欢迎来到天天文库
浏览记录
ID:38412494
大小:187.27 KB
页数:5页
时间:2019-06-12
《win2003服务器安全设置(整理)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、win2003服务器安全设置一、先关闭不需要的端口 办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上然后添加你需要的端口即可。设置完端口需要重新启动!二、换远程连接端口提示:打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口1、允许/禁止“远程桌面”连接我们能通过组策略允许或禁止使用“远程桌面”连接功能。在“组策略编辑器”左侧窗口中,依次
2、展开“计算机设置→管理模板→视窗系统组件→终端服务”目录。单击目录名“终端服务”,在右侧窗口中双击“允许用户使用终端服务远程连接”选项。然后在属性对话框的“设置”选项卡下点选“已启用”或“已禁用”单选框并单击“确定”按钮即可。打开注册表(运行:regedit),找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp,在右边的窗口里面将会看到名字为PortNumber的DWORD值,打开
3、之后选中十进制,你就会看到默认的远程桌面端口3389,修改其值为你自己定义的一个端口,如3390。然后再找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp,在右侧的窗口中同样看到一个名字为PortNumber的DWORD值,同样修改为3390。 服务器重起后使用远程桌面客户端,输入:111.222.333.444:3390,远程登陆成功.如果服务器上有防火墙和安全策略
4、,千万别忘了开放3390端口哦!三.关闭不需要的服务打开相应的审核策略 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表 Smart Card 你没有智能卡阅读器 Taskscheduler允许程序在指定时间运行 Telnet允许远程用户登录到此计算机并运行程序 TCP/IP NetBIOS Helper Service 你的计算机不准备让别人共享 MessageQueuing传输客户端和服务器之间的NETSEND和警报器服务消息 DistributedFil
5、eSystem:局域网管理共享文件,不需要禁用 Distributedlinktrackingclient:用于局域网更新连接信息,不需要禁用 Errorreportingservice:禁止发送错误报告 MicrosoftSerch:提供快速的单词搜索,不需要可禁用 PrintSpooler:如果没有打印机可禁用 RemoteRegistry:禁止远程修改注册表 RemoteDesktopHelpSessionManager:禁止远程协助 RoutingandRemoteAccess在
6、局域网以及广域网环境中为企业提供路由服务 Removablestorage管理可移动媒体、驱动程序和库 Workstation 关闭的话远程NET命令列不出用户组 Routing and Remote Access 你的计算机不做路由器四、在"网络连接"里,把不需要的协议和服务都删掉只安装了基本的Internet协议(TCP/IP)五、磁盘权限设置C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些
7、第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。 Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。 另外在c:/DocumentsandSettings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在AllUsers/ApplicationData目录下会出现everyone用户有完全控制
8、权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就能拿到system",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限。C:ProgramFilesCo
此文档下载收益归作者所有