十个步骤绘制安全的Windows站点服务器

Win2003 Server的安全性较之Win2K确实有了很大的提高，但是用Win2003 Server作为服务器能无法 就真的安全了？如何 才能打造 一个安全的私人 Web服务器？下面咱们基本推荐一下。

一、Windows Server2003的安装

1、安装系统最少两须要个分区，分区格式都采用NTFS格式

2、在断开网络的情况安装好2003系统

3、安装IIS，仅安装必要的 IIS 组件（禁用不须要的如FTP 和 SMTP 服务）。默认情况下，IIS服务没有安装，在添加/删除Win组件中挑选 “使用程序服务器”，然后点击“细致信息”，双击Internet信息服务(iis)，勾选以下选项：

Internet 信息服务维护器；

公用文件；

后台智能传输服务 (BITS) 服务器扩展；

万维网服务。

假如你运用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions

4、安装MSSQL及其它所须要的软件然后实行 Update。

5、运用 Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具剖析计算机的安全配置，并标识缺少的修补程序和更新。

二、配置和维护账户

1、系统维护员账户最好少建，修改默认的维护员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其配置最小的权限，然后随便输入组合的最好不低于20位的密码。

3、将Guest账户禁用并修改名称和描述，然后输入一个庞杂的密码，当然现在也有一个DelGuest的工具，也许你也能够使用它来删除Guest账户。

4、在运行中输入gpedit.msc回车，打开组策略编辑器，挑选计算机配置-Windows配置 -安全配置 -账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

5、在安全配置 -本地策略-安全选项中将“不显示上次的用户名”设为启用。

6、在安全配置 -本地策略-用户权利分配中将“从网络访问此计算机”中只保存 Internet来宾账户、启动IIS进程账户。假如你运用了Asp.net还要保存 Aspnet账户。

7、建立一个User账户，运行系统，假如要运行特权命令运用 Runas命令。

三、网络服务安全维护 

1、禁止C$、D$、ADMIN$一类的缺省共享

打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0

2、 解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3、关上不须要的服务，以下为建议选项：

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网维护共享文件，不须要禁用Distributed linktracking client：用于局域网更新连接信息，不须要禁用

Error reporting service：禁止发送不正确报告

Microsoft Serch：提供高速的单词搜索，不须要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不须要禁用

PrintSpooler：假如没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

四、打开相应的审核策略

在运行中输入gpedit.msc回车，打开组策略编辑器，挑选计算机配置-Windows配置 -安全配置 -审核策略在建立审核项目时须要留心的是假如审核的项目太多，生成的事件也就越多，那么要想发觉严重的事件也越难当然假如审核的太少也会影响你发觉严重的事件，你须要根据情况在这二者之间做出挑选。

推选的要审核的项目是：

登录事件 成功 失败

账户登录事件 成功 失败

系统事件 成功 失败

策略修改 成功 失败

对象访问 失败

目录服务访问 失败

特权运用 失败

五、其它安全有关配置 

1、潜藏主要文件/目录

能够修改注册表实现完全潜藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Exp lorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，挑选修改，把数值由1改为0

2、启动系统自带的Internet连接防火墙，在配置服务选项中勾选Web服务器。

3、防止 SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止 ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支撑 IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7、禁用DCOM： 运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的计算机 ”，然后挑选 “属性”。挑选 “默认属性”选项卡。

清理 “在这台计算机上启用分布式 COM”复选框。

注：3-6项内容采用的是Server2000配置，没有测试过对2003能无法 起作用。但有一点能够肯定我用了一段的时间没有发觉其它副面的影响。

六、配置 IIS 服务：

1、不运用默认的Web站点，假如运用也要将 将IIS目录与系统硬盘分开。

2、删除IIS默认建立的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点→属性→主目录→配置”，打开使用程序窗口，去掉不必要的使用程序映射。首要为.shtml, .shtm, .stm

5、修改 IIS日志的路径

右键单击“默认Web站点→属性-站点 -在启用日志记载下点击属性

6、假如运用的是2000能够运用 iislockdown来保卫 IIS，在2003运行的IE6.0的版本不须要。

7、运用 UrlScan

UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包实行剖析并能够拒绝任何可疑的通信量。当前最新的版本是2.5，假如是2000Server须要先安装1.0或2.0的版本。

假如没有特殊的要求采用UrlScan默认配置就能够了。

但假如你在服务器运行ASP.NET程序，并要实行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan

文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添加debug谓词，留心此节是区分大小写的。

假如你的网页是.asp网页你须要在DenyExtensions删除.asp有关的内容。

假如你的网页运用了非ASCII代码，你须要在Option节中将AllowHighBitCharacters的值设为1

在对URLScan.ini 文件做了修改后，你须要重启IIS服务才能生效，高速要领运行中输入iisreset

假如你在配置后出现什么疑问，你能够议决添加/删除程序删除UrlScan。

8、使用 WIS (Web Injection Scanner)工具对整个站点实行 SQL Injection 脆弱性扫描。

七、配置Sql服务器

1、System Administrators 角色最好不要超过两个

2、假如是在本机最好将身份验证配置为Win登陆

3、不要运用 Sa账户，为其配置一个超级庞杂的密码

4、删除以下的扩展存储流程格式为：

use master

sp_dropextendedproc ’扩展存储流程名’

xp _cmdshell：是进入操作系统的最好捷径，删除

访问注册表的存储流程，删除

xp _regaddmultistringxp _regdeletekeyxp _regdeletevaluexp _regenumvalues

xp _regread　 xp _regwrite　 xp _regremovemultistring

OLE自动存储流程，不须要删除

Sp_OACreate　 　Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty

Sp_OAMethodSp_OASetPropertySp_OAStop

5、潜藏 SQL Server、修改默认的1433端口

右击实例选属性-常规-网络配置中挑选 TCP/IP协议的属性，挑选潜藏 SQL Server 实例，并改原默认的1433端口。

八、假如只做服务器，不实行其它操作，运用 IPSec

1、维护工具—本地安全策略—右击IP安全策略—维护 IP筛选器表和筛选器操作—在维护 IP筛选器表选项下点击

添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从随意端口，第二项到此端口80——点击完成——点击确定。

2、再在维护 IP筛选器表选项下点击

添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为随意 ——点击下一步——完成——点击确定。

3、在维护筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——挑选阻止——下一步——完成——关上维护 IP筛选器表和筛选器操作窗口

4、右击IP安全策略——建立 IP安全策略——下一步——名称输入数据包筛选器——下一步——撤销默认激活响应原则——下一步——完成

5、在打开的新IP安全策略属性窗口挑选添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中挑选新建的 Web筛选器——下一步——在筛选器操作中挑选许可——下一步——完成——在IP筛选器列表中挑选新建的阻止筛选器——下一步——在筛选器操作中挑选阻止 ——下一步——完成——确定

6、在IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不须要重启，IPSec就可生效。

九、建议

假如你按本文去操作，建议每做一项修改就测试一下服务器，假如有疑问能够立即撤消修改。而假如修改的项数多，才发觉出疑问，那就很难判断疑问是出在哪一步上了。

十、运行服务器记载当前的程序和开放的端口

1、将当前服务器的进程抓图或记载下来，将其保存，简洁以后对比查看能无法 有不明的程序。

2、将当前开放的端口抓图或记载下来，保存，简洁以后对比查看能无法 开放了不明的端口。当然假如你能分辨每一个进程，和端口这一步能够省略。