windows2003系统的安全、稳定、备份等相关设置

2011/11/13 管理员 帮助文档

   

windows2003系统的安全、稳定、备份等相关设置


关于免费服务和付费服务的说明
免费服务:按照下列方法配置windows server2003服务器和相关备份,可以达到99.99%的安全度、稳定度。
付费服务:用户有技术基础的按照下列方法配置是非常简单的,但是如果您不会配置需要我们的帮助,请您在愿意付费的情况下联系中网客服实行收费服务:200元/次/客服技术;500元/次/技术主管;1000元/次/技术总监;2000元/次/技术总经理。


一、系统权限的设置

1、磁盘权限
  系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限;
  系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
  系统盘\Windows\System32\cacls.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cmd.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限;
  

2、本地安全策略设置:开始菜单—>管理工具—>本地安全策略
  A、本地策略——>审核策略
  审核策略更改   成功 失败  
  审核登录事件   成功 失败
  审核对象访问      失败
  审核过程跟踪   无审核
  审核目录服务访问    失败
  审核特权使用      失败
  审核系统事件   成功 失败
  审核账户登录事件 成功 失败
  审核账户管理   成功 失败

  B、本地策略——>用户权限分配
  关闭系统:只有Administrators组、其它全部删除。
  通过终端服务拒绝登陆:加入Guests组
  通过终端服务允许登陆:只加入Administrators组和Remote Desktop Users组,其他全部删除

  C、本地策略——>安全选项
  交互式登陆:不显示上次的用户名       启用
  网络访问:不允许SAM帐户和共享的匿名枚举   启用
  网络访问:不允许为网络身份验证储存凭证   启用
  网络访问:可匿名访问的共享         全部删除
  网络访问:可匿名访问的命名管道       全部删除
  网络访问:可远程访问的注册表路径      全部删除
  网络访问:可远程访问的注册表路径和子路径  全部删除
  帐户:重命名来宾帐户            重命名一个帐户
  帐户:重命名系统管理员帐户         重命名一个帐户

3、禁用不必要的服务
  开始菜单—>管理工具—>服务
  Print Spooler
  Remote Registry
  TCP/IP NetBIOS Helper
Server
Workstation 系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来
  
  以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

二、免除ASP木马困扰

1、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件
regsvr32 /u wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32 /u shell32.dll
del C:\WINDOWS\system32\shell32.dll
然后双击运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,通过服务器探针您会发现这三个都提示“×安全”了。

2、改名不安全组件(WScript.Shell, Shell.application)
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:
“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失,把这 两个注册表项导出来,保存为 .reg 文件。
比如我们想做这样的更改 13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_chinanet
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
注:操作均需要重新启动WEB服务后才会生效。

3、防止Guests组用户调用Cmd.exe(PRIMA主控服务器不能禁止调用)
  禁用Guests组用户调用cmd.exe:
开始->运行 cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

通过以上3步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。

三. 修改Win2003中Terminal Service的3389端口
服务器端更改方法:
1、运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突

即可。
  2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,看到右边的PortNumber,方法同上,记得改的端口号和上面改的一样就行了。
3、改完之后切记到WINDOWS防火墙(或TCP/IP筛选)里面打开修改后的端口,否则将无法远程连接!
4、重新启动计算机,则立即生效!远程连接使用例如: 60.190.133.130:7126

四、 启用防火墙 或 TCP/IP筛选
  桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置
  把服务器上面要用到的服务端口选中
  例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
    在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上勾
  如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
  然后点击确定。
注意:1.如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加;如果3389端口已经更改,还要添加例如7126这样的端口。
2.如果FTP无法正常工作,可关闭防火墙 桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>internet协议(tcp/ip)?属性—>高级—>选项—>TCP/IP筛选—>属性—>只允许TCP端口添加21/25/80/1433/3306/8383/3389/7126等端口

;PRIMA平台采用FTP软件Serv-u的还需要添加9000/9001/9002/9003/9004端口,PRIMA的主控被控之间的8000端口也需要添加;


五、管理员账户和密码设置
1、将Administrator用户停用,增加一个管理员帐户用户并给予Administrator组的权限
2、管理员帐户设置复杂的密码,密码采用字母+数字+字符,不低于12位)

六. 其他配置

1、开启FSO权限:
在MS-DOS状态下面键入:
打开fso: regsvr32 scrrun.dll
关闭fso: regsvr32/u scrrun.dll

2、安装Serv-U,并设置防止Serv-U权限提升(PRIMA平台需要,星外平台不需要):
1).将Serv-U目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
2).设置Serv-U的管理密码(初始密码为空)。

3、设置iisreset每日定时重启:
1)创建管理用户:桌面 右键点击 我的电脑 ->管理->本地用户和组->右键点击 用户->新用户->用户名框内输入“iisreset”->“密码”和“确认密码”框内输入复杂的密码->去除“用户下次登陆时须更改密码”前面的勾->打勾 用户不能更改密

码->打勾 密码永不过期->创建;
2)将用户iisreset授予管理员组权限:本地用户和组->用户内找到”iisreset”用户->右键->属性->隶属于->添加->高级->立即查找->选“Administrators”确定->确定->应用->确定。
3)添加iisreset任务计划配置每天自动重启4次:开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入 C:\WINDOWS\system32\iisreset.exe ->打开->选择 每天->下一步->起始时间设置为0:00->下一步->输入用

户名iisreset和复杂的密码2遍->下一步->完成->双击任务计划内的iisreset图标->日程安排->选择 显示多项计划->新建 3个 计划任务(每天的6:00 / 12:00 / 18:00) ->应用->输入用户名iisreset和复杂的密码2遍->确定->确定;
4)测试iisreset任务计划是否正常:右键点击 任务计划内的iisreset图标->运行->状态为“正在运行”->上次结果为“0x0”即表示正常。

4、设置服务器每周三早晨6:00重启一次:
添加shutdown.exe任务计划配置每周三自动重启1次:开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入 C:\WINDOWS\system32\shutdown.exe -r -f -t 0 ->打开->选择 每天->下一步->起始时间设置为6:00->下一

步->输入用户名iisreset和复杂的密码2遍->下一步->完成->确定。

5、设置服务器每周二早晨5:00备份数据库一次:
下载:backupsql.rar(每天自动备份SQL2000/Mysql的工具)
文件位置 D:\SOFT\服务器已使用软件\7i24\backupsql.rar
解压缩后放在system32目录, 然后,用记事打开 backupsql.bat
将里面的 "E:\SQL2000所在数据库的Data目录的位置\*.*" 改成您自己的SQL2000的data目录,如 "E:\Program Files\Microsoft SQL Server\MSSQL\Data\*.*"
再将里面的 "E:\Mysql所在数据库的Data目录的位置\*.*" 改成您自己的Mysql的data目录,如: "E:\Program Files\MySQL\MySQL Server 5.0\data\*.*"
保存后, 您就可以在服务器上的控制面板,计划任务中, 添加一个计划任务,调用这个backupsql.bat来运行就可以实现定时备份.备份生成的文件默认保存在E盘,您可以通过修改backupsql.bat来修改位置.
添加backupsql任务计划配置每周二备份数据库一次:开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入 C:\WINDOWS\system32\backupsql.bat ->打开->选择 每周->下一步->起始时间设置为5:00->下一步->输入用户

名iisreset和复杂的密码2遍->下一步->完成->确定。


6、系统补丁的更新
   6-1点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。
6-2我的电脑上按鼠标右键属性—>自动更新—>选择自动并设置为每天2:00-6:00期间—>确定。可以保持系统自动更新安全补丁,确保安全。


7、安装防病毒安全软件(推荐试用诺顿企业版10或12)安装完毕后设置: 打开Symantec AntiVirus左上角的”文件””调度更新”设置每天自动更新;然后“配置””文件系统自动防护””操作””宏病毒”和”非宏病毒”的第二操作全

部设置位”删除威胁”(配置下的4个现项目依次同样设置为”删除威胁”);

8、安装解压缩软件WinRar ;

9、用GHOST备份系统。
9-1 关闭诺顿企业版:配置文件系统自动防护,去除“启用自动防护”前面的勾确定
9-2 默认安装“一键GHOST硬盘版.exe”至C:\dosh\
9-3 排除诺顿防护GHOST的安装文件夹:配置文件系统自动防护 排除文件/文件夹在dosh前面打钩。
9-4 启动诺顿企业版:配置文件系统自动防护, “启用自动防护”前面打勾,确定
9-5 点击“一键GHOST”选择“一键备份C盘”点击“备份”后将自动备份系统。

中网科技有限公司 WWW.ChinaNet.CC
电话:0512-8886 8888
传真:0512-8886 8899
QQ: 800001180

帮助文档