讓你的win 2003更安全的幾大措施

　　windows 2003 作為一個(gè)較為可靠的服務(wù)器操作系統(tǒng),整體上來(lái)說(shuō)比較安全,但是還存在一定的不安全因素,為此我們可以通過(guò)配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問(wèn)控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性,下面讓小編教大家如何讓W(xué)indows Server 2003更加安全。

　　第一步：修改管理員帳號(hào)和創(chuàng)建陷阱帳號(hào)：

　　修改內(nèi)建的用戶賬號(hào)多年以來(lái)，微軟一直在強(qiáng)調(diào)最好重命名Administrator賬號(hào)并禁用Guest賬號(hào)，從而實(shí)現(xiàn)更高的安全。在Windows Server 2003中，Guest 賬號(hào)是缺省禁用的，但是重命名Administrator賬號(hào)仍然是必要的，因?yàn)楹诳屯�往�?huì)從Administrator賬號(hào)入手開(kāi)始進(jìn)攻。方法是：打開(kāi) “本地安全設(shè)置”對(duì)話框，依次展開(kāi)“本地策略”→“安全選項(xiàng)”，在右邊窗格中有一個(gè)“賬戶：重命名系統(tǒng)管理員賬戶”的策略，雙擊打開(kāi)它，給 Administrator重新設(shè)置一個(gè)平淡的用戶名，當(dāng)然，請(qǐng)不要使用Admin之類的名字，改了等于沒(méi)改，盡量把它偽裝成普通用戶，比如改成： guestone 。然后新建一個(gè)名稱為Administrator的陷阱帳號(hào)“受限制用戶”，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Scripts s忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖�；蛘咴谒�的login scripts上面做點(diǎn)手腳。

　　第二步刪除默認(rèn)共享存在的危險(xiǎn)

　　Windows2003安裝好以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，你可以在cmd下打 net share 查看他們。網(wǎng)上有很多關(guān)于IPC入侵的文章，相信大家一定對(duì)它不陌生。所以我們要禁止或刪除這些共享以確保安全，方法是：首先編寫(xiě)如下內(nèi)容的批處理文件：

　　@echo off

　　net share C$ /del

　　net share D$ /del

　　net share E$ /del

　　net share F$ /del

　　net share admin$ /del

　　以上批處理內(nèi)容大家可以根據(jù)自己需要修改。保存為delshare.bat，存放到系統(tǒng)所在文件夾下的system32\GroupPolicy\User\Scripts\Logon目錄下。然后在開(kāi)始菜單→運(yùn)行中輸gpedit.msc，回車即可打開(kāi)組策略編輯器。點(diǎn)擊用戶配置→Window設(shè)置→腳本(登錄/注銷)→登錄，在出現(xiàn)的“登錄屬性”窗口中單擊“添加”，會(huì)出現(xiàn)“添加腳本”對(duì)話框，在該窗口的“腳本名”欄中輸入delshare.bat，然后單擊“確定”按鈕即可。這樣就可以通過(guò)組策略編輯器使系統(tǒng)開(kāi)機(jī)即執(zhí)行腳本刪除系統(tǒng)默認(rèn)的共享。

　　禁用IPC連接

　　IPC是Internet Process Connection的縮寫(xiě)，也就是遠(yuǎn)程網(wǎng)絡(luò)連接。它是Windows NT/2000/XP/2003特有的功能，其實(shí)就是在兩個(gè)計(jì)算機(jī)進(jìn)程之間建立通信連接，一些網(wǎng)絡(luò)通信程序的通信建立在IPC上面。舉個(gè)例子來(lái)說(shuō)，IPC 就象是事先鋪好的路，我們可以用程序通過(guò)這條“路”訪問(wèn)遠(yuǎn)程主機(jī)。默認(rèn)情況下，IPC是共享的，也就是說(shuō)微軟已經(jīng)為我們鋪好了路，因此，這種基于IPC的入侵也常常被簡(jiǎn)稱為IPC入侵。建立IPC連接不需要任何黑客工具，在命令行里鍵入相應(yīng)的命令就可以了，不過(guò)有個(gè)前提條件，那就是你需要知道遠(yuǎn)程主機(jī)的用戶名和密碼。打開(kāi)CMD后輸入如下命令即可進(jìn)行連接：

　　net use\\ip\ipc$ "password" /user:"usernqme"。我們可以通過(guò)修改注冊(cè)表來(lái)禁用IPC連接。打開(kāi)注冊(cè)表編輯器。找到HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接。

　　第三步是：重新設(shè)置遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑

　　設(shè)置遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑為空，這樣可以有效地防止黑客利用掃描器通過(guò)遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息。打開(kāi)組策略編輯器，然后選擇“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全選項(xiàng)”→“網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑”及 “網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表”，將設(shè)置遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑和子路徑內(nèi)容設(shè)置為空即可。這樣可以有效防止黑客利用掃描器通過(guò)遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息。

　　第四步：關(guān)閉不需要的端口

　　大家都知道，139端口是Netbios使用的端口，在以前的Windows版本中，只要不安裝Microsoft網(wǎng)絡(luò)的文件和打印共享協(xié)議，就可關(guān)閉139端口。在Windows Server 2003中，只這樣做是不行的。如果想徹底關(guān)閉139端口，方法如下：鼠標(biāo)右鍵單擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，進(jìn)入“網(wǎng)絡(luò)和撥號(hào)連接”，再用鼠標(biāo)右鍵單擊“本地連接”，選擇“屬性”，打開(kāi)“本地連接屬性”頁(yè)，然后去掉“Microsoft網(wǎng)絡(luò)的文件和打印共享”前面的“√”，接下來(lái)選中“Internet協(xié)議(TCP/IP)”，單擊“屬性”→“高級(jí)”→“WINS”，把“禁用TCP/IP上的NetBIOS”選中，即大功告成!這樣做還可有效防止SMBCrack之類工具破解和利用網(wǎng)頁(yè)得到我們的NT散列。

　　如果你的機(jī)子還裝了IIS，你最好設(shè)置一下端口過(guò)濾。方法如下：選擇網(wǎng)卡屬性，然后雙擊 “Internet協(xié)議(TCP/IP)”，在出現(xiàn)的窗口中單擊“高級(jí)”按鈕，會(huì)進(jìn)入“高級(jí)TCP/IP設(shè)置”窗口，接下來(lái)選擇“選項(xiàng)”標(biāo)簽下的 “TCP/IP 篩選”項(xiàng)，點(diǎn)“屬性”按鈕，會(huì)來(lái)到“TCP/IP 篩選”的窗口，在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“√”，然后根據(jù)需要配置就可以了。

　　比方說(shuō)如果你只打算瀏覽網(wǎng)頁(yè)，則只開(kāi)放TCP端口80即可，所以可以在“TCP端口”上方選擇“只允許”，然后單擊“添加”按鈕，輸入80再單擊“確定”即可。如果有其他需要可如法炮制。

　　以上就是初步的安全設(shè)置下面在說(shuō)說(shuō)其他方面的安全：

　　(一)重新支持ASP腳本

　　為了將系統(tǒng)安全隱患降到最低限度，Windows Server 2003操作系統(tǒng)在默認(rèn)狀態(tài)下，是不支持ASP腳本運(yùn)行的;不過(guò)現(xiàn)在許多網(wǎng)頁(yè)的服務(wù)功能多是通過(guò)ASP腳本來(lái)實(shí)現(xiàn)的，為此，我們很有必要在安全有保障的前提下，讓系統(tǒng)重新支持ASP腳本。具體實(shí)現(xiàn)的方法為：

　　1.在系統(tǒng)的開(kāi)始菜單中，依次單擊“管理工具”/“Internet信息服務(wù)管理器”命令;

　　2.在隨后出現(xiàn)的Internet信息服務(wù)屬性設(shè)置窗口中，用鼠標(biāo)選中左側(cè)區(qū)域中的“Web服務(wù)器設(shè)置”

　　3.接著在對(duì)應(yīng)該選項(xiàng)右側(cè)的區(qū)域中，用鼠標(biāo)雙擊“Actives server pages”選項(xiàng)，然后將“任務(wù)欄”設(shè)置項(xiàng)處的“允許”按鈕單擊一下，系統(tǒng)中的II6就可以重新支持ASP腳本了。

　　(二)添加站點(diǎn)到“信任區(qū)域”

　　Windows Server 2003操作系統(tǒng)使用了一個(gè)安全插件，為用戶提供了增強(qiáng)的安全服務(wù)功能，利用該功能你可以自定義網(wǎng)站訪問(wèn)的安全性。在缺省狀態(tài)下，Windows Server 2003操作系統(tǒng)會(huì)自動(dòng)啟用增強(qiáng)的安全服務(wù)功能，并將所有被訪問(wèn)的Internet站點(diǎn)的安全級(jí)別設(shè)置為“高”。對(duì)于頻繁訪問(wèn)的網(wǎng)站，你可以將其添加到受信任的站點(diǎn)區(qū)域中，日后再次訪問(wèn)它時(shí)，系統(tǒng)就不會(huì)彈出安全提示框了。

　　添加站點(diǎn)到“信任區(qū)域”的具體做法為：

　　1.在瀏覽器的地址框中，輸入需要訪問(wèn)的站點(diǎn)地址，單擊回車鍵，就會(huì)自動(dòng)打開(kāi)一個(gè)安全提示警告窗口;

　　2.要是不想瀏覽該站點(diǎn)時(shí)，直接可以單擊“關(guān)閉”按鈕;要是想瀏覽的話，可以單擊“添加”按鈕;

　　3.在隨后打開(kāi)的“可信任站點(diǎn)”設(shè)置窗口中，你會(huì)發(fā)現(xiàn)當(dāng)前被訪問(wèn)的站點(diǎn)地址已經(jīng)出現(xiàn)在信任區(qū)域文本框中;

　　4.繼續(xù)單擊“添加”按鈕，就能將該站點(diǎn)添加到網(wǎng)站受信任區(qū)域中了;下次重新訪問(wèn)該站點(diǎn)時(shí)，瀏覽器就會(huì)跳過(guò)安全檢查，直接打開(kāi)該站點(diǎn)的網(wǎng)頁(yè)頁(yè)面了。

　　(三)根據(jù)需要對(duì)系統(tǒng)服務(wù)進(jìn)行控制

　　服務(wù)是一種在系統(tǒng)后臺(tái)運(yùn)行的應(yīng)用程序類型，它與UNIX后臺(tái)程序類似。服務(wù)提供了核心操作系統(tǒng)功能，如Web 服務(wù)、事件日志記錄、文件服務(wù)、幫助和支持、打印、加密和錯(cuò)誤報(bào)告。通過(guò)服務(wù)管理單元，可管理本地或遠(yuǎn)程計(jì)算機(jī)上的服務(wù)。所以并不是所有默認(rèn)服務(wù)都是我們需要的。我們不需要的可以停用、禁用，來(lái)釋放系統(tǒng)資源。如果你想更加了解系統(tǒng)的服務(wù)，可以到“我的電腦”→“控制面板”→“服務(wù)”中查看，每個(gè)服務(wù)都有完整的描述，或使用windows 2003的幫助與支持，查閱相關(guān)資料。

　　特別注意：服務(wù)賬號(hào)

　　Windows Server 2003在某種程度上最小化服務(wù)賬號(hào)的需求。即便如此，一些第三方的應(yīng)用程序仍然堅(jiān)持傳統(tǒng)的服務(wù)賬號(hào)。如果可能的話，盡量使用本地賬號(hào)而不是域賬號(hào)作為服務(wù)賬號(hào)，因?yàn)槿绻�某人物理上獲得了服務(wù)器的訪問(wèn)權(quán)限，他可能會(huì)轉(zhuǎn)儲(chǔ)服務(wù)器的LSA機(jī)密，并泄露密碼。如果你使用域密碼，森林中的任何計(jì)算機(jī)都可以通過(guò)此密碼獲得域訪問(wèn)權(quán)限。而如果使用本地賬戶，密碼只能在本地計(jì)算機(jī)上使用，不會(huì)給域帶來(lái)任何威脅。

　　系統(tǒng)服務(wù)

　　一個(gè)基本原則告訴我們，在系統(tǒng)上運(yùn)行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個(gè)重要安全策略是減少運(yùn)行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時(shí)增強(qiáng)服務(wù)器的性能。

　　在Windows 2000中，缺省運(yùn)行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場(chǎng)。事實(shí)上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多。

　　以上操作完成以后是否就“最小的權(quán)限+最少的服務(wù)=最大的安全”呢?其實(shí)不然，任何事物都是相對(duì)的依我個(gè)人而見(jiàn)，以上架設(shè)Windows Server 2003的安全堡壘,也只是最基本的一些東西而已，如有遺漏，稍后補(bǔ)上!