如何設置Windows服務器安全設置

如何設置Windows服務器安全設置

10年積累的成都網站制作、做網站、外貿營銷網站建設經驗，可以快速應對客戶對網站的新想法和需求。提供各種問題對應的解決方案。讓選擇我們的客戶得到更好、更有力的網絡服務。我雖然不認識你，你也不認識我。但先網站策劃后付款的網站建設流程，更有鐵力免費網站建設讓你可以放心的選擇與我們合作。

一、取消文件夾隱藏共享在默認狀態下，Windows 2000/XP會開啟所有分區的隱藏共享，從“控制面板/管理工具/計算機管理”窗口下選擇“系統工具/共享文件夾/共享”，就可以看到硬盤上的每個分區名后面都加了一個“$”。但是只要鍵入“計算機名或者IPC$”，系統就會詢問用戶名和密碼，遺憾的是，大多數個人用戶系統Administrator的密碼都為空，入侵者可以輕易看到C盤的內容，這就給網絡安全帶來了極大的隱患。

怎么來消除默認共享呢?方法很簡單，打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個名為“AutoShareWKs”的雙字節值，并將其值設為“0”，然后重新啟動電腦，這樣共享就取消了。關閉“文件和打印共享”文件和打印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，我們可以將它關閉。用鼠標右擊“網絡鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對話框中的兩個復選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協議對于服務器來說，只安裝TCP/IP協議就夠了。鼠標右擊“網絡鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS關閉，避免針對NETBIOS的攻擊。選擇“TCP/IP協議/屬性/高級”，進入“高級TCP/IP設置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關閉NETBIOS。四、禁用不必要的服務:Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠程修改注冊表)Server(文件共享)Task Scheduler(計劃任務)TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

Administrator帳戶擁有最高的系統權限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設置一個強大復雜的密碼(個人建議至少12位)，然后我們重命名Administrator帳戶，再創建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權限的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。七、防范木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預防的作用。

● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務，還需要對IIS服務進行安全配置：

(1) 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

(2) 刪除原默認安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應的審核。系統提供了九類可以審核的事件，對于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對象訪問：失敗事件過程追蹤：根據需要選用目錄服務訪問：失敗事件特權使用：失敗事件系統事件：成功和失敗賬戶登錄事件：成功和失敗賬戶管理：成功和失敗十、安裝必要的安全軟件

我們還應在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。當然我們也不應安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統打上補丁，微軟那些沒完沒了的補丁還是很有用的。

網絡服務器配置完全手冊詳細介紹

Win2000服務器設置全攻略

1.DNS服務器的設置

一、DNS概述

計算機在網絡上通訊時只能識別如“192.168.0.48”之類的數字地址，那為什么當我們打開瀏覽器，在地址欄中輸入如“”的域名后，就能看到我們所需要的頁面呢？這是在我們輸入域名后，有一種“DNS服務器”的計算機自動把我們的域名“翻譯”成了相應的IP地址，然后調出那個IP地址所對應的網頁，最后再傳回給我們的瀏覽器，我們才能得到結果。

DNS是域名系統 (Domain Name System)的縮寫，是一種組織成域層次結構的計算機和網絡服務命名系統。DNS 命名用于TCP/IP網絡，如Internet，用來通過用戶友好的名稱定位計算機和服務。當用戶在應用程序中輸入DNS 名稱時，DNS服務可以將此名稱解析為與此名稱相關的其他信息，如IP地址。

所以，我們想要我們自己內部網上的域名能成功地被解析（即翻譯成IP地址），就需要將我們自己的2K機建立成一個DNS服務器，里面包含有我們的域名和IP地址之間的映射表。這通常需要建立一種A記錄，A是Address的簡寫，意為“主機記錄”或“主機地址記錄”，是所有DNS記錄中最常見的一種。

二、DNS的設置

1、打開DNS控制臺：選“開始菜單→程序→管理工具→DNS”。

2、建立域名“admin.abc點抗 ”映射IP地址“192.168.0.50”的主機記錄。

①建立“com”區域：選“DNS→WY（你的服務器名）→正向搜索區域→右鍵→新建區域”，然后根據提示選“標準主要區域”、在“名稱”處輸入“com”。如下圖：

②建立“abc”域：選“com→右鍵→新建域”，在“鍵入新域名”處輸入“abc”。

③建立“admin”主機。選“abc→右鍵→新建主機”，“名稱”處為“admin”，“IP地址”處輸入“192.168.0.50”，再按“添加主機”。

3、建立域名“”映射IP地址“192.168.0.48”的主機記錄。

①由于域名“”和域名“admin.abc點抗 ”均位于同一個“區域”和“域”中，均在上步已建立好，因此應直接使用，只需再在“域”中添加相應“主機名”即可。

②建立“www”主機：選“abc→右鍵→新建主機”，在“名稱”處輸入“www”，“IP地址”處輸入“192.168.0.48”，最后再“添加主機”即可。

4、建立域名“”映射IP地址“192.168.0.49”的主機記錄方法同上。

5、建立域名“abc點抗 ”映射IP地址“192.168.0.48”的主機記錄方法也和上述相同，只是必須保持“名稱”一項為空！建立好后它的“名稱”處將顯示“與父文件夾相同”。建立好的DNS控制臺如下圖所示：

6、建立更多的主機記錄或其他各種記錄方法類似。更多的建立后如下圖所示：

7、建立時也有可以采用將“abc點抗 ”整個作為“區域”，然后在它下面直接建立“主機”的作法。不過對于同類記錄較多時，這種方法顯得較為不便。

三、DNS設置后的驗證

為了測試所進行的設置是否成功，通常采用2K自帶的“ping”命令來完成。格式如“ping ”。成功的測試如下圖所示：

第三節 DHCP服務器的設置

一、DHCP概述

DHCP是動態主機配置協議（Dynamic Host Configure Protocol）的縮寫。一臺DHCP服務器可以讓管理員集中指派和指定全局的和子網特有的TCP/IP參數（含IP地址、網關、DNS服務器等）供整個網絡使用。客戶機不需要手動配置TCP/IP；并且，當客戶機斷開與服務器的連接后，舊的IP地址將被釋放以便重用，根據這個特性，比如你只擁有20個合法的IP地址，而你管理的機器有50臺，只要這50臺機器同時使用服務器DHCP服務的不超過20臺，則你就不會產生IP地址資源不足的情況。

如果已配置沖突檢測設置，則 DHCP 服務器在將租約中的地址提供給客戶機之前會試用Ping測試作用域中每個可用地址的連通性。這可確保提供給客戶的每個IP地址都沒有被使用手動TCP/IP配置的另一臺非 DHCP 計算機使用。

二、DHCP的設置

1、打開DHCP管理器。選“開始菜單→程序→管理工具→DHCP”，默認的，里面已經有了你的服務器的FQDN（ Fully Qualified Domain Name，完全合格域名），比如“wy.wangyi.santai點抗 點吸煙 ”。如下圖：

2、如果列表中還沒有任何服務器，則需添加DHCP服務器。選“DHCP→右鍵→添加服務器”，選“此服務器”，再按“瀏覽”選擇（或直接輸入）服務器名“wy”（即你的服務器的名字）。

3、打開作用域的設置窗口。先選中FQDN名字，再按“右鍵→新建作用域”。

4、設置作用域名。此地的“名稱”項只是作提示用，可填任意內容。如下圖：

5、設置可分配的IP地址范圍：比如可分配“192.168.0.10～192.168.0.244”，則在“起始IP地址”項填寫“192.168.0.10”，“結束IP地址”項填寫“192.168.0.244；“子網掩碼”項為“255.255.255.0”。如下圖：

6、如果有必要，可在下面的選項中輸入欲保留的IP地址或IP地址范圍；否則直接單擊“下一步”。如下圖：

7、下面的“租約期限”可設定DHCP服務器所分配的IP地址的有效期，比如設一年（即365天）。如下圖：

8、選“是，我想配置這些選項”以繼續配置分配給工作站的默認的網關、默認的DNS服務地址、默認的WINS服務器，在所有有IP地址的欄目均輸入并“添加”服務器的IP地址“192.168.0.48”后再根據提示選“是，我想激活作用域”再點擊“完成”即可結束最后設置。建好后如下圖所示：

三、DHCP設置后的驗證

將任何一臺本網內的工作站的網絡屬性中設置成“自動獲得IP地址”，并讓DNS服務器設為“禁用”，網關欄保持為空（即無內容），重新啟動成功后，運行“winincfg”（win98中）即可看到各項已分配成功！

Windows 服務器安全設置的方法教程

阿江的Windows 2000服務器安全設置教程

前言

其實，在服務器的安全設置方面，我雖然有一些經驗，但是還談不上有研究，所以我寫這篇文章的時候心里很不踏實，總害怕說錯了會誤了別人的事。

本文更側重于防止ASP漏洞攻擊，所以服務器防黑等方面的講解可能略嫌少了點。

基本的服務器安全設置

安裝補丁

安裝好操作系統之后，最好能在托管之前就完成補丁的安裝，配置好網絡后，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然后點擊開始→Windows Update，安裝所有的關鍵更新。

安裝殺毒軟件

雖然殺毒軟件有時候不能解決問題，但是殺毒軟件避免了很多問題。我一直在用諾頓2004，據說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機好，不過我沒用過。

不要指望殺毒軟件殺掉所有的木馬，因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。

設置端口保護和防火墻、刪除默認共享

都是服務器防黑的措施，即使你的服務器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區，大概知道屏蔽端口用本地安全策略，不過這方面的東西網上攻略很多，大家可以擻出來看看，晚些時候我或者會復制一些到我的網站上。

權限設置

阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優秀的權限設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

權限設置的原理

WINDOWS用戶，在WINNT系統中大多數時候把權限按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。

NTFS權限設置，請記住分區的時候把所有的硬盤都分為NTFS分區，然后我們可以確定每個分區對每個用戶開放的權限。【文件（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）權限。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫“IIS匿名用戶），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的權限，就是這個“IIS匿名用戶所具有的權限。

權限設置的思路

要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置權限的身份。

在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。

設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父權限，并且要加上超管組和SYSTEM組）。

這樣設置了之后，這個站點里的ASP程序就只有當前這個文件夾的權限了，從探針上看，所有的硬盤都是紅叉叉。

我的設置方法

我是先創建一個用戶組，以后所有的站點的用戶都建在這個組里，然后設置這個組在各個分區沒病權限。然后再設置各個IIS用戶在各在的文件夾里的權限。

因為比較多，所以我很不想寫，其實知道了上面的原理，大多數人都應該懂了，除非不知道怎么添加系統用戶和組，不知道怎么設置文件夾權限，不知道IIS站點屬性在那里。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，如果我有空，我會寫我的具體設置方法，很傲能還會配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我的在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的服務器支持很多不安全組件。

其實，只要做好了上面的權限設置，那么FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的權限。那個歡樂時光更不用怕，有殺毒軟件在還怕什么時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬盤里的EXE等程序，比如它可以運行提升程序來提升SERV-U權限甚至用SERVU來運行更高權限的系統程序。

卸載最不安全的組件

最簡單的辦法是直接卸載后刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然后運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下服務器，你會發現這三個都提示“×安全了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，并且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】，然后【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項：“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_ajiang

那么，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然后把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名后的注冊表項之后，別忘記了刪除原有的`那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改后的代碼（兩個文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

防止列出用戶組和系統進程

我在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統用戶和系統進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

防止Serv-U權限提升

其實，注銷了Shell組件之后，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字符就可以了，ServUAdmin.exe也一樣處理。

另外注意設置Serv-U所在的文件夾的權限，不要讓IIS匿名用戶有讀取的權限，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防范

一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了權限，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然后用木馬上傳提升工具來獲得更高的權限，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網論壇并且數據庫忘記了改名，人家就可以直接下載你的數據庫了，然后距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個服務器，因為如果你的服務器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些權限設置和防提升之后，黑客就算是進入了一個站點，也無法破壞這個網站以外的東西。