windows 2003 安全 配置

使用星外的服務器安全包設置工具設置完畢以後的其他方面設置，文章是轉自星外的供大家參考，自認爲他的Windows server安全解決方案做的非常不錯。

1.　請將sql 2000，mysql運行在普通用戶權限下。

由於大部分***都是利用數據庫的權限***，將sql 2000，mysql運行在
普通用戶權限，可以提供數據庫的安全性，防止***，同時您務必對數據
庫的權限做詳細的設置。

2.　使用［星外安全包］中的ＩＰ策略來關閉所有沒用的端口。（上篇文章的附件中已經給出策略）

3.　服務器所有磁盤分區的根目錄都不能有everyone,users讀與運行的權限。

4.　爲了加強PHP的安全，請直接使用星外的［自動PHP安裝包]來安裝，安裝
以後，PHP的默認就處於安全狀態了。（php自動安裝包大家有需要可以留下email，我將官方下載地址發到您的郵箱，現在的採集和盜鏈這麼厲害，我還不敢直接上附件呵呵！）

5.　請不要安裝或使用CGI，因爲CGI存在先天上的安全隱患。

6.　請不要安裝任何的第三方軟件。
例如XX優化軟件，XX插件之類的，更不要在服務器上註冊未知的組件。（服務器是絕對禁止安裝360安全衛士的，請大家切記！！！）

7.　請不要在服務器上使用IE訪問任何網站，不然有可能中網頁***。

8.　Mysql要使用4.1以上的版本，4.0版本存在安全問題。

9.　請不要安裝PCanywhere或Radmin，因爲它們本身就存在安全問題。請直接
使用windows 2003自帶的3389，因爲它比任何遠程控制軟件都安全。（其實剛開始很早我就發現了這個問題，玩過網絡安全技術的童鞋都知道！）

10.　請不要在服務器上雙擊運行任何程序，不然您中了***都不知道。

11.　請不要在服務器上使用IE打開用戶的硬盤中的網頁，這是最危險的破壞
服務器安全的行爲，會造成******。

12.　請不要在服務器上瀏覽圖片，因爲曾經多次發現操作系統的圖片處理功能
漏洞，有可能會造成您的服務器被***。以前windows就出過GDI+的安全
漏洞會造成服務器被***。

13. 請設置sytem32目錄的cmd.exe, at.exe, cacls.exe, ftp.exe 的文
件只能有adms,system的全權權限.不能有其他的權限。（這個大家可以自由發揮，把自認爲***要用的程序都限制下，但是限制了要多測試，以免影響正常功能）

14.服務器上任何的asp,php,asp.net程序絕對不能使用sql2000的sa用戶或
mysql中的root用戶來連接數據庫,這樣會造成服務器被***。

15.由於舊版本的WinRAR軟件存在安全漏洞,因此,所有安裝的Winrar電腦都必
須安裝WinRAR7.1以上版本。

16.服務器不能運行任何使用固定網絡端口的程序,例如私服程序就是最大的
***後門。

17.爲C:\Documents and Settings\All Users\Documents目錄的users
用戶組設置拒絕寫入權限。(請使用最新版的安全包來設置這個目錄)。

18.經常性運行windows update更新補丁。

19.爲了進一步提高安全,您可以啓用windows默認的防火牆.

注意,在啓動防火牆前,您需要先在例外中,設置允許以下的TCP端口:
3389 1433 3306 25 21 20 80 110 53 8888
再設置允許以下的程序使用網絡(在例外中選擇添加程序)
C:\windows\system32\inetsrv\inetinfo.exe
C:\windows\system32\inetsrv\w3wp.exe

如果您改過了3389端口,您需要另外加上您自己的端口.如果您的服務器需要允許被ping,請您在例外旁邊點高級,點設置ICMP,再點”允許傳入顯示響應請求確定後就會支持ping了.

這裏大家可以根據自己的情況來設置，上邊的設置是按照基本的 WEB 數據庫等來設置的。

20.注意不要安裝windows update中的Windows PowerShell,如果已安裝了,請刪除它!因爲這個組件有大量服務器管理的權限.不能安裝.

21.請將服務器中的”Distributed Transaction Coordinator”服務禁止,傳IIS中存在沒有補丁了漏洞，這個服務必須禁止。運行以下命令可以自動禁止：
sc stop MSDTC & sc config MSDTC start= disabled

如果以下目錄存在,請刪除這個目錄:
c:\windows\ServicePackFiles,否則裏面有文件有可能被***利用.

注意：在安全方面，網管必須要提高安全警惕，因爲網管纔是服務器安全的最
後保障，按以上設置後，就算您的用戶上傳了***在自己的網站中，也
絕對***不了您的服務器。另外您需要先確保您自己的電腦是安全的，
才能保障您的服務器也是處於安全，如果您自己的電腦不安全，您的服
務器也不可能安全。