windowsserver2003安全服务器构建(win2003服务器的一些安全设置)

与Win2K相比，Win2003 Server的安全性有了很大的提高，但是用Win2003 Server做服务器真的安全吗？我们如何构建一个安全的个人web服务器？下面简单介绍一下。

一、Windows Server2003的安装

1.安装系统至少需要两个分区，分区格式为NTFS格式。

2.网络断开时安装2003系统。

3.安装iis，并且只安装必要的IIS组件(禁用FTP、SMTP等不必要的服务)。默认情况下，不安装IIS服务。在“添加/删除Win组件”中选择“应用程序服务器”，然后单击“详细信息”。

双击Internet信息服务(iis)并选中以下选项：

互联网信息服务经理；

公共文件；

后台智能传送服务(BITS)服务器扩展；

万维网服务。

再次检查：如果您使用FrontPage扩展的网站，请检查FrontPage 2002服务器扩展。

4.安装MSSQL和其他必需的软件，然后更新。

5.使用Microsoft提供的mbsa(Microsoft Baseline Security Analyzer)工具来分析计算机的安全配置，并确定缺少的修补程序和更新。下载地址：见页末链接。

第二，建立和管理账户

1.最好少建系统管理员账号，改默认管理员账号名称(Administrator)和描述。密码最好使用数字和小写字母加数字的组合，长度最好不小于14位。

2.创建一个名为Administrator的新陷阱帐户，为其设置最低权限，然后随机输入至少20位数字的组合密码。

3.禁用来宾帐户，更改其名称和描述，然后输入复杂的密码。当然现在也有DelGuest工具。也许你可以用它来删除来宾帐户，但我没有尝试过。

4.运行时进入gpedit.msc，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-帐户策略-帐户锁定策略，将帐户设置为“三次登录无效”和“锁定时间为30分钟”。

“将锁计数重置为30分钟”。

5.在安全设置-本地策略-安全选项中将“不显示最后一个用户名”设置为启用。

6.在安全设置-本地策略-用户权限分配中，只有Internet来宾帐户和IIS进程帐户会保留在“从网络访问此计算机”中。如果您使用Aspnet，您应该保留您的Aspnet帐户。

7.创建一个用户帐户并运行系统。如果要运行特权命令，请使用Runas命令。

第三，网络服务安全管理

1.禁止C$、D$和ADMIN$的默认共享。

打开注册表，HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ lanman server \ parameters，在右边的窗口中新建Dword值，

名称设置为AutoShareServer，值设置为0。

2.解除NetBios与TCP/IP协议的绑定。

右键单击网上邻居-属性-右键单击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS。

3.关闭不必要的服务。以下是建议的选项。

电脑浏览器：维护网络电脑更新，禁用。

分布式文件系统：局域网管理共享文件，不需要禁用。

分布式linktracking客户端：用于更新局域网的连接信息，不需要禁用。

错误报告服务：禁止发送错误报告。

Microsoft Serch:提供快速单词搜索，不需要禁用。

NTLMSecuritySupportProvide: used for Telnet service and Microsoft search, and does not need to be disabled.

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

四、打开相应的审核策略

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，

那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是：

登录事件成功失败

账户登录事件成功失败

系统事件成功失败

策略更改成功失败

对象访问失败

目录服务访问失败

特权使用失败

五、其它安全相关设置

1、隐藏重要文件/目录

可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，

2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7、禁用DCOM：

运行中输入Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

清除“在这台计算机上启用分布式COM”复选框。

注：3-6项内容我采用的是Server2000设置，没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。

六、配置IIS 服务：

1、不使用默认的Web站点，如果使用也要将将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml,shtm,stm

5、更改IIS日志的路径

右键单击“默认Web站点属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一个IsapI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。

下载地址见页未的链接

如果没有特殊的要求采用UrlScan默认配置就可以了。

但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan

文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，注意此节是区分大小写的。

如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。

如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1

在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset

如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

下载地址：[http://www.fanvb.net/websample/othersample.aspx]VB.NET爱好者[/url]

七、配置Sql服务器

1、System Administrators 角色最好不要超过两个

2、如果是在本机最好将身份验证配置为Win登陆

3、不要使用Sa账户，为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为：

use master

sp_dropextendedproc '扩展存储过程名'

xp_cmdshell：是进入操作系统的最佳捷径，删除