虽然Windows2003系统微软停止更新,但还是有大量用户在使用。为了保证系统的安全,必须全面做好安全设置,才能抵御越来越多的漏洞攻击。下面我们来分享一下Windows2003系统全面安全设置教程:
第一步:
打开Windows系统防火墙。防火墙的设置要记得允许“远程桌面”。
第二步:
查看系统有没有打开共享,如果有打开,右击“网络邻居”,“属性”,关闭“打印机和远程共享”。
运行“netstat -an”,查看系统打开了哪些端口。
关闭137,138,139,445端口
139是NETBIOS使用的端口,在“网络邻居”属性,“TCP/IP协议”的属性的WINS项中,关闭NETBIOS共享
445是文件共享的端口,改注册表:HLM\systme\currentcontrolset\services\netbt\parameters,新建一个DWORD类型的“SMBDevivceEnabled”值为0
第三步:
右击“我的电脑”,“管理”,“共享文件夹”,查看共享了哪些文件夹。
关闭C$,D$….HLM\system\currentcontrolset\services\lanmanserver\parameters,新建一个DWORD类型的“AutoShareServer”值为0
关闭admin$ HLM\system\currentcontrolset\services\lanmanserver\parameters,新建一个DWORD类型的“AutoShareWKs”值为0
关闭IPC$ HLM\system\currentcontrolset\control\lsa,将“restrictanonymous”值为1, “restrictanonymoussam”值为1
第四步:建立另一个备用管理员账号
安装有终端服务和SQL服务停用TsInternetUser,和SQLDebugger账号
为guest账号加上复杂的密码,并禁用。
第五步:最少服务。
可放心关闭的服务:
Alerter
Computer Browser
ClipBook
DNS Client
Error Reporting Service
Help and Support
Human Interface Device Access
Indexing Service
IMAPI CD-Buring COM Service
Messenger
NetMeeting Remote Desktop Sharing
Print Spooler
Performance Logs and Alerts
Removable Storage
Remote Registry
Remote Desktop Help Session Manager
Remoter Access Auto Connection Manager
RPC Locator
Shell Hardware Detection
Secondary Logon
System Event Notification
TCP/IP NETBIOS Helper Service
Telnet
Themes
Volume Shadow Copy
WebClient
Windows Audio
Windows Image Acquistition
Wireless Zero Configuration
不做为域,域成员可关闭的服务:
Application Management
Distributed File System
Distributed Link Tracking Client
Intersite Messaging
Kerberos Key Distribution Center
License Logging Service
Net Logon
按需要而定:
Automatic Updates 自动更新
Background Intelligent Transfer Service 自动更新所需
Application Layer Gateway Service 防火墙所需
COM+Event System program files\ComPlus Application目录,如果没有东西可以关闭
COM+System Application 事件监视器内的DCOM没有启动,可以关闭
DHCP Client 与DHCP Server相连的需要
DNS Server DNS服务器
Distributed Transaction Coordinator 消息队列服务需要
NTLM Security Support Provider 消息队列服务需要
FTP Publishing IIS的FTP服务
Protected Storage CAserver,SSL所需
Routing and Remote Access VPN服务
Smart Card 智能卡
Server 共享文件或打印机服务,共享管道
Task Scheduler 计划任务
Windows Management Instrumentation 监视和管理服务
WorkStation VPN拨入设置需要
WMI Performance Adapter WMI性能适配器服务
Windows Firewall/Internet Conncetion Sharing 防火墙
手动:
Logical Disk Manager
Logical Disk Manager Administrative Service
Network DDE
Network DDE DSDM
Network Location Awareness
第六步:最小权限
删除目录
c:\windows\web\printers
c:\windwos\Help\iisHelp
权限设置
硬盘的根权限:administrators,system完全控制
c:\windows: adminstrtors,system完全控制,Users默认权限
c:\Documentand Settings\ ALL Users,Default Users保留everyone用户权限
c:\Windows\PCHealth,Install保留everyone权限
其他目录删除everyone权限
以下系统命令只保留adminstrator,system权限:
arp.exe
at.exe
attrib.exe
atsvc.exe
cacls.exe
cmd.exe
cscripts.exe
edlin.exe
finger.exe
format.com
ftp.exe
net.exe
netstat.exe
ping.exe
posix.exe
qbasic.exe
regsvr32.exe
rsh.exe
runonce.exe
regedit.exe
syskey.exe
tftp.exe
telnet.exe
wscript.exe
xcopy.exe
第七步:安全策略
本地安全策略–账户策略–密码策略
第八步:关闭不安全组件
regsvr32 /u wshom.ocx
regsvr32 /u shell32.dll
第九步:其他一些设置
抵御SYN攻击:
HLM\system\currentcontrolset\service,新建DWORD类SynAttackProtect,值为2
TcpMaxPortsExhausted,值为5
TcpMaxHalfOpen,值500
TcpMaxHalfOpenRetried,值400
TcpMaxConnectResponseRetransmissions,值2
TcpMaxDataRetransmissions,值2
EnablePMTUDiscovery,值0
KeepAliveTime,值300000
NoNameReleaseOnDemand,值1
抵御ICMP攻击:
HLM\system\currentcontrolset\services\AFD\parametere,新建DWORD类EnableDeadGWDetect,值0
AFD.SYS保护: EnableDynamicBacklog,值1
MinimunDynamicBacklog,值20
MaximumDynamicBacklog,值20000
DynamicBacklogGrowthDelta,值10
保护屏蔽的网络细节
HLM\system\currentcontrolset\services\Tcpip\parameters,新建DWORD类DisableIPSoureceRouting,值1
避免接受数据包片段 EnableFragmentChecking,值1
不转发去往多台主机的数据包 EnableMulticastForwarding,值0
只有防火墙可以转发数据包 IPEnableRouter,值0
屏蔽网络拓扑结构细节 EnableAddrMaskReply,值0
Windows2003系统全面安全设置大功告成。不过不要以为万事大吉,服务器的日常安全维护还是必不可少的,具体可以参照后浪云服务器其他教程。
后浪云,十年品牌,专注于美国服务器.
网站资讯
关于我们
