欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

Windows 2003企业版的系统权限与安全配置

程序员文章站 2022-05-01 18:18:31
一、操作系统配置 1.删除Windows Server 2003默认共享 首先编写如下内容的批处理文件:@echo off net share C$ /delnet share D$ /d...

一、操作系统配置

1.删除Windows Server 2003默认共享
首先编写如下内容的批处理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share admin$ /del
文件名为delshare.bat,放到C盘,运行gpedit.msc,计算机配置—Windows设置—脚本(启动/关机)—启动—添加脚本选定为delshare.bat,脚本参数为空,那么每次开机时会自动删除共享。

2.IE对外访问安全
对这IE点击右键—属性—安全—自定义级别—安全级为中,点击确定。

3.IIS访问控件缺省
IIS(Internet 服务器)—Web服务扩展—Active Server Pages—右键属性—要求的文件,给与允许。

4.禁用IPC连接
创建一个.txt文件,把以下内容复制过去,命名为NO_IPC.reg,然后运行既可。
----------------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"restrictanonymous"=dword:00000001
----------------------------------------------------------------------------
或者自己手动修改注册表,找到如下组建:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。

5.禁止对外访问注册表
运行gpedit.msc—计算机配置—Windows设置—安全设置—本地策略—安全选项,把允许匿、远程名访问注册表的键值清空。

6.删除“网络连接”里的协议和服务
在“网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级TCP/IP设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。

7.启用Windows连接防火墙,只开放web服务(80端口)
在Windows 2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和assive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在Windows 2003系统上增加的Windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

8.磁盘权限
系统盘、系统盘Documents and Settings、系统盘Documents and SettingsAll Users和系统盘Documents and SettingsAll UsersApplication Data这4个目录只给予Administrators和SYSTEM权限;
系统盘Windows目录只给予Administrators、SYSTEM和users 权限;
搜索系统盘中的Windows目录,搜索net.exe;net1.exe;cmd.exe;command.exe;ftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;tftp.exe;format.com;

regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;

rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe文件只给予Administrators和SYSTEM权限(如果认为没多大用处就把它们删除,一般设置完毕后把cmd.exe和command.exe删除;
其它盘的设置,有安装程序运行的(如SQL Server 2000),给予Administrators和SYSTEM权限,没安装的,只给予Administrators权限。

注意:网站遇到问题时,试图给与Users完全控制权限看是否能修复。
IIS(Internet 服务器)—网站—(具体站点)—(右键)权限—Users完全控制

9.本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略(可选用)
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败

B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
**网络访问:可远程访问的注册表路径 全部删除
**网络访问:可远程访问的注册表路径和子路径 全部删除
账户:重命名来宾账户 重命名一个账户
(下面一项更改可能导致sqlserver不能使用)
账户:重命名系统管理员账户 重命名一个账户

10.防止资源超出的设置
详细可以查看此篇文章:asp?id=246">http://www.aground.cn/blog/article.asp?id=246

先在服务里关闭IIS admin service服务,找到windowssystem32inesrv下的metabase.xml,查找ASPMaxRequestEntityAllowed,把204800修改为20480000,然后重启IIS admin service服务即可。(Windows 2003 企业版的在第592行,默认为
AspMaxRequestEntityAllowed="204800",即200K,将其后加两个0,最大上载就可以达到20M了。即AspMaxRequestEntityAllowed="20480000"。)

二、IIS配置(包括网站所在目录)

1.网站目录不能在系统盘,应用程序设置中执行权限设置不打钩,
注:为支持asp.net,将系统盘Inetpubwwwroot中的aspnet_client文件夹复制到web根目录下,并给web根目录加上users权限。

2.删掉系统盘inetpub目录

3.删除不用的映射,在“应用程序配置”里,只给必要的脚本执行权限:ASP、ASPX。

4.为网站创建系统用户
A.例如:网站为aground.cn,新建用户aground.cn权限为guests。然后在web站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows用户账户"的用户名和密码都使用aground.cn这个用户的信息。(用户名:主机名aground.cn)
B.给网站所在的磁盘目录添加用户aground.cn,只给读取和写入的权限。

5.设置应用程序及子目录的执行权限
A.主应用程序目录中的"属性--应用程序设置--执行权限"设为纯脚本
B.在不需要执行asp、asp.net的子目录中,例如上传文件目录,执行权限设为无

6.应用程序池设置
我的网站使用的是默认应用程序池。设置"内存回收":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
回收工作进程(分钟):1440
在下列时间回收工作进程:06:00

7.IIS(Internet 服务器)—Web服务扩展—在服务端的包含文件—允许

8.IIS(Internet 服务器)—网站-主目录-配置-选项-启用父路径

9. IIS(Internet 服务器)—网站-(具体站点)-(右键)权限-Users完全控制

注意:
1.  域名解释完成,而网站仍然无法正常访问,是因为没设置主机头,在网站—IP地址—高级处添加域名。
2.  访问网站出现登录账号密码对话框,最大的原因不在于磁盘权限问题,而是匿名访问中是否设置了guest访问的相关内容。

三、SQL Server 2000 配置

1.密码设置
我编的程序用了sa用户,密码设置超复杂(自己记不住,保存在手机里)。

2.删除危险的扩展存储过程和相关.dll。
Xp_cmdshell(这个肯定首当其冲,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring

四、其它设置(可选用)

1.任何用户密码都要复杂,把不需要的用户删除。

2.防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为2

3.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值,名为PerformRouterDiscovery值为0

4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects值设为0

5.不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为IGMPLevel 值为0

6.禁用DCOM:
运行中输入 Dcomcnfg.exe—单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。