详细介绍了WindowsServer2003中的安全配置问题，包括端口、审计、默认共享、磁盘管理、防火墙和数据库等。相信会让你有所收获。

一、先关闭不需要的端口

我更小心了。我先关闭了端口。只开了338921801433。一直有人说默认3389不安全。我不否认这一点，但是使用的方法只能一一穷尽。你把账号的密码改成了15或者16位，我估计他要好几年才能破解。哈哈！方法：本地连接-属性-互联网协议(TCP/IP)-高级-选项-TCP/IP过滤-属性-勾选添加需要的端口即可。PS一句：设置好端口后，需要重启！

当然，你也可以改变远程连接端口的方法：

windows registrytryeditorversion 5.00

[HKEY _ LOCAL _ MACHINE \ SYSTEM \ current Control set \ Control \ TerminalServer \ win stations \ RDP-Tcp]

端口号'=dword:00002683

保存。REG文件并双击它！改成9859，当然也可以换其他端口，直接打开上面注册表的地址，把值改成十进制，输入你想要的端口！重启生效！

还有一点，2003系统中，带TCP/IP过滤中的端口过滤功能，使用FTP服务器时，只开放21个端口。FTP传输时，FTP特有的端口模式和被动模式在传输数据时需要动态打开高端口。所以在使用TCP/IP过滤时，经常会出现连接后目录和数据传输无法列出的问题。所以2003系统增加的windows连接防火墙可以很好的解决这个问题，所以不建议使用网卡的TCP/IP过滤功能。做FTP下载的用户要看仔细了，因为他们怪我说我的文章都是垃圾.如果要关闭不必要的端口，在\ \ system32 \ \ drivers \ \ etc \ \ services中有列表，记事本可以打开。如果你比较懒，最简单的方法就是启用WIN2003自带的网络防火墙，更改端口。功能还可以！连接Internet防火墙可以有效拦截Windows2003服务器的非法入侵，防止非法远程主机扫描服务器，提高Windows2003服务器的安全性。同时还能有效拦截利用操作系统漏洞攻击端口的病毒，如冲击波和其他蠕虫。如果在Windows2003构建的虚拟路由器上启用此防火墙功能，可以保护整个内部网络。

港口介绍可以在：https://www.jb51.net/article/48186.htm找到

二、关闭不需要的服务打开相应的审核策略

我关闭了以下服务

浏览器维护网络上计算机的最新列表并提供此列表。

Taskscheduler允许程序在指定的时间运行。

在Messenger客户端和服务器之间传输NETSEND和警报服务消息。

DistributedFileSystem: LAN管理共享文件，因此不需要禁用它。

Distributedlinktrackingclient:用于更新局域网的连接信息，不需要禁用。

Errorreportingservice:错误报告被禁止。

MicrosoftSerch:提供快速单词搜索，可以在没有任何需要的情况下禁用。

LMSecuritySupportProvider:由Telnet服务和MicrosoftSerch使用，不需要禁用。

如果没有要禁用的打印机。

RemoteRegistry:禁止远程修改注册表。

Remotedesktophelpsession管理器：禁止远程协助。

如果工作站关闭，远程网络命令将无法列出用户组。

禁止所有不必要的服务。虽然这些可能是攻击者得不到的，但是根据安全规则和标准，不需要打开多余的东西，这样就减少了一个隐患。

在“网络连接”中，删除所有不必要的协议和服务。这里，仅安装了基本互联网协议(TCP/IP ),并且另外安装了Qos分组调度器来控制带宽流服务。在高级tcp/ip设置中-“NetBIOS”设置“禁用tcp/IP上的NetBIOS”。在高级选项中，使用“Internet连接防火墙”，这是windows2003附带的防火墙。它在2000系统中没有任何功能。虽然没有功能，但是可以屏蔽端口，从而基本实现了一个IPSec的功能。

输入gpedit.msc并回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审计策略。在创建审计项目时，需要注意的是，如果审计项目太多，生成的事件就越多，因此发现严重事件的难度就越大。当然，如果审核太少会影响你发现严重事件，你需要根据情况在两者之间进行选择。

建议审查的项目有：

登录事件成功但失败。

帐户登录事件成功和失败。

系统事件成功和失败。

策略更改成功但失败。

对象访问失败。

目录服务访问失败。

权限使用失败。

三、关闭默认共享的空连接

因为比较简单，这里就不讨论了。

https://www.jb51.net/article/42238.htm

四、磁盘权限设置

c盘只给管理员和系统权限，其他权限不给。其他磁盘也可以这样设置。这里给的系统权限不一定需要给，只是因为有些第三方应用是作为服务启动的，需要添加这个用户，否则启动不了。

Windows目录应该添加到用户的默认权限中，否则ASP、ASPX等应用无法运行。以前有朋友单独设置了Instsrv、temp等目录权限，其实没必要。

另外在c:/DocumentsandSettings/这里很重要，下面目录中的权限完全不会继承之前的设置。如果只对c盘设置了管理员权限，那么everyone用户将在AllUsers/ApplicationData目录下拥有完全控制权限，这样就可以跳转到这个目录，编写脚本或文件，然后结合其他漏洞增强权限。

比如利用serv-u的本地溢出来增强权限，或者系统中缺失补丁，数据库弱点，甚至社交工程等等。有很多方法。以前有人说‘只要给我一个webshell，我就能得到系统’，确实有可能。在用作web/ftp服务器的系统中，建议锁定所有这些目录。其他磁盘的目录都是这样设置的，每个磁盘只给一个adinistrators权限。

此外，它将：

net.exeNET命令

Cmd.exeCMD懂电脑的一切~

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

Cacls.exeACL用户组权限设置，这个命令可以设置NTFS下任何文件夹的任何权限！我入侵的时候没少用这个.(:

format.exe

大家都知道ASP木马吧？有一个CMD运行这个。如果这些都能运行.CMD下55，估计没别的了。估计会在格式下哭~ ~(:这些文件设置为只允许管理员访问。

五、防火墙、杀毒软件的安装

其实这个东西的安装我也说不上来。反正各种装置都有。推荐用卡巴和麦考菲。

https://www.jb51.net/hack/40724.html

https://www.jb51.net/softjc/468585.html

https://www.jb51.net/hack/536709.html

https://s.jb51.net/mcafee.htm

六、SQL2000SERV-UFTP安全设置

SQL安全方面

1.最好不要拥有两个以上的系统管理员角色。

2.如果在这台机器上，最好将身份验证配置为Win登录。

3.不要使用Sa帐户，并配置一个超级复杂的密码。

4.删除以下扩展存储过程格式：

使用主机

Sp_dropextendedproc '扩展存储过程名称'

Xp_cmdshell:这是操作系统的最佳捷径。删除

访问注册表的存储过程，删除

XP _ regaddmultistringXp _ regdeletekeyXp _ regdeletevalueXp _ regenumvalues

Xp _ regread Xp _ regwrite Xp _ regremovemultistring

OLE自动存储过程，不需要删除

Sp _ OACreate Sp _ OADestroySp _ OAGetErrorInfoSp _ OAGetProperty

sp _ OAMethodSp _ OASetPropertySp _ OAStop

5.隐藏SQLServer并更改默认端口1433

右键选择实例选择属性-常规-网络配置，选择TCP/IP协议属性，选择隐藏SQLServer实例，更改原来的默认端口1433。

serv-u的几个常规安全要求设置如下：

请检查“Block”FTP _ bounce“attack and XP”。什么是FXP？通常，当FTP协议用于文件传输时，客户端首先向FTP服务器发送‘PORT’命令，该命令包含用户的IP地址和用于数据传输的端口号。服务器收到后，它使用命令提供的用户地址信息与用户建立连接。大多数情况下，上述过程不会有问题，但当客户端是恶意用户时，FTP服务器可能会通过在PORT命令中添加特定的地址信息，与其他非客户端机器建立连接。虽然恶意用户可能没有直接访问特定机器的权限，但是如果FTP服务器有访问机器的权限，那么恶意用户就可以通过FTP服务器作为中介最终连接到目标服务器。这是FXP，也称为跨服务器攻击。选中时，可以防止这种情况。

七、IIS安全设置

IIS的安全性：

1.不要使用默认网站。如果这样做，应该将IIS目录与系统盘分开。

2.删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。

3.删除系统盘下的虚拟目录，比如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4.删除不必要的IIS扩展映射。

右键单击“默认网站属性主目录配置”打开应用程序窗口，删除不必要的应用程序映射。主要是。shtml，shtm，stm。

5.更改IIS日志的路径。

右键单击默认网站属性-网站-单击启用日志记录下的属性。

6.如果您使用的是2000，可以使用iislockdown来保护IIS，但不要求运行2003的IE6.0版本。

八。其他人

1.升级系统，打操作系统补丁，尤其是IIS6.0补丁，SQLSP3a补丁，甚至是IE6.0补丁。同时，及时跟踪最新的漏洞补丁；

2.停止访客帐号，给访客添加异常复杂的密码，重命名或伪装管理员！

3.隐藏重要文件/目录

可以修改注册表实现完全隐藏：“HKEY _本地_机器\软件\微软\ windows \当前版本\资源管理器\高级\文件夹\ hi-dden \ showall”，右击“CheckedValue”，选择修改，将值从1改为0。

4.启动系统自带的互联网连接防火墙，在设置服务选项中检查Web服务器。

5.防止SYN flood攻击

HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters

创建一个名为SynAttackProtect的新DWORD值，值为2

6.禁止响应ICMP路由通告消息。

HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters \ Interfaces \ interface

创建一个名为PerformRouterDiscovery的新DWORD值，其值为0

7.防止ICMP重定向消息的攻击

HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters

将EnableICMPRedirects值设置为0。

8.不支持IGMP协议。

HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters

创建一个新的DWORD值，名为IGMPLevel，值为0

9.禁用DCOM:

运行输入Dcomcnfg.exe。进入，点击“控制台根节点”下的“组件服务”。打开计算机子文件夹。

对于本地计算机，右键单击我的电脑，然后选择属性。选择默认属性选项卡。

清除“在这台计算机上启用分布式COM”复选框。

关于[推荐]Win2003服务器安全配置的这篇文章到此结束。有关Win2003安全配置的更多信息，请搜索我们以前的文章或继续浏览下面的相关文章。希望你以后能支持我们！

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。