win2003服务器安全配置

llbo

仅针对windows 2003 Internet(IIS) 服务器

■系统安装在C:\盘
系统用户情况为：
administrators 超级管理员(组)
system 系统用户(内置安全主体)
guests 来宾帐号(组)
iusr_服务器名 匿名访问web用户
iwam_服务器名 启动iis进程用户
www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)
为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用
将访问web目录的全部账户设为guests组、去除其他的组
■盘符 安全访问权限
△C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限
△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△如有其他盘符类推下去.
■终端服务默认端口号：3389。
更改原因：不想让非法用户连接到服务器进行登录实验。当这台服务器托管在外时更不希望发生这种情况，呵呵，还没忘记2000的输入法漏洞吧？更改方法：
　　(1)、第一处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。
　　(2)、第二处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。
■系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、telnet.exe、ftp.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
注册表删除 WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、Shell.application
注册表改名 adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject
■启用防火墙和tcp/ip过滤,再serv-u开启一组端口映射
　　80 \ 20 \ 21 \ 2121 \ * 以及serv-u端口组
■禁止系统盘下的EXE文件：
net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe
些文件都设置成 administrators 完全控制权限
■禁止下载Access数据库
△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加
△可执行文件：C:\WINDOWS\twain_32.dll
△扩展名：.mdb
▲如果你还想禁止下载其它的东东
△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加
△可执行文件：C:\WINDOWS\twain_32.dll
△扩展名：.(改成你要禁止的文件名)
▲然后删除扩展名：shtml stm shtm cdx idc cer
■防止列出用户组和系统进程:
△开始→程序→管理工具→服务
△找到 Workstation 停止它、禁用它
■卸载最不安全的组件：
△开始→运行→cmd→回车键
▲cmd里输入：
△regsvr32/u C:\WINDOWS\system32\wshom.ocx
△del C:\WINDOWS\system32\wshom.ocx
△regsvr32/u C:\WINDOWS\system32\shell32.dll
△del C:\WINDOWS\system32\shell32.dll
△也可以设置为禁止guests用户组访问
■禁用IPC连接
△开始→运行→regedit
△找到如下组建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa)中的
(restrictanonymous)子键
△将其值改为1即
■清空远程可访问的注册表路径：
△开始→运行→gpedit.msc
△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”
△在右侧窗口中找到“网络访问：可远程访问的注册表路径”
△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即
■关闭不必要的服务
△开始→程序→管理工具→服务
△Telnet、TCP\IP NetBIOS Helper
■关闭默认共享
△在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"deletenetshare"="c:\\\\deletenetshare.bat"
■解决终端服务许可证过期的办法
△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权
服务
△我的电脑--右键属性--远程---远程桌面、打勾、应用
△重启服务器、OK了、再也不会提示过期了
■取消关机原因提示
△开始→运行→gpedit.msc
△打开组策略编辑器、依次展开
△计算机配置→管理模板→系统
△双击右侧窗口出现的(显示“关闭事件跟踪程序”)
△将(未配置)改为(已禁用)即可

■如何解除win2003上载程序小于200k限制？
△先在服务里关闭IIS admin service服务，(关闭IIS方法:iisreset.exe/stop;重启IIS方法:iisreset.exe/start);
△找到Windows＼System32＼Inesrv目录下的Metabase．xml并用记事本打开；
△找到ASPMaxRequestEntityAllowed，将其修改为需要的值。默认为204800，即200K，把它修改为204800000（20M），
△ 然后重启IIS admin service服务。

防范拒绝DDOS服务攻击

△禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
△关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接第二个网关，通过关闭它可以优化网络。
　　"EnableDeadGWDetect"=dword:00000000
△不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。注意系统必须安装SP2以上
　　"NonameReleaseOnDemand"=dword:00000001
△发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。
　　"KeepAliveTime"=dword:000493e0
△禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，
　　可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。
　　"EnablePMTUDiscovery"=dword:00000000
△启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后
　安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
　设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
  "SynAttackProtect"=dword:00000002
△同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态
　的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
　　"TcpMaxHalfOpen"=dword:00000064
△判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
　　"TcpMaxHalfOpenRetried"=dword:00000050
△设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。
　项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。
　微软站点安全推荐为2。
　　"TcpMaxConnectResponseRetransmissions"=dword:00000001
△设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
　　"TcpMaxDataRetransmissions"=dword:00000003
△设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
　　"TCPMaxPortsExhausted"=dword:00000005
△禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
　源路由包，微软站点安全推荐为2。
　　"DisableIPSourceRouting"=dword:0000002
△限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
　　"TcpTimedWaitDelay"=dword:0000001e
　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]
△增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。
　　"BacklogIncrement"=dword:00000003
△最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。
　　"MaxConnBackLog"=dword:000003e8
　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAfdParameters]
△配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态Backlog。
　　"EnableDynamicBacklog"=dword:00000001
△配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目
　低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。
　　"MinimumDynamicBacklog"=dword:00000014
△最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以
　增加5000个，这里设为20000。
　　"MaximumDynamicBacklog"=dword:00002e20
△每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击
　的系统，建议设置为10。
　　"DynamicBacklogGrowthDelta"=dword:0000000a
　　以下部分需要根据实际情况手动修改
　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
　　启用网卡上的安全过滤
　　"EnableSecurityFilters"=dword:00000001
　　同时打开的TCP连接数，这里可以根据情况进行控制。
　　"TcpNumConnections"=
　　该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上，增加该设置可以提高 SYN 攻击期间的响应性能。
　　"TcpMaxSendFree"=
　　
　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces]
　　禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录，可以导致攻击，所以禁止路由发现。
　　"PerformRouterDiscovery "=dword:00000000