标题：Windows 2000 Server 系统安装后的简单安全配置(阿飞)
出处：虫虫的blog  SINCE2004
时间：Sun, 09 Jan 2005 23:04:56 +0000
作者：网络毛毛虫
地址：http://www.zhenghe.biz/read.php/136.htm

内容：
一、系统的安装    正常情况下Internet 信息服务(IIS)只需要选择三项：Internet服务管理器 + Word Wide Web服务器 + 公用文件附件和工具可以全部勾除(平常是用不到的)，再加上终端服务即可，其它统统勾除!关于磁盘分区: 正常情况下，C盘分10G已经非常足够使用，其它的应用软件均安装到D盘，如提供FTP服务的SERV-U，以免系统崩溃后要全新安装系统 的时间需要备份C盘数据。二、补丁安装   装完系统后，如果安装的系统是没有打过SP4的，请先安装WINDOWS 2000 sp4，然后进入Windows Update在线更新所有补丁。也可以下载补丁集(chinaz.com提供 的下载)直接安时间排序打上，以免浪费时间，微软的网站有时候非常慢的。三、系统安全设置    1，用户管理       删除TsInternetUser用户，并且将Guest用户改名禁用并且更改一个复杂的密码！       更改Administrator的用户名以及密码！    2，不让系统显示上次登录的用户名，具体操作如下：     修改注册表“HKLM\Software\Microsoft\WindowsNT\Current Version\Winlogon\Dont Display Last User Name”的键值，把REG_SZ 的键值改成1。     3，禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接。  （1）修改注册表  Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。  （2）修改Win 2000的本地安全策略  设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。     4，打开安全审核       管理工具--本地安全策略--本地策略--审核策略，正常情况下一共是9项   推荐设置为：   审核策略更改：成功 失败   审核登录事件：成功 失败   审核对象访问：失败   审核特权使用：失败    审核系统事件：成功 失败   审核目录服务访问：失败   审核账户登录事件：成功 失败　 审核账户管理：成功 失败   审核策略不需要全部打开，如对象访问的成功项。否则将会占用过多的系统资源。
    5，IP安全策略的配置。       可下载现成的策略直接导入(详细配置方法可见网上文章)，如http://1982y.com/temp/www.ipsec ，下载后在管理工具--本地安全策略--IP安全策略 点右键选择-所有任务--导入策略，导入后，指派为新IP安全策略，然后在管理工具--本地安全策略--安全设置 点右键选择重新加载
    6，关闭不必要和危险的系统服务一个新安装好的windows 2000 server系统，默认应该是存在以下服务，设置为以下状态：     Alerter  -    禁用      Application Management -    禁用
     Automatic Updates -    可禁用      ClipBook -    禁用 
     COM+ Event System -    手动 
     Computer Browser  -    禁用 
     DHCP Client   -    禁用 
     Distributed File System     -    禁用 
     Distributed Link Tracking Client -    自动 
     Distributed Link Tracking Server -    禁用 
     Distributed Transaction Coordinator  -    自动 
     DNS Client    -    自动 
     Event Log     -    自动 
     Fax Service   -    禁用 
     File Replication  -    禁用 
     IIS Admin Service    -  自动 
     Indexing Service   -  手动 
     Internet Connection Sharing   -  手动 
     Intersite Messaging     禁用 
     IPSEC Policy Agent  - 自动 
     Kerberos Key Distribution Center - 禁用 
     License Logging Service   -  禁用 
     Logical Disk Manager -  自动 
     Logical Disk Manager Administrative Service - 手动 
     Messenger   -  禁用 
     Microsoft Search - 禁用 (本服务在装了SQLSERVER2000 SP3后出现) 
     Net Logon - 手动 
     NetMeeting Remote Desktop Sharing - 手动 
     Network Connections - 自动 
     Network DDE - 手动 
     Network DDE DSDM - 手动 
     NT LM Security Support Provider  - 手动 
     Performance Logs and Alerts  - 手动 
     Plug and Play 自动 
     Print Spooler 禁用 
     Protected Storage 自动 
     QoS RSVP   - 手动 
     Remote Access Auto Connection Manager   - 手动 
     Remote Access Connection Manager   - 手动 
     Remote Procedure Call (RPC) - 自动 
     Remote Procedure Call (RPC) Locator  - 手动 
     Remote Registry Service         必须禁用 
     Removable Storage       -    自动 
     Routing and Remote Access  - 禁用 
     RunAs Service   - 禁用 
     Security Accounts Manager       自动 
     Smart Card   - 手动 
     Smart Card Helper   - 手动 
     System Event Notification       自动 
     Task Scheduler              必须禁用 
     TCP/IP NetBIOS Helper Service   必须禁用 
     Telephony       - 手动 
     Telnet   禁用 
     Terminal Services        - 自动 
     Uninterruptible Power Supply   - 手动 
     Utility Manager   - 手动 
     Windows Installer   - 手动 
     Windows Management Instrumentation                 自动 
     Windows Management Instrumentation Driver Extensions    自动 
     Windows Time   - 手动 
     Wireless Configuration   - 手动 
     Workstation       自动 
     World Wide Web Publishing Service    自动 
     做为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。 

7,修改注册表　
删除如下目录的任何键： HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT 删除以下键： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath 删除以下键： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2 

8，修改终端服务的默认端口(如有必要才需要此操作，默认为3389，可随意修改为1-65535的端口)打开注册表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键，修改PortNumber值。 　
9，网卡的端口筛选(看具体情况配置，正常情况不需要做此配置，此项配置需重启才能生效)网卡属性里的tcp/ip协议属性--->高级-->选项-->tcp/ip筛选属性-->第一项:TCP端口：只允许： ---(看具体这台服务器提供什么服务添加)80   （www服务）21   (一般的ftp默认)53   (DNS服务)110   (MAIL的SMTP服务)25   (MAIL的POP3服务)还有例如你的远程终端的端口(默认为3389，也有可能你改为别的端口，如6666，则加上6666)　
第二项UDP端口：此项可不添加，因为限制了以后，服务器则不能打开网页等操作(当然，也安全多了)第三项IP协议：ip协议：只允许6　
10，IIS安全配置    开始-->程序-->管理工具-->Internet 服务管理器    默认的设置是有一个叫“默认站点”的站点，删除。   在IIS管理器中右击主机，进入属性，会出来一个叫 "*机器名属性"的窗口，在主属性下选择"WWW服务"，进入编辑   到主目录选项卡，进入应用程序设置下的配置，在应用程序映射里，你可以看到有htw, htr, idq, ida等扩展名的映射，   除了asp,asa,shtml,sthm,stm外，其它的统统删除，因为其余的映射几乎每个都有安全方面的漏洞。(这是在未装cgi之类服务的情况下，像cgi,安装后也会在这里自动添加映射,没有映射可就运行不了cgi程序了，同理，php或asp.net也一样)   默认的iis发布目录为c:\Inetpub，将这个目录删除。在d盘或e盘新建一个目录(目录名随意)，然后新建一个站点，将主目录指向你新建的目录。   这样做的目的是为了将站点和系统分开。不至于站点的安全设置出问题时危及到系统安全。
11，其它网卡属性里的tcp/ip协议属性--->高级-->WINS-->选择 "禁用TCP/IP 上的NetBIOS"删除C:\WINNT\Web下的两个子目录(一个是桌面图片目录，一个是打印目录，打印目录存在的话好像IIS的默认站点一直会多一个Printer的目录出来)
四、系统相关目录及文件的权限设置C、D、E等盘全部设置为仅Administrator组有完全控制权限(必须)C:\Program Files这个目录，像连接数据库这些都是要读取的，是C盘下比较重要的权限设置。设置为：administrators组 -- 完全控制SYSTEM  -  完全控制CREATOR GROUP  - 全空的权限。（你可以先默认的加上，然后应用。再重新设置权限，会发现权限变成空的，而另外多出来一个none的用户，把那个none删了，测试过运行ASP+ACCESS的程序这样才会比较安全）。。除了以上这三个以外，其它的统统删掉。C:\Documents and Settings这个目录设置为Administrator,SYSTEM拥有所有控制权限。C:\WINNT这个目录设置为Administrator,SYSTEM拥有所有控制权限。IIS来宾帐户设置为仅读取权限(如有建立了专门的IIS用户组，则这里设置为IIS的用户组)。C:\WINNT目录内 除 TEMP,system32目录以外，所有目录均设置为Administrator,SYSTEM拥有所有控制权限C:\Winnt\system32目录下的xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe这些常用的程序也要设置为仅Administrator,SYSTEM有所有控制权限。机用户利用FSO及其它权限-----------------------我们以建立一个 123.com站点的为例吧。设置目录权限。1，新建一个用户组。例如 WebUser2，新建一个站点用户，如 web_123.com (密码自定)，并设置为属于WebUser组（不要再属于其它的组了）3，新建一个该站点的目录，设置该目录权限为 administrator 组为所有权限，以及Web_123.com用户为所有权限(即完全控制)4，设置IIS站点。正常建立新站点后，站点属性的站点安全性里面也相应做设置...(站点属性--目录安全性--身份验证和访问控制--编辑)　
以上有一些是个人习惯配置，并不是说一定要这么配置才安全。呵呵。　
     Background Intelligent Transfer Service   -    禁用 



Generated by Bo-blog 2.1.2 beta 3