中国投资网 百科 Win2003服务器IIS6安全防木马、权限设置方法

Win2003服务器IIS6安全防木马、权限设置方法

一、系统安装

1.根据Windows2003安装光盘的提示进行安装。默认情况下,2003系统中不安装iis6.0。

2.iis6.0的安装

开始菜单-控制面板-添加或删除程序-添加/删除Windows组件

应用程序———ASP.NET(可选)

|——启用网络COM访问(必需)

|——Internet信息服务(IIS) 3354—Internet信息服务管理器(必需)

|——公共文件(必需)

|——万维网服务———活动服务器页面(必需)

| ——互联网数据连接器(可选)

|——WebDAV版本(可选)

|——万维网服务(必需)

|——包括服务器端的文件(可选)

然后单击确定—下一步安装。(详见本文件附件1)

3.系统补丁的更新

单击开始菜单-所有程序-—Windows Update。

按照提示安装补丁程序。

4.备用系统

用ghost备份系统。

5.安装常用软件。

比如:杀毒软件,解压软件等。安装完成后,配置杀毒软件,扫描系统漏洞,安装完成后用ghost再次备份系统。

6.首先关闭不必要的端口,打开防火墙并导入IPSEC策略。

在“网络连接”中,删除所有不必要的协议和服务。这里,仅安装了基本互联网协议(TCP/IP ),并且另外安装了Qos分组调度器来控制带宽流服务。在高级tcp/ip设置中-“NetBIOS”设置“禁用tcp/IP上的NetBIOS”。在高级选项中,使用“Internet连接防火墙”,这是windows 2003附带的防火墙。它在2000系统中没有任何功能。虽然没有功能,但是可以屏蔽端口,从而基本实现了一个IPSec的功能。

修改3389远程连接端口

修改注册表。

开始-运行-注册表编辑

展开HKEY _本地_机器/系统/当前控制集/控制/

终端服务器/WDS/RDPWD/TDS/TCP

右键值中的端口号被更改为您想要使用的端口号。注意使用十进制(例如10000)

HKEY _ LOCAL _ MACHINE/SYSTEM/current CONTROL set/CONTROL/终端服务器/

WINSTATIONS/RDP-TCP/

右键值中的端口号被更改为您想要使用的端口号。注意使用十进制(例如10000)

注意:不要忘记在WINDOWS2003附带的防火墙上连接10000端口。

修改完毕。重新启动服务器。设置生效。

二、用户安全设置

1.禁用来宾帐户

禁用计算机管理的用户中的来宾帐户。为了安全起见,最好给客人加一个复杂的密码。您可以打开记事本,在其中输入一长串特殊字符、数字和字母,然后复制它作为来宾用户的密码。

2.限制不必要的用户

去除所有重复用户、测试用户、共享用户等。用户组策略设置相应的权限,并经常检查系统的用户,删除不再使用的用户。这些用户往往是黑客入侵系统的突破口。

3.重命名系统管理员帐户。

众所周知,Windows 2003的Administrator用户是不能停用的,这意味着其他人可以反复尝试这个用户的密码。尽量伪装成普通用户,比如Guesycludx。

4.创建陷阱用户。

什么是陷阱用户?即创建一个名为‘Administrator’的本地用户,将其权限设置为最低级别,什么都不做,并添加一个10位以上的超级复杂密码。这将使那些黑客忙碌一段时间,以便发现他们入侵企图。

5.将共享文件的权限从Everyone组更改为授权用户。

切勿将共享文件的用户设置为“任何人”组,包括打印共享。默认属性是“Everyone”组,所以不要忘记更改它。

6.打开用户策略。

使用用户策略,重置用户锁计数器的时间是20分钟,用户锁时间是20分钟,用户锁阈值是3次。(此项是可选的)

7.不要让系统显示上次登录的用户名。

默认情况下,上次登录的用户名将显示在登录对话框中。这使得其他人很容易获得系统的一些用户名,然后猜测密码。修改注册表以防止上次登录的用户名显示在对话框中。为此,请打开注册表编辑器,找到注册表“HKLM \软件\微软\ Windows T \当前版本\ Winlogon \不要显示last用户名”,并将注册表项REG_SZ的值更改为1。

密码安全设置

1.使用安全密码。

有些公司管理员在创建账号时,往往会使用公司名称和电脑名称作为用户名,然后将这些用户的密码设置得过于简单,比如‘欢迎’之类的。所以要注意密码的复杂程度,记得经常更换。

2.设置屏幕保护程序密码。

这是一个非常简单且必要的操作。设置屏保密码也是防止内部人员破坏服务器的一道屏障。

3.打开密码策略。

注意密码策略,例如启用密码复杂性要求,将最小密码长度设置为6位数,将强制密码历史设置为42天5次。

4.考虑使用智能卡代替密码。

对于密码,安全管理员总是左右为难。密码设置简单容易被黑客攻击,密码设置复杂容易忘记。如果条件允许,用智能卡代替复杂密码是一个很好的解决方案。

三。系统权限的设置

1.磁盘权限

系统盘和所有盘只给管理员组和系统完全控制权限。

系统盘\文档和设置目录只给管理员组和系统完全控制权限。

系统盘\文档和设置\所有用户目录仅授予管理员组和系统完全控制权限。

系统盘\Windows\System32\cacls.exe、cmd.exe、at.exe、net1.exe、at.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del这些文件只给管理员组和系统完全控制权限。

将\System32\cmd.exe、format.com和cmd.exe转移到其他目录或重命名。

“文档和设置”下的所有目录都被设置为仅授予管理员权限。并逐个检查,包括下面的所有子目录。

删除c:\inetpub目录

2.本地安全策略设置

开始菜单-管理工具-本地安全策略

A.本地策略3354审核策略

审核策略更改成功但失败。

审核事件成功和失败。

审核对象访问失败。

无审计的审计过程跟踪

审核目录服务访问失败。

审计权限使用失败。

审核系统事件成功和失败。

审核帐户登录事件成功和失败。

审核帐户管理成功但失败。

B.本地策略3354用户权限分配

关闭系统:仅删除管理员组和所有其他组。

允许通过终端服务登录:仅加入管理员和远程桌面用户组,删除所有其他用户。

C.本地策略3354安全选项

交互式登录:不显示上次激活的用户名。

网络访问:不允许SAM帐户和共享的匿名枚举。

网络访问:不允许保存网络身份验证的凭据。

网络访问:所有可以匿名访问的共享都被删除。

网络访问:所有匿名访问生命被删除。

网络访问:删除所有可远程访问的注册表路径。

网络访问:删除所有可远程访问的注册表路径和子路径。

帐户:重命名来宾帐户重命名帐户。

帐户:重命名系统管理员帐户重命名帐户。

3.禁用不必要的服务start-run-services.msc

TCP/IPNetBIOS帮助程序提供对TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持,以便用户可以共享。

文件、打印和登录网络。

服务器支持通过网络共享此计算机的文件、打印和命名管道。

浏览器维护网络上计算机的最新列表并提供此列表。

任务计划程序允许程序在指定的时间运行。

在Messenger客户端和服务器之间传输网络发送和警报服务消息。

分布式文件系统:局域网管理共享文件,如果不需要可以禁用。

分布式linktracking客户端:用于更新局域网的连接信息;如果不需要,可以禁用它。

错误报告服务:禁止发送错误报告

本文来自网络,不代表本站立场,转载请注明出处:https:

Win2003服务器IIS6安全防木马、权限设置方法

中国投资网后续将为您提供丰富、全面的关于Win2003服务器IIS6安全防木马、权限设置方法内容,让您第一时间了解到关于Win2003服务器IIS6安全防木马、权限设置方法的热门信息。小编将持续从百度新闻、搜狗百科、微博热搜、知乎热门问答以及部分合作站点渠道收集和补充完善信息。