WIN2003服务器安全配置终等极技巧.doc

WIN2003服务器安全配置终极技巧 网上流传的很多关于 HYPERLINK /windows/app/index.html \t _blank windows server 2003系统的 HYPERLINK /keys/s-config/index.html \t _blank 安全配置，但是仔细分析下发现很多都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端BT的2003服务器的安全配置，让更多的 HYPERLINK /z/network/what/index.html \t _blank 网管朋友高枕无忧。　　 　　我们配置的服务器需要提供支持的组件如下：（ HYPERLINK /keys/asp/index.html \t _blank ASP、ASPX、 HYPERLINK /keys/cgi/index.html \t _blank CGI、 HYPERLINK /keys/php/index.html \t _blank PHP、FSO、JMAIL、 HYPERLINK /keys/mysql/index.html \t _blank MySql、SMTP、 HYPERLINK /tag/942/index.html \t _blank POP3、 HYPERLINK /z/server/ftp/index.html \t _blank FTP、3389终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统， HYPERLINK /z/server/iis/index.html \t _blank IIS，包括 HYPERLINK /tag/753/index.html \t _blank FTP服务器， HYPERLINK /z/server/mail/index.html \t _blank 邮件服务器等，这些具体配置方法的就不再重复了，现在我们着重主要阐述下关于安全方面的配置。　　　　关于常规的如安全的安装系统，设置和管理帐户，关闭多余的服务，审核策略，修改终端管理端口， 以及配置MS-SQL，删除危险的 HYPERLINK /z/database/s/index.html \t _blank 存储过程，用最低权限的public帐户连接等等，都不说了　　　　先说关于系统的NTFS磁盘 HYPERLINK /z/windows/123/index.html \t _blank 权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。　　　　C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。　　 　 　　Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。　　 　 　　另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用 HYPERLINK /z/Serv-U/index.html \t _blank serv-u的本地溢出提升权限，或系统遗漏有 HYPERLINK /z/auto/update/index.html \t _blank 补丁， HYPERLINK /keys/shujuku/index.html \t _blank 数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：只要给我一个 HYPERLINK /tag/2913/index.html \t _blank webshell，我就能拿到system，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。　　 　 　　另外，还将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrat