win2k3新系统的比较全面安全设置超详细版
程序员文章站
2022-11-29 08:59:30
win2k3新系统的比较全面安全设置超详细版...
首先从以下几个方面入手
1、新系统安装后,先进行全面的windows updata 打全所有官方公布的补丁程序。(很关键的步骤,不能省略)
2、系统服务中的各项服务进行优化和筛选。(看操作把,我已经设置过了,我会告诉的)
computer browser此服务最好关闭,防止局域网之间的浏览
messenger没用的服务,自然是停止了
print spooler没用的服务,自然是停止了
remote procedure call (rpc) 此服务可不能停,要把恢复项中的失败全部设置为不操作
remote registry此项服务可以远程操作本地注册表,自然仅用了
server此项没有,自然禁用了
tcp/ip netbios helper此项服务也是没用了,禁用。
telnet 终端,不用说了禁用。
terminal services 远程访问控制(3389端口),根据情况开启
windows firewall/internet connection sharing (ics)此项为系统自带的防火墙,根据情况最好开启
windows time此项没有,自然禁用了
windows user mode driver framework此项没有,自然禁用了
winhttp web proxy auto-discovery service 此项没有,自然禁用了
wireless configuration此项没有,自然禁用了
workstation此项最好关闭
主要项关闭后,系统的常规共享、ipc$等等都关闭了,还有网卡的设置,看wins中选择禁用,这是最好了同时也关闭了137/138端口
3、本地安全策略进行端口和icmp设置(关闭常用端口及防止ping攻击)操作此项根据个人的习惯,最好进行处理
重新设置一下,首先禁用icmp,即ping
这样就设置好了icmp,如果希望通过指定ip地址来登陆3389如何设置那,看操作,这里以本机ip地址为例192.168.210.252这样就设置好了
还可以关闭常用的端口,操作例关闭1000-1080端口这样就好了,最后选择指派,就生效了
4、tcp/ip 筛选(这个也是对网卡进行操作,可以选择)
5、iis设置(略,如果希望讲解,tcp端口可以设置常用的开放端口,udp可以全部不开放,如果提供dns服务,开放53端口就行了),还要对本地计算机的组策略进行设置 gpedit.msc,计算机配置中的帐户策略,密码策略,密码最小长度最好超过8位以上,以后就算被入侵了,不知道密码的最小长度,也没有办法添加用户,帐户锁定策略 锁定阚值必须设置,最好2次不要超过3次,锁定时间自定,本地策略,根据自己本身情况设置,其他的根据自己的情况酌量而行
下面的内容还是要酌量而行,如果权限设置的过于bt有可能要出问题,所以看情况
6、常用命令及控件的权限分配(cmd.exe/net.exe/net1.exe/shell32.dll/wshom.ocx/ftp.exe/tftp.exe/cacls.exe/netstat.exe/wshext.dll/scrrun.dll)
这些命令或组件都是危险的东西,根据自己的实际环境,不必要删除或卸载,可以把它们的users组权限取消,同时对c盘的主要目录进行权限分配
下面以cmd.exe为例,大家看到了没有users组,我已经删掉了,下面是常用的反注册危险组件的方法
卸载wscript.network对象,在cmd下或直接运行:regsvr32 /u c:\windows\system32\wshom.ocx
wscript.shell: regsvr32/u wshext.dll
shell.application: regsvr32.exe/u shell32.dll
卸载fso对象,在cmd下或直接运行:regsvr32.exe /u c:\windows\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "c:\program files\common files\system\ado\msado15.dll"
下面是对硬盘的安全设置
,我就不操作了,权限都有了,也可以根据情况对 windows/program files/serv-u目录进行设置也可以。
windows 2003 硬盘安全设置
c:\
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只读和运行
c:\windows
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
iis_wpg 读取和运行,列出文件夹目录,读取
users 读取和运行(此权限最后调整完成后可以取消)
c:\windows\microsoft.net
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
users 读取和运行,列出文件夹目录,读取
'www.knowsky.com
c:\windows\microsoft.net
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
users 读取和运行,列出文件夹目录,读取
c:\windows\microsoft.net\temporary asp.net files
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
users 全部
c:\program files
everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:\windows\temp
administrator 全部权限
system全部权限
users 全部权限
c:\program files\common files
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
terminal server users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
users 读取和运行,列出文件夹目录,读取
c:\program files\dimac(如果有这个目录)
everyone 读取和运行,列出文件夹目录,读取
administrators 全部
c:\program files\complus applications (如果有)
administrators 全部
c:\program files\gflsdk (如果有)
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
terminal server users
修改,读取和运行,列出文件夹目录,读取,写入
users 读取和运行,列出文件夹目录,读取
everyone 读取和运行,列出文件夹目录,读取
c:\program files\installshield installation information (如果有)
c:\program files\internet explorer (如果有)
c:\program files\netmeeting (如果有)
administrators 全部
c:\program files\windowsupdate
creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
c:\program files\microsoft sql(如果sql安装在这个目录)
administrators 全部
service 全部
system 全部
d:\ (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:\freehost (如果此目录用来放置用户网站内容)
administrators 全部权限
service 读取与运行
经过以上的设置后,我相信服务器的安全会很大的提高了,就算有漏洞服务器上传了asp或其他的木马,也没有运行的机会了。好了,
希望本教学会对大家有所帮助,谢谢了。
这里不能上传附件,需要全程录像可以联系我,不知道发我的论坛地址会不会被算做ad,我的qq:908166
1、新系统安装后,先进行全面的windows updata 打全所有官方公布的补丁程序。(很关键的步骤,不能省略)
2、系统服务中的各项服务进行优化和筛选。(看操作把,我已经设置过了,我会告诉的)
computer browser此服务最好关闭,防止局域网之间的浏览
messenger没用的服务,自然是停止了
print spooler没用的服务,自然是停止了
remote procedure call (rpc) 此服务可不能停,要把恢复项中的失败全部设置为不操作
remote registry此项服务可以远程操作本地注册表,自然仅用了
server此项没有,自然禁用了
tcp/ip netbios helper此项服务也是没用了,禁用。
telnet 终端,不用说了禁用。
terminal services 远程访问控制(3389端口),根据情况开启
windows firewall/internet connection sharing (ics)此项为系统自带的防火墙,根据情况最好开启
windows time此项没有,自然禁用了
windows user mode driver framework此项没有,自然禁用了
winhttp web proxy auto-discovery service 此项没有,自然禁用了
wireless configuration此项没有,自然禁用了
workstation此项最好关闭
主要项关闭后,系统的常规共享、ipc$等等都关闭了,还有网卡的设置,看wins中选择禁用,这是最好了同时也关闭了137/138端口
3、本地安全策略进行端口和icmp设置(关闭常用端口及防止ping攻击)操作此项根据个人的习惯,最好进行处理
重新设置一下,首先禁用icmp,即ping
这样就设置好了icmp,如果希望通过指定ip地址来登陆3389如何设置那,看操作,这里以本机ip地址为例192.168.210.252这样就设置好了
还可以关闭常用的端口,操作例关闭1000-1080端口这样就好了,最后选择指派,就生效了
4、tcp/ip 筛选(这个也是对网卡进行操作,可以选择)
5、iis设置(略,如果希望讲解,tcp端口可以设置常用的开放端口,udp可以全部不开放,如果提供dns服务,开放53端口就行了),还要对本地计算机的组策略进行设置 gpedit.msc,计算机配置中的帐户策略,密码策略,密码最小长度最好超过8位以上,以后就算被入侵了,不知道密码的最小长度,也没有办法添加用户,帐户锁定策略 锁定阚值必须设置,最好2次不要超过3次,锁定时间自定,本地策略,根据自己本身情况设置,其他的根据自己的情况酌量而行
下面的内容还是要酌量而行,如果权限设置的过于bt有可能要出问题,所以看情况
6、常用命令及控件的权限分配(cmd.exe/net.exe/net1.exe/shell32.dll/wshom.ocx/ftp.exe/tftp.exe/cacls.exe/netstat.exe/wshext.dll/scrrun.dll)
这些命令或组件都是危险的东西,根据自己的实际环境,不必要删除或卸载,可以把它们的users组权限取消,同时对c盘的主要目录进行权限分配
下面以cmd.exe为例,大家看到了没有users组,我已经删掉了,下面是常用的反注册危险组件的方法
卸载wscript.network对象,在cmd下或直接运行:regsvr32 /u c:\windows\system32\wshom.ocx
wscript.shell: regsvr32/u wshext.dll
shell.application: regsvr32.exe/u shell32.dll
卸载fso对象,在cmd下或直接运行:regsvr32.exe /u c:\windows\system32\scrrun.dll
卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "c:\program files\common files\system\ado\msado15.dll"
下面是对硬盘的安全设置
,我就不操作了,权限都有了,也可以根据情况对 windows/program files/serv-u目录进行设置也可以。
windows 2003 硬盘安全设置
c:\
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只读和运行
c:\windows
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
iis_wpg 读取和运行,列出文件夹目录,读取
users 读取和运行(此权限最后调整完成后可以取消)
c:\windows\microsoft.net
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
users 读取和运行,列出文件夹目录,读取
'www.knowsky.com
c:\windows\microsoft.net
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
users 读取和运行,列出文件夹目录,读取
c:\windows\microsoft.net\temporary asp.net files
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
users 全部
c:\program files
everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:\windows\temp
administrator 全部权限
system全部权限
users 全部权限
c:\program files\common files
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
terminal server users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
users 读取和运行,列出文件夹目录,读取
c:\program files\dimac(如果有这个目录)
everyone 读取和运行,列出文件夹目录,读取
administrators 全部
c:\program files\complus applications (如果有)
administrators 全部
c:\program files\gflsdk (如果有)
administrators 全部
creator owner
不是继承的
只有子文件夹及文件
完全
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
terminal server users
修改,读取和运行,列出文件夹目录,读取,写入
users 读取和运行,列出文件夹目录,读取
everyone 读取和运行,列出文件夹目录,读取
c:\program files\installshield installation information (如果有)
c:\program files\internet explorer (如果有)
c:\program files\netmeeting (如果有)
administrators 全部
c:\program files\windowsupdate
creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
power users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
c:\program files\microsoft sql(如果sql安装在这个目录)
administrators 全部
service 全部
system 全部
d:\ (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:\freehost (如果此目录用来放置用户网站内容)
administrators 全部权限
service 读取与运行
经过以上的设置后,我相信服务器的安全会很大的提高了,就算有漏洞服务器上传了asp或其他的木马,也没有运行的机会了。好了,
希望本教学会对大家有所帮助,谢谢了。
这里不能上传附件,需要全程录像可以联系我,不知道发我的论坛地址会不会被算做ad,我的qq:908166