【正文】 電信局網(wǎng)管的服務器安全配置作者：日期：我在電信局做網(wǎng)管，原來管理過三十多臺服務器，從多年積累的經(jīng)驗，寫出以下詳細的Windows2003服務系統(tǒng)的安全方案,我應用以下方案，安全運行了二年，無黑客有成功入侵的記錄，也有黑客入侵成功的在案，但最終還是沒有拿到肉雞的最高管理員身份,只是可以瀏覽跳轉(zhuǎn)到服務器上所有客戶的網(wǎng)站。服務器安全設置 　　 開始菜單—控制面板—添加或刪除—添加/刪除Windows組件　　 應用程序 ———（可選）　　　　　　　 |——啟用網(wǎng)絡 COM+ 訪問（必選）　　　　　　　 |——Internet 信息服務(IIS)———Internet 信息服務管理器（必選）　　　　　　　　　　　　　|——公用文件（必選）　　　　　　　　　　　　|——萬維網(wǎng)服務———Active Server pages（必選）　　　　　　　　　　　　　　　　　　　|——Internet 數(shù)據(jù)連接器（可選） 　　　　　　　　　　　　　　　　　　　|——WebDAV 發(fā)布（可選）　　　　　　　　　　　　　　　　　　　|——萬維網(wǎng)服務（必選）　　　　　　　　　　　　　　　　　　　|——在服務器端的包含文件（可選） 在”網(wǎng)絡連接”里，把不需要的協(xié)議和服務都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP）和Microsoft網(wǎng)絡客戶端。在高級tcp/ip設置里NetBIOS設置禁用tcp/IP上的NetBIOS（S）。在“本地連接”打開Windows 2003 自帶的防火墻，可以屏蔽端口，基本達到一個IPSec的功能,只保留有用的端口,比如遠程(3389)和 Web(80),Ftp(21),郵件服務器(25,110),(443),SQL(1433) IIS (Internet信息服務器管理器) 在主目錄選項設置以下讀 允許寫 不允許腳本源訪問 不允許目錄瀏覽 建議關(guān)閉記錄訪問 建議關(guān)閉索引資源 建議關(guān)閉執(zhí)行權(quán)限 推薦選擇 “純腳本” 建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。(最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權(quán)限，只允許管理員和system為Full Control)。 本地計算機 屬性 允許直接編輯配置在IIS中 屬性主目錄配置選項中。 在網(wǎng)站把”啟用父路徑“前面打上勾 在IIS中的Web服務擴展中選中Active Server Pages，點擊“允許” 優(yōu)化IIS6應用程序池　　 取消“在空閑此段時間后關(guān)閉工作進程（分鐘）”　　 勾選“回收工作進程（請求數(shù)目）”　　 取消“快速失敗保護” 解決SERVER 2003不能上傳大附件的問題　　 在“服務”里關(guān)閉 iis admin service 服務。　　 找到 windows\system32\inetsrv\ 下的 文件?！　?找到 ASPMaxRequestEntityAllowed 把它修改為需要的值（可修改為20M即：20480000）　　 存盤，然后重啟 iis admin service 服務。 解決SERVER 2003無法下載超過4M的附件問題　　 在“服務”里關(guān)閉 iis admin service 服務?！　?找到 windows\system32\inetsrv\ 下的 文件?！　?找到 AspBufferingLimit 把它修改為需要的值（可修改為20M即：20480000）　　 存盤，然后重啟 iis admin service 服務。 超時問題　　 解決大附件上傳容易超時失敗的問題　　 在IIS中調(diào)大一些腳本超時時間，操作方法是： 在IIS的“站點或虛擬目錄”的“主目錄”下點擊“配置”按鈕，　　 設置腳本超時時間為：300秒 (注意：不是Session超時時間)　　解決通過WebMail寫信時間較長后，按下發(fā)信按鈕就會回到系統(tǒng)登錄界面的問題　　 適當增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊“配置選項”，　　 就可以進行設置了(Windows 2003默認為20分鐘) 修改3389遠程連接端口[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]PortNumber=dword:0000端口號[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp]PortNumber=dword:0000端口號設置這兩個注冊表的權(quán)限, 添加“IUSR”的完全拒絕 禁止顯示端口號 本地策略用戶權(quán)限分配　　 關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。 　　 通過終端服務允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除 在安全設置里 本地策略用戶權(quán)利分配，通過終端服務拒絕登陸 加入ASPNET IUSR_ IWAM_ NETWORK SERVICE (注意不要添加進user組和administrators組 添加進去以后就沒有辦法遠程登陸了) 在安全設置里 本地策略安全選項網(wǎng)絡訪問:可匿名訪問的共享。 網(wǎng)絡訪問:可匿名訪問的命名管道。 網(wǎng)絡訪問:可遠程訪問的注冊表路徑。 網(wǎng)絡訪問:可遠程訪問的注冊表路徑和子路徑。 將以上四項全部刪除 不允許 SAM 賬戶的匿名枚舉 更改為已啟用 不允許 SAM 賬戶和共享的匿名枚舉 更改為已啟用 。 網(wǎng)絡訪問: 不允許存儲網(wǎng)絡身份驗證的憑據(jù)或 .NET Passports 更改為已啟用 。 ,更改為已啟用 。將以上四項通通設為“已啟用” 計算機管理的本地用戶和組禁用終端服務(TsInternetUser), SQL服務(SQLDebugger), SUPPORT_388945a0 禁用不必要的服務sc config AeLookupSvc start= AUTO sc config Alerter start= DISABLED sc config ALG start= DISABLED sc config AppMgmt start= DEMAND sc config aspnet_state start= DEMAND sc config AudioSrv start= DISABLED sc config BITS start= DEMAND sc config Browser start= DEMAND sc config CiSvc start= DISABLED sc config ClipSrv start= DISABLED sc config start= DEMAND sc config COMSysApp start= DEMAND sc config CryptSvc start= AUTO sc config DLaunch start= AUTO sc config Dfs start= DEMAND sc config Dhcp start= AUTO sc config dmadmin start= DEMAND sc config dmserver start= AUTO sc config Dnscache start= AUTO sc config ERSvc start= DISABLED sc config Eventlog start= AUTO sc config EventSystem start= AUTO sc config helpsvc start= DISABLED sc config HidServ start= AUTO sc config HTTPFilter start= DEMAND sc config IISADMIN start= AUTO sc config ImapiService start= DISABLED sc config IsmServ start= DISABLED sc config kdc start= DISABLED sc config lanmanworkstation start= DISABLED sc config LicenseService start= DISABLED sc config LmHosts start= DISABLED sc config Messenger start= DISABLED sc config mnmsrvc start= DISABLED sc config MSDTC start= AUTO sc config MSIServer start= DEMAND sc config MSSEARCH start= AUTO sc config MSSQLSERVER start= AUTO sc config MSSQLServerADHelper start= DEMAND sc config NetDDE start= DISABLED sc config NetDDEdsdm start= DISABLED sc config Netlogon start= DEMAND sc config Netman start= DEMAND sc config Nla start= DEMAND sc config NtFrs start= DEMAND sc config NtLmSsp start= DEMAND sc config NtmsSvc start= DEMAND sc config PlugPlay start= AUTO sc config PolicyAgent start= AUTO sc config ProtectedStorage start= AUTO sc config RasAuto start= DEMAND sc config RasMan start= DEMAND sc config RDSessMgr start= DEMAND sc config RemoteAccess start= DISABLED sc config RemoteRegistry start= DISABLED sc config RpcLocator start= DEMAND sc config RpcSs start= AUTO sc config RSoPProv start= DEMAND sc config sacsvr start= DEMAND sc config SamSs start= AUTO sc config SCardSvr start= DEMAND sc config Schedule start= AUTO sc config seclogon start= AUTO sc config SENS start= AUTO sc config SharedAccess start= DISABLED sc config ShellHWDetection start= AUTO sc config SMTPSVC start= AUTO sc config Spooler start= DISABLED sc config SQLSERVERAGENT start= AUTO sc config stisvc start= DISABLED sc config swprv start= DEMAND sc config SysmonLog start= AUTO sc config TapiSrv start= DEMAND sc config TermService start= AUTO sc config Themes start= DISABLED sc config TlntSvr start= DISABLED sc config TrkSvr start= DISABLED sc config TrkWks start= AUTO sc config Tssdis start= DISABLED sc config UMWdf start= DEMAND sc config UPS start= DEMAND sc config vds start= DEMAND sc config VSS start= DEMAND sc config W32Time start= AUTO sc config W3SVC start= AUTO sc config WebClient start= DISABLED sc config WinHttpAutoProxySvc start= DEMAND sc config winmgmt start= AUTO sc config WmdmPmSN start= DEMAND sc config Wmi start= DEMAND sc config WmiApSrv start= DEMAND sc config wuauserv start= DISABLED sc config WZCSVC start= DISABLED sc config xmlprov start= DEMAND 刪除默認共享 @echo off:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: 先列舉存在的分區(qū)，然后再逐個刪除以分區(qū)名命名的共享；:: 通過修改注冊表防止admin$共享在下次開機時重新加載； :: IPC$共享需要administritor權(quán)限才能成功刪除::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::title 默認共享刪除器color 1fecho. echo echo. echo 開始刪除每個分區(qū)下的默認共享. echo. for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(if exist %%a:\nul (net share %%a$ /deletenul 2nul amp。amp。 echo 成功刪除名為 %%a$ 的默認共享 || echo 名為 %%a$ 的默認共享不存在) )net share admin$ /deletenul 2nul amp。amp。 echo 成功刪除名為 admin$ 的默認共享 || echo 名為 admin$ 的默認共享不存在echo.echo echo.net stop Server /ynul 2nul amp。amp。 echo Server服務已停止.net start Servernul 2nul amp。amp。 echo Server服務已啟動.echo. echo echo. echo 修改注冊表以更改系統(tǒng)默認設置. echo. echo 正在創(chuàng)建注冊表文件. echo Windows Registry Editor Versio