Windows 2003服务器安全配置终极技巧.doc

Windows 2003 服务器安全配置终极技巧网上流传的很多关于 windows server 2003 系统的安全配置,但是仔细分析下发现很多都不全面, 并且很多仍然配置的不够合理, 并且有很大的安全隐患, 今天我决定仔细做下极端 BT 的 2003 服务器的安全配置,让更多的网管朋友高枕无忧。我们配置的服务器需要提供支持的组件如下:( ASP 、 ASPX 、 CGI 、 PHP 、 FSO 、 JMAIL 、 MySql 、 SMTP 、 POP3 、 FTP 、 3389 终端服务、远程桌面 Web 连接管理服务等),这里前提是已经安装好了系统, IIS , 包括 FTP 服务器, 邮件服务器等, 这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。关于常规的如安全的安装系统, 设置和管理帐户, 关闭多余的服务, 审核策略, 修改终端管理端口, 以及配置 MS-SQL ,删除危险的存储过程,用最低权限的 public 帐户连接等等, 都不说了先说关于系统的 NTFS 磁盘权限设置, 大家可能看得都多了, 但是 2003 服务器有些细节地方需要注意的,我看很多文章都没写完全。 C 盘只给 administrators 和 system 权限,其他的权限不给,其他的盘也可以这样设置,这里给的 system 权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的, 需要加上这个用户,否则造成启动不了。 Windows 目录要加上给 users 的默认权限,否则 ASP 和 ASPX 等应用程序就无法运行。以前有朋友单独设置 Instsrv 和 temp 等目录权限,其实没有这个必要的。另外在 c:/Documents and Settings/ 这里相当重要, 后面的目录里的权限根本不会继承从前的设置, 如果仅仅只是设置了 C 盘给 administrators 权限, 而在 All Users/Application Dat a 目录下会出现 everyone 用户有完全控制权限, 这样入侵这可以跳转到这个目录, 写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用 serv-u 的本地溢出提升权限,或系统遗漏有补丁, 数据库的弱点, 甚至社会工程学等等 N 多方法, 从前不是有牛人发飑说:"只要给我一个 webshell , 我就能拿到 system" , 这也的确是有可能的。在用做 web/ftp 服务器的系统里, 建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置, 没个盘都只给 adinistrators 权限。另外,还将: , , , , , , , ,这些文件都设置只允许 administrators 访问。把不必要的服务都禁止掉, 尽管这些不一定能被攻击者利用得上, 但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。在" 网络连接"里, 把不需要的协议和服务都删掉, 这里只安装了基本的 协议( TCP /IP ), 由于要控制带宽流量服务, 额外安装了 Qos 数据包计划程序。在高级 tcp/ip 设置里- -"NetBIOS" 设置" 禁用 tcp/IP BIOS (S)"。在高级选项里, 使用" 连接防火墙" ,这是 windows 2003 自带的防火墙,在 2000 系统里没有的功能,虽然没什么功能, 但可以屏蔽端口,这样已经基本达到了一个 IPSec 的功能。这里我们按照所需要的服务开放响应的端口。在 2003 系统里,不推荐用 TCP/IP 筛选里的端口过滤功能,譬如在使用 FTP 服务器的时候,如果仅仅只开放 21 端口,由于 FTP 协议的特殊性,在进行 FTP 传输的时候,由于 FTP 特有的 Port 模式和 Passive 模式,在进行数据传输的时候, 需要动态的打开高端口, 所以在使用 TCP/IP 过滤的情况下, 经常会出现连接上后无法列出目录和数据传输的问题。所以在 2003 系统上增加的 windows 连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的 TCP/IP 过滤功能。 SERV-U FTP 服务器的设置: 一般来说, 不推荐使用 srev-u 做 ftp 服务器, 主要是漏洞出现的太频繁了, 但是也正是因为其操作简单, 功能强大, 过于流行, 关注的人也多, 才被发掘出 bug 来, 换做其他的 ftp 服务器软件也一样不见得安全到哪儿去。当然,这里也有款功能跟 serv-u 同样强大,比较安全的 ftp 软件: Ability FTP Server