如何操作Windows Server安全设置？应注意哪些事项？

这篇文章就是给大家分享windows服务器安全设置的操作，小编觉得很实用，所以分享给大家做一个参考，文章总结了很多付费的方法，详细的也很详细，有兴趣的朋友跟着小编接下来。

Windows Server是微软Windows Server系统(WSS)的核心，即Windows服务器操作系统。每个Windows服务器对应于它的主(工作站)版本(2003 R2除外)。

1)系统基本安全设置

1. 安装说明：系统全部NTFS格式化，重新安装系统(使用原装win2003)，安装杀毒软件(Mcafee)，并更新杀毒软件，安装sp2，安装IIS(仅必要组件)，安装SQL2000, install.net2.0，打开防火墙。并在服务器上安装最新的补丁。

2)关闭不需要的服务

电脑浏览器：维护网络电脑更新，禁用

分布式文件系统：管理局域网内的共享文件。此功能未禁用

分布式链路跟踪客户端：用于更新局域网内的连接信息

0

微软搜索：提供快速的单词搜索，无需禁用

ntlmsecuritysupport提供：Telnet服务和PrintSpooler:如果没有打印机被禁用

远程注册表：禁用远程注册表修改

远程桌面帮助会话管理器：禁用远程协助。需要检查其他服务

3)建立和管理账户

1. 禁用Guest帐户，更改名称和描述，并输入复杂的密码

2、系统管理员帐号最好少建，更改默认管理员帐号名(Administrator)和描述，密码最好使用数字和文件密钥上的小写字母和数字的组合，长度最好不超过10个字符

3.创建一个名为Aspnet的新帐户

7. 创建一个User帐户，运行系统，如果需要运行特权命令，请使用Runas命令。

4)打开相应的审核策略

审计策略变更：成功

审计登录事件：成功，失败

审计对象访问：Failed

审计对象跟踪：成功、失败

审计目录服务访问：failed

审计权限使用：Failed

审计系统事件：成功、失败

审计帐户登录事件：成功，失败

审计账户管理：成功，失败

5)其他与安全相关的设置

1. 禁用C$、D$和ADMIN$的默认共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，右侧窗口中新增Dword值，名称设置为AutoShareServer值为0

2. 解除NetBios与TCP/IP的绑定

右键单击“网络邻居”-属性-右键单击“本地连接”-属性-双击“Internet协议”-高级- wins -在TCP/IP上禁用NETBIOS

3.隐藏重要文件/目录

您可以修改注册表以实现完全隐藏：“hkey_local_machinesoftwaremicrosoftwindowcurrent - versionexploreradvancedfolderhi - ddenSHOWALL.”鼠标右键单击“CheckedValue”，选择“modify”将值从1更改为0

4. 防止SYN flood攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新的DWORD值，称为SynAttackProtect，值为2

5. 关闭对ICMP路由通知报文的响应

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface新的DWORD值，称为PerformRouterDiscovery，发现值为0

6. 防止ICMP重定向报文攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects的值为0

7. 不支持IGMP协议

hkey_local_machinesystemcurrentcontrolsetservicesterminterminal ServerWin crisis”的地方找到类似的RDP - TCP子密钥，修改PortNumber值。客户端：按照正常步骤创建客户端连接。选择此连接并从“文件”菜单中选择“导出”。一个后缀为.cns的文件将在指定位置生成。打开文件，将“Server Port”的值修改为服务器端PortNumber对应的值。导入文件(菜单文件导入)，客户端已更改端口。

6)配置IIS服务

1. 不要使用默认的网站。如果需要，请将IIS目录与系统盘分开。

2. 删除IIS默认创建的Inetpub目录(在安装盘上)。

3.删除系统盘上的虚拟目录，如_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp和msacc。

4. 删除不必要的IIS扩展映射。右键单击“默认网站属性主目录配置”，打开应用程序窗口，删除不必要的应用程序映射。shtml、shtm .stm

5. 修改IIS日志路径。右键单击默认网站属性-网站-单击启用日志记录下的属性

6. 如果您使用的是2000，则可以使用iislocked来保护IIS，而不是2003年运行的IE6.0版本。

7. UrlScan禁止使用

UrlScan是一个ISAPI过滤器，它分析传入的HTTP数据包并拒绝任何可疑的流量。最新版本是2.5。对于2000Server，您需要首先安装1.0或2.0版本。如果无特殊要求，请使用默认配置。

但是如果你运行的是ASP。 NET程序，并希望调试它们，您需要打开文件夹%WINDIR%system32InetsrvURLscan中的URLScan.ini文件，并将调试谓词添加到UserAllowVerbs部分。注意，这部分区分大小写。

如果你的网页是a.asp网页，你需要删除DenyExtensions中与。asp相关的内容。

如果你的网页使用非ascii码，你需要在选项部分设置AllowHighBitCharacters为1。在对URLScan.ini文件进行更改之后，您需要重新启动IIS服务以使更改生效。在“快速方法运行”中输入“iisreset”，如果配置后出现问题，可以通过添加/删除程序来删除UrlScan。

8. 使用WIS (Web Injection Scanner)工具扫描整个网站的SQL注入漏洞。

7)配置Sql server

1. 系统管理员角色最好不要超过两个

3.不要使用“Sa”帐号。为它设置一个超级复杂的密码

4. 删除以下扩展存储过程格式：

使用master sp_dropextendedproc '扩展SQL Server并更改默认端口1433

右键单击“实例”，选择“属性-通用-网络配置”，选择“TCP/IP属性”，选择“隐藏SQL Server实例”，更改为“端口1433”。

8)修改系统日志存放地址默认存放位置为应用日志、安全日志、系统日志和DNS日志。默认位置是%systemroot%system32config。默认文件大小为512KB。

安全日志文件：% systemroot % system32configSecEvent。EVT系统日志文件：% systemroot % system32configSysEvent。EVT应用程序日志文件：% systemroot % system32configAppEvent。EVT Internet信息服务FTP日志默认存放位置：% systemroot % system32logfilesmsUDP端口和IP协议。常用的TCP接口有：80个用于Web服务；21 FTP服务。25个端口用于SMTP;23个端口用于Telnet服务；POP3为110。常用的UDP端口如下：53端口-DNS域名解析服务；161 Port -snmp是一种简单的网络管理协议。8000和4000用于OICQ，服务器使用8000接收信息，客户端使用4000发送信息。要封锁的TCP端口：21 (FTP、FTP端口)23 (TELNET)、53 (DNS)、9、135136137138139443445102、8143、3338可密封的TCP端口：1080、3128、658、8080(代理端口以上).25(SMTP)、161(SNMP)、67(boot)可密封的UDP端口：1434(不用说)可密封的所有ICMP，也就是PING这些都是最常被扫描的端口，当然还有其他端口也被密封，因为80是用于WEB的

2. 不要建立空连接。缺省情况下，任何用户都可以通过空连接连接到服务器，枚举帐户和猜测密码。空连接使用139端口。通过空连接，您可以将文件复制到远程服务器，并计划执行任务。这是一个漏洞。您可以通过以下方式禁用null连接：

(1)修改注册表local_machinessystem currentcontrolsetcontrolsa - Windows 2000本地安全策略。将本地安全策略本地策略选项中的restrictanonym(对匿名连接的附加限制)设置为不允许枚举SAM帐户和共享。首先，Windows 2000的默认安装允许任何用户通过空连接访问所有系统帐户和共享列表。这应该使局域网用户更容易共享资源和文件，但是任何远程用户也可以以同样的方式访问您的用户列表。并且有可能使用暴力破解用户密码并对整个网络造成严重破坏。很多人只知道更改注册表Local_MachineSystemCurrentControlSetControlLSA - restrictananonymous=1来禁止空用户连接，事实上，Windows 2000本地安全策略(如果是域服务器，则在域服务器安全性和域安全策略中)具有restrictananonymous选项，该选项有三个值：0是默认值，没有限制。远程用户可以知道计算机上的所有帐户、组信息、共享目录和NetServerTransportEnum列表。取值为“1”表示只有非空用户才能访问SAM帐户信息和共享信息。2仅在Windows 2000中支持。需要注意的是，如果使用该值，资源将无法再共享，因此建议将该值设置为“1”。

10)、防止asp木马

1. 基于FileSystemObject组件的asp木马

cacls %systemroot%system32scrrun.dll /e /d guests //禁用来宾。regsvr32 scrun .dll /u /s //删除guest

2. asp基于shell的特洛伊木马。应用程序组件

cacls %systemroot%system32shell32.dll /e /d guests //禁用来宾。regsvr32 shell32.dll /u /s //删除guest

3.将images文件夹的权限设置为不允许运行。

4. 如果网站上不存在asp，请禁用它

11)防止SQL注入

1. 尝试使用参数化语句

2. 无法使用参数化SQL使用筛选。

3.网站设置不显示详细的错误信息。如果页面失败，它将被重定向到错误页面。

4. 不使用sa用户连接数据库

6. [角色]取消公共用户对系统对象和系统列的select权限。

注意：

最后需要注意的是，上述设置可能会影响某些应用程序服务，例如无法连接到远程服务器。因此，建议先在本地机器或VMware Workstation上进行上述设置，然后再在服务器上进行设置