2000 Server 系统安全完全配置方案

谷哨扇

说明：网上跟多关于win 2000 服务器系统的安全配置文章，但是都很零星，于是今天总结了一下，并且详细测试经过以下配置的机器，已经完全符合一个高安全级别网站的要求。希望对大家在服务器配置过程中有个引导作用。
    一、 Windows 系统配置
    1．将所有磁盘分区为NTFS分区
     只安装TCP/IP协议
     安装Service Pack 4
     安装最新的hotfix（到2004年8月30日为止共有25个补丁）
    2． 关闭所有不需要的服务
    * Alerter (disable)
    * ClipBook Server (disable)
    * Computer Browser (disable)
    * DHCP Client (disable)
    * License Logging Service (disable)
    * Messenger (disable)
    * Netlogon (disable)
    * Network DDE (disable)
    * Network DDE DSDM (disable)
    * Plug and Play (disable after all hardware configuration)
    * Remote Procedure Call (RPC) locater (disable)
    * Schedule (disable)
    * Server (disable)
    * Simple Services (disable)
    * Spooler (disable)
    * TCP/IP Netbios Helper (disable)
    3．保护文件和目录
    将C:\winnt, C:\winnt\config, C:\限做限制，限制everyone的写权限，限制winnt\system32, C:\winnt\system等目录的访问权，users组的读写权限。
    4．注册表一些条目的安全修改
    1） 隐藏上次登陆的用户名
    将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中
    DontDisplayLastUserName REG_SZ 值设为1
    2）限制LSA匿名访问
    将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中
    RestricAnonymous REG_DWord 值设为1
    3） 去除所有网络共享
    将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中
    AutoShareServer REG_DWord 值设为0
    5. 移动部分重要文件并加访问控制：
    创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录
    xcopy.exe, wscript.exe, CScript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,
    at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe,
    ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,
    edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe,
   
     
    6. 使用Hisecweb.inf安全模板来配置
    　 该模板配置基本的 Windows 2000 系统安全策略将该模板复制到 %windir%\security
    \templates 目录。
    打开“安全模板”工具，查看这些设置。
    打开“安全配置和分析”工具，然后装载该模板。
    右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。
    等候操作完成。
    查看结果，如有必要就更新该模板。
    右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。
    7.安全日志的设置：“审核策略更改”的9个项目，在“成功、失败”的选框上进行选择。
   
   
    名称XML:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /
    成功
    失败
   
    审核策略更改
    YES
    YES
   
    审核登陆事件
    YES
    YES
   
    审核对象访问
   
    YES
   
    审核过程跟踪
    YES
    YES
   
    审核目录服务访问
   
    YES
   
    审核特权使用
   
    YES
   
    审核系统事件
    YES
    YES
   
    审核帐户登陆事件
    YES
    YES
   
    审核帐户管理
    YES
    YES
   
   
   
   
   
    8. 禁止 Windows tftp 客户端的使用:
    使用文本编辑工具打开%systemroot%\system32\drivers\etc下的service文件找到对应的tftp那一行, 将 69/udp 替换成 0/udp。保存退出.
    9. 删掉guest帐号：
    C:\regedt32
    找到HKEY_LOCAL_MACHINE窗口，选中SAM\SAM，更改Administrators权限为全部控制，这样我们就可以访问SAM下的信息了。再次运行regedit： HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5 和 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest
    删除000001F5和Guest，然后退出regedit，再次运行regedt32，恢复Administrators对sam的权限。　
    10．终端服务的安全：
    更改连接端口：
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]
    PortNumber值，默认是3389，修改成所希望的端口
    还有个地方：
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]　
    PortNumber值，默认是3389，修改成所希望的端口
    　
    二、IIS的安全配置
    1. 删除不必要的虚拟目录
    包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，直接删除。
    2. 删除危险的IIS组件
    默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本。
    3. 为IIS中的文件分类设置权限
    除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。
    4. 删除不必要的应用程序映射
    ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。
    5. 修改IIS日志的设置
    默认情况下，IIS的日志存放在%WinDir%\System32\LogFiles，修改一下其存放路径。修改日志访问权限，设置只有管理员才能访问。
     6.打开“应用程序调试”，将“脚本错误消息”改为“发送文本”，再定义一个错误信息页面。
    三、Serv-U FTP Server的配置
     1. 使用最新版的，避免旧版的缓冲区溢出漏洞。
     2.设置用户的 “最大上传速度、最大下载速度（KB/秒）”的选项。把“空闲超时、任务超时、最大用户数”的选项设置默认10分钟。而最大用户数限制在1～2个用户，不必要采取无限制用户的做法。
     3.设置 “允许MDTM命令来更改文件的日期/时间”的选项取消，目的是不允许用户更改文件的修改日期和时防止触发缓冲区溢出。
    四．MSSQL服务器配置
     1.删除存储过程：
    删除XP_cmdshell 存储过程，sp_dropextendproc ‘XP_cmdshell’,最好直接删除
     还有：XP_regenumvalues, XP_regread, XP_regwrite, XP_regdeletevalue,
    XP_regdeletekey,XP_regaddmultistring,XP_regremovemutilstring,
    XP_instance_regaddmutistring,XP_instance_regdeletevalue,XP-instance_regnumkeys,XP_instance_regread,
    XP_instance_regremovemultistring,
    XP_dirtree,XP_subdirs,XP_fileexit,XP_getfiledetails,
    sp_OACreate,sp_Oageterrorinfo,sp_OAMethod,sp_getproperty,sp_Oamethod,sp_setproperty,sp_Oastop,
    XP_makecab,XP_makewebtask,XP_runwebtask,XP_readerrorlog,
     2．用户权限设置：
     只赋予连接数据库用户：db_reader,db_writer权限。
    注：以上是详细总结的安全配置过程，按照以上的配置一步一步实施，在不加载第三方软件防火墙的情况下，你的系统基本上是很安全的了，当然对于DDOS等攻击，如果在服务器前，还有硬件防火墙的情况下，可以称作堡垒机了。）