windows2003的安全設置

 

一 設置和管理賬戶 
1、系統管理員賬戶最好少建，更改默認的管理員帳戶名（Administrator）和描述，
密碼最好採用數字加大小寫字母加數字的上檔鍵組合，長度最好不少於14位。 
2、新建一個名爲Administrator的陷阱帳號，爲其設置最小的權限，然後隨便輸入
組合的最好不低於20位的密碼。
3、將Guest賬戶禁用並更改名稱和描述，然後輸入一個複雜的密碼，然後禁用。 
4、開始-程序-管理工具-本地安全策略，選擇
計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，
將賬戶設爲“三次登陸無效”，“鎖定時間爲30分鐘”，“復位鎖定計數設爲10分鐘”。
5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設爲啓用 。
6. 本地策略-安全選項-對匿名連接的額外限制.選擇(不允許枚舉 SAM 帳號和共享)

二 網絡服務安全管理

1、禁止C$、D$、ADMIN$一類的缺省共享
打開註冊表，HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters，
在右邊的窗口中新建Dword值，名稱設爲AutoShareServer值設爲0. 註冊表不瞭解.不要隨便更改.
2、 解除NetBios與TCP/IP協議的綁定 
　　右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的NETBIOS 
3、關閉不需要的服務，以下爲建議選項 
開始-所有程序-管理工具-服務
　　 Computer Browser:維護網絡計算機更新，禁用 
　　 Distributed File System: 局域網管理共享文件，不需要禁用 
　　 Distributed linktracking client：用於局域網更新連接信息，不需要禁用 
　　 Error reporting service：禁止發送錯誤報告 
　　 Microsoft Serch：提供快速的單詞搜索，不需要可禁用 
　　 NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用 
　　 PrintSpooler：如果沒有打印機可禁用 
　　 Remote Registry：禁止遠程修改註冊表 
　　 Remote Desktop Help Session Manager：禁止遠程協助
　　 Messenger:信使服務(windows2000)
　　 Task Scheduler: 允許程序在指定時間運行(不用計劃任務就禁用掉)
　　 TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服務以及 NetBIOS 名稱解析的支持
注：新上架的服務器已經做過其他安全設置只開以下端口，需要開其他端口可以在。
右擊網上鄰居-屬性-Internet協議（TCP/IP）屬性-高級-選項-TCP/IP篩選－屬性-TCP端口－添加
你想要開的端口.
　 　 默認開啓的端口列表：
　 　FTP:20.21
　　 mail:25.110
　　 Web:80
　　 pcanywhere:5631
　　 遠程桌面：3389 (3389不要關閉，否則將無法遠程連接)
 

三 系統安全管理 
　　1.對於系統的NTFS磁盤權限設置,C盤只給administrators 和system權限，其他的權限不給，
其他的盤也可以這樣設置，這裏給的system權限也不一定需要給，
只是由於某些第三方應用程序是以服務形式啓動的，需要加上這個用戶，否則造成啓動不了。
　　2. Windows目錄要加上給users的默認權限，否則ASP和ASPX等應用程序就無法運行。
　　3. 另外在c:/Documents and Settings/這裏相當重要，
後面的目錄裏的權限根本不會繼承從前的設置，如果僅僅只是設置了C盤給administrators權限，
而在All Users/Application Data目錄下會 出現everyone用戶有完全控制權限，
這樣入侵這可以跳轉到這個目錄，寫入腳本或只文件，再結合其他漏洞來提升權限.
　　4. net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe
這些文件都設置只允許administrators.system訪問.guests禁止訪問

四 打開相應的審覈策略

　　開始-程序-管理工具-本地安全策略-安全設置-本地策略-審覈策略
　　注:windows2003已經開啓部分.windows2000沒有開啓.可以根據實際情況來設置.
　　推薦的要審覈的項目是： 
　　登錄事件 成功 失敗 
　　賬戶登錄事件 成功 失敗 
　　系統事件 成功 失敗 
　　策略更改 成功 失敗 
　　對象訪問 失敗 
　　目錄服務訪問 失敗 
　　特權使用 失敗 

 

btw：

查看端口被哪個進程佔用：

C:/>netstat -aon|findstr "80"
TCP     127.0.0.1:80         0.0.0.0:0               LISTENING       2448
看到了嗎，端口被進程號爲2448的進程佔用，繼續執行下面命令：
C:/>tasklist|findstr "2448"
thread.exe                     2016 Console                 0     16,064 K
很清楚吧，thread佔用了你的端口,Kill it