)重新加載； :: IPC$共享需要administritor權(quán)限才能成功刪除::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::title 默認(rèn)共享刪除器color 1fecho. echo echo. echo 開始刪除每個(gè)分區(qū)下的默認(rèn)共享. echo. for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(if exist %%a:\nul (net share %%a$ /deletenul 2nul amp。amp。 echo 成功刪除名為 %%a$ 的默認(rèn)共享 || echo 名為 %%a$ 的默認(rèn)共享不存在) )net share admin$ /deletenul 2nul amp。amp。 echo 成功刪除名為 admin$ 的默認(rèn)共享 || echo 名為 admin$ 的默認(rèn)共享不存在echo.echo echo.net stop Server /ynul 2nul amp。amp。 echo Server服務(wù)已停止.net start Servernul 2nul amp。amp。 echo Server服務(wù)已啟動(dòng).echo. echo echo. echo 修改注冊表以更改系統(tǒng)默認(rèn)設(shè)置. echo. echo 正在創(chuàng)建注冊表文件. echo Windows Registry Editor Versio