windows 2003 作為一個較為可靠的服務器操作系統,整體上來說比較安全,但是還存在一定的不安全因素,為此我們可以通過配置目錄權限,系統安全策略,協議棧加強,系統服務和訪問控制加固您的系統,整體提高服務器的安全性,下面讓小編教大家如何讓Windows Server 2003更加安全。
第一步:修改管理員帳號和創建陷阱帳號:
修改內建的用戶賬號多年以來,微軟一直在強調最好重命名Administrator賬號並禁用Guest賬號,從而實現更高的安全。在Windows Server 2003中,Guest 賬號是缺省禁用的,但是重命名Administrator賬號仍然是必要的,因為黑客往往會從Administrator賬號入手開始進攻。方法是:打開 “本地安全設置”對話框,依次展開“本地策略”→“安全選項”,在右邊窗格中有一個“賬戶:重命名系統管理員賬戶”的策略,雙擊打開它,給 Administrator重新設置一個平淡的用戶名,當然,請不要使用Admin之類的名字,改了等於沒改,盡量把它偽裝成普通用戶,比如改成: guestone 。然後新建一個名稱為Administrator的陷阱帳號“受限制用戶”,把它的權限設置成最低,什麼事也干不了的那種,並且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了,並且可以借此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。
第二步刪除默認共享存在的危險
Windows2003安裝好以後,系統會創建一些隱藏的共享,你可以在cmd下打 net share 查看他們。網上有很多關於IPC入侵的文章,相信大家一定對它不陌生。所以我們要禁止或刪除這些共享以確保安全,方法是:首先編寫如下內容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
以上批處理內容大家可以根據自己需要修改。保存為delshare.bat,存放到系統所在文件夾下的system32\GroupPolicy\User\Scripts\Logon目錄下。然後在開始菜單→運行中輸gpedit.msc,回車即可打開組策略編輯器。點擊用戶配置→Window設置→腳本(登錄/注銷)→登錄,在出現的“登錄屬性”窗口中單擊“添加”,會出現“添加腳本”對話框,在該窗口的“腳本名”欄中輸入delshare.bat,然後單擊“確定”按鈕即可。這樣就可以通過組策略編輯器使系統開機即執行腳本刪除系統默認的共享。
禁用IPC連接
IPC是Internet Process Connection的縮寫,也就是遠程網絡連接。它是Windows NT/2000/XP/2003特有的功能,其實就是在兩個計算機進程之間建立通信連接,一些網絡通信程序的通信建立在IPC上面。舉個例子來說,IPC 就象是事先鋪好的路,我們可以用程序通過這條“路”訪問遠程主機。默認情況下,IPC是共享的,也就是說微軟已經為我們鋪好了路,因此,這種基於IPC的入侵也常常被簡稱為IPC入侵。建立IPC連接不需要任何黑客工具,在命令行裡鍵入相應的命令就可以了,不過有個前提條件,那就是你需要知道遠程主機的用戶名和密碼。打開CMD後輸入如下命令即可進行連接:
net use\\ip\ipc$ "password" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連接。
第三步是:重新設置遠程可訪問的注冊表路徑
設置遠程可訪問的注冊表路徑為空,這樣可以有效地防止黑客利用掃描器通過遠程注冊表讀取計算機的系統信息及其它信息。打開組策略編輯器,然後選擇“計算機配置”→“Windows設置”→“安全選項”→“網絡訪問:可遠程訪問的注冊表路徑”及 “網絡訪問:可遠程訪問的注冊表”,將設置遠程可訪問的注冊表路徑和子路徑內容設置為空即可。這樣可以有效防止黑客利用掃描器通過遠程注冊表讀取計算機的系統信息及其它信息。
第四步:關閉不需要的端口
大家都知道,139端口是Netbios使用的端口,在以前的Windows版本中,只要不安裝Microsoft網絡的文件和打印共享協議,就可關閉139端口。在Windows Server 2003中,只這樣做是不行的。如果想徹底關閉139端口,方法如下:鼠標右鍵單擊“網絡鄰居”,選擇“屬性”,進入“網絡和撥號連接”,再用鼠標右鍵單擊“本地連接”,選擇“屬性”,打開“本地連接屬性”頁,然後去掉“Microsoft網絡的文件和打印共享”前面的“√”,接下來選中“Internet協議(TCP/IP)”,單擊“屬性”→“高級”→“WINS”,把“禁用TCP/IP上的NetBIOS”選中,即大功告成!這樣做還可有效防止SMBCrack之類工具破解和利用網頁得到我們的NT散列。
如果你的機子還裝了IIS,你最好設置一下端口過濾。方法如下:選擇網卡屬性,然後雙擊 “Internet協議(TCP/IP)”,在出現的窗口中單擊“高級”按鈕,會進入“高級TCP/IP設置”窗口,接下來選擇“選項”標簽下的 “TCP/IP 篩選”項,點“屬性”按鈕,會來到“TCP/IP 篩選”的窗口,在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“√”,然後根據需要配置就可以了。
比方說如果你只打算浏覽網頁,則只開放TCP端口80即可,所以可以在“TCP端口”上方選擇“只允許”,然後單擊“添加”按鈕,輸入80再單擊“確定”即可。如果有其他需要可如法炮制。
以上就是初步的安全設置下面在說說其他方面的安全:
(一)重新支持ASP腳本
為了將系統安全隱患降到最低限度,Windows Server 2003操作系統在默認狀態下,是不支持ASP腳本運行的;不過現在許多網頁的服務功能多是通過ASP腳本來實現的,為此,我們很有必要在安全有保障的前提下,讓系統重新支持ASP腳本。具體實現的方法為:
1.在系統的開始菜單中,依次單擊“管理工具”/“Internet信息服務管理器”命令;
2.在隨後出現的Internet信息服務屬性設置窗口中,用鼠標選中左側區域中的“Web服務器設置”
3.接著在對應該選項右側的區域中,用鼠標雙擊“Actives server pages”選項,然後將“任務欄”設置項處的“允許”按鈕單擊一下,系統中的II6就可以重新支持ASP腳本了。
(二)添加站點到“信任區域”
Windows Server 2003操作系統使用了一個安全插件,為用戶提供了增強的安全服務功能,利用該功能你可以自定義網站訪問的安全性。在缺省狀態下,Windows Server 2003操作系統會自動啟用增強的安全服務功能,並將所有被訪問的Internet站點的安全級別設置為“高”。對於頻繁訪問的網站,你可以將其添加到受信任的站點區域中,日後再次訪問它時,系統就不會彈出安全提示框了。
添加站點到“信任區域”的具體做法為:
1.在浏覽器的地址框中,輸入需要訪問的站點地址,單擊回車鍵,就會自動打開一個安全提示警告窗口;
2.要是不想浏覽該站點時,直接可以單擊“關閉”按鈕;要是想浏覽的話,可以單擊“添加”按鈕;
3.在隨後打開的“可信任站點”設置窗口中,你會發現當前被訪問的站點地址已經出現在信任區域文本框中;
4.繼續單擊“添加”按鈕,就能將該站點添加到網站受信任區域中了;下次重新訪問該站點時,浏覽器就會跳過安全檢查,直接打開該站點的網頁頁面了。
(三)根據需要對系統服務進行控制
服務是一種在系統後台運行的應用程序類型,它與UNIX後台程序類似。服務提供了核心操作系統功能,如Web 服務、事件日志記錄、文件服務、幫助和支持、打印、加密和錯誤報告。通過服務管理單元,可管理本地或遠程計算機上的服務。所以並不是所有默認服務都是我們需要的。我們不需要的可以停用、禁用,來釋放系統資源。如果你想更加了解系統的服務,可以到“我的電腦”→“控制面板”→“服務”中查看,每個服務都有完整的描述,或使用windows 2003的幫助與支持,查閱相關資料。
特別注意:服務賬號
Windows Server 2003在某種程度上最小化服務賬號的需求。即便如此,一些第三方的應用程序仍然堅持傳統的服務賬號。如果可能的話,盡量使用本地賬號而不是域賬號作為服務賬號,因為如果某人物理上獲得了服務器的訪問權限,他可能會轉儲服務器的LSA機密,並洩露密碼。如果你使用域密碼,森林中的任何計算機都可以通過此密碼獲得域訪問權限。而如果使用本地賬戶,密碼只能在本地計算機上使用,不會給域帶來任何威脅。
系統服務
一個基本原則告訴我們,在系統上運行的代碼越多,包含漏洞的可能性就越大。你需要關注的一個重要安全策略是減少運行在你服務器上的代碼。這麼做能在減少安全隱患的同時增強服務器的性能。
在Windows 2000中,缺省運行的服務有很多,但是有很大一部分服務在大多數環境中並派不上用場。事實上,windows 2000的缺省安裝甚至包含了完全操作的IIS服務器。而在Windows Server 2003中,微軟關閉了大多。
