Windows Server可以被配置為多種角色，Windows Server 2003 可以被配置為域控制器、成員服務器、基礎設施服務器、文件服務器、打印服務器、IIS服務器、IAS服務器、終端服務器等等。而且服務器可以被設置為幾種角色的綜合。

鐵通數據中心機房存在多臺不同角色的服務器，例如：備份服務器，終端服務器，Web服務器等，大部分是集各種角色于一身的服務器，所以有必要制作一份完整的安全方案文檔以供參考，綜合了部分虛擬主機公司的方案以及網絡整理的資料和個人的一些經驗，制作此方案。

總的來說，做為一個集各種角色為一身的服務器，主要是從以下幾個方面進行安全加固設置：組件安全、端口安全、Windows常見自帶程序的安全設置、遠程終端安全、第三方軟件的安全設置、木馬病毒的防范設置、系統服務設置、帳號安全問題、日志安全設置、MSSQL安全設置、常見危險協議的刪除、日常服務器安全檢測、目錄權限設置、DDOS攻擊的設置、MYSQL安全設置、php安全設置。

注意：下面的策略是本著安全最大化的目的來執行的，實際操作中，要本著服務器正常應用與安全盡量化兩者同時兼并的標準來進行。

組件安全：

一、禁止使用FileSystemObject組件

FileSystemObject可以對文件進行常規操作以及進行各種存在安全隱患的操作,可以通過修改注冊表，將此組件改名，來防止利用FSO組件的ASP木馬的危害。

步驟1：HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 名為其它的名字，如：改為 FileSystemObject_ChangeName，如果ASP程序必須使用這個組件，那么在代碼中改相應的名稱

步驟2：將clsid值也改一下，HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值，也可以將其刪除，來防止此類木馬的危害。

步驟3：將此組件注銷：RegSVR32 /u C:\WINDOWS\SYSTEM32\scrrun.dll

步驟4：禁止Guest用戶使用FSO組件文件：scrrun.dll，命令：cacls C:\WINDOWS\system32\scrrun.dll /e /d guests

注意：部分流行網站程序中的功能可能會用到FSO組件，在一般情況下，請修改ASP程序文件中對應的FSO名和clsid值為修改過后的服務器中的值。

(注：此組件的注銷可能會影響到很多asp網站程序中部分功能的使用，例如上傳等，如果必要，那么利用命令RegSVR32 C:\WINDOWS\SYSTEM32\scrrun.dll重新注冊。)

二、禁止使用WScript.Shell組件

WScript.Shell可以調用系統內核運行DOS基本命令，可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

步驟1：HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName，自己以后調用的時候使用這個就可以正常調用此組件了

步驟2：將clsid值也改一下HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值和HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值也可以將其刪除，來防止此類木馬的危害。

注意：一般情況下，這個組件很少被網站程序應用到，但是如果要用，請修改ASP程序文件中對應的WSH名和clsid值為修改過后的服務器中的值。

三、禁止使用Shell.Application組件

Shell.Application可以調用系統內核運行DOS基本命令，可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

步驟1：HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName，自己以后調用的時候使用這個就可以正常調用此組件了

步驟2：也要將clsid值也改一下，HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值和HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值，也可以將其刪除，來防止此類木馬的危害。

步驟3：注銷Shell.Application組件文件：regsvr32/u C:\WINDOWS\system32\shell32.dll

步驟4：禁止Guest用戶使用shell32.dll來防止調用此組件：cacls C:\WINDOWS\system32\shell32.dll /e /d guests。

以上設置做完之后，重新啟動服務器。幾個危險組件就徹底禁止掉了。核對下它們是否禁止成功，可以用ASP探針aspcheck.asp來探測下組件安全性?？梢钥吹浇沟舻膸讉€組件是叉號表示。

防范了大部分主流的ASP木馬，當然一些偏門的asp木馬仍然需要注意，這些偏門的ASP木馬：例如利用adodb.stream的木馬等，這些基本上利用下面要講解到的安全措施進行防范。

#p#

端口安全：

可以使用TCP/IP的過濾或者Windows 2003自帶防火墻來實現端口的安全，下面逐個講解。

一、Windows 自帶防火墻（Windows Firewall/Internet Connection Sharing (ICS)）

步驟1：網上鄰居—>（右鍵）屬性—>本地連接—>（右鍵）屬性—>高級—>（選中）Internet 連接防火墻—>設置 服務器上面要用到的服務端口選中

例如：一臺WEB服務器，要提供WEB（80）、FTP（21）服務及遠程桌面管理（3389）在“FTP 服務器”、“WEB服務器（HTTP）”、“遠程桌面”、“安全WEB服務器”前面打上對號

如果你要提供服務的端口不在里面，你也可以點擊“添加”銨鈕來添加，SMTP和POP3根據需要打開

具體參數可以參照系統里面原有的參數。

步驟2：然后點擊確定。注意：如果是遠程管理這臺服務器，請先確定遠程管理的端口是否選中或添加。

一般需要打開的端口有：21、 25、 80、 110、 443、 3389、 等，根據需要開放需要的端口。注意將TCP/IP端口里面的10001-10005（需要用算法計算，下面會講解到此算法）設置進去，因為這是設置Serv-U的PASV模式使用的端口，當然也可以使用別的。

二、WindowsTCP/IP的過濾

桌面上右擊網上鄰居--屬性--雙擊打開外網網卡，選擇Internet 協議（TCP/IP）--高級--切換到“高級TCP/IP設置”中的選項標簽下，選擇“TCP/IP篩選”，這里有三個過濾器，分別為：TCP端口、UDP端口和IP 協議，我們用TCP端口，將常用的端口添加進去。除了常見的服務程序應用端口外，仍然需要注意的是Serv-u的隨機端口的設置。這個設置直接關系到用戶訪問FTP時是否會出現Socket錯誤。這里需要計算Serv-u的隨機端口列表。參看下面“注意”中的隨機端口計算。

注意：關于客戶端軟件出現Socket錯誤的幾種可能的解決辦法：

1、   將客戶端軟件的傳輸方式改為PASV方式

2、   根據Serv-u隨機端口的算法，將計算出的隨機端口列表添加到TCP/IP篩選中。例如：

客戶端設置成被動方式，鏈接FTP服務器，會由于隨機端口沒有設置而出錯，從軟件中的出錯信息中找到類似這樣227 Entering Passive Mode (60,195,253,118,3,52)（格式：IP，m,n）找到它，我們利用公式計算出如果客戶端用被動方式登錄服務器時，服務器要動態開放的第一個端口值。公式為m*256+n,上例中應該是3*256+52=820，所以把隨機端口列表820-830添加進去。注意：不要和已知存在的應用程序的端口沖突，例如mssql，mysql，termservice等端口。

3、   南北互聯問題，這個問題的幾率不大，沒確切憑據。

三、端口與列表的進程關聯查看

經常使用Activex Ports，psport， TCPView等小工具查看服務器端口對應的進程，可以防止一些低級別的木馬后門植入。

同時也要檢查常見的啟動項，低級別的木馬也喜歡在這些地方加載達到隨機啟動，可以利用小工具msconfig查看。

#p#

Windows常見自帶程序的安全設置：

1、Tftp文件的修改

入侵者在權限允許的情況下可能會使用小型文件傳輸協議進行后門木馬等危險程序的上傳，所以需要徹底禁止掉TFTP服務，服務器一般很少用到這個服務。

操作：用文本編輯工具打開%systemroot%\system32\drivers\etc下的service文件找到對應的tftp那一行，將 69/udp 替換成 0/udp。保存退出

2、禁用Guests組用戶調用cmd.exe

2003使用命令：cacls C:\WINDOWS\system32\Cmd.exe /e /d guests，同理，將上面的命令應用到如下進程：

net1.exet   
 
 
cmd.exe   
 
 
tftp.exe   
 
 
netstat.exe   
 
 
regedit.exe   
 
 
at.exe   
 
 
attrib.exe   
 
 
cacls.exe   
 
 
format.com   
 
 
netsh.exe（千萬要注意這個程序，它可以修改網絡屬性以及windows自帶防火墻設置，安全隱患大）   
 

3、徹底禁止telnet的的登陸   

在c:\windows\system32目錄下有個login.cmd文件，將其用記事本打開，在文件末尾另取一行，加入exit保存。這樣用戶在登陸telnet時，便會立即自動退出.

遠程終端安全：

Termservices是Windows自帶的遠程管理程序，經常被入侵者利用。所以在這部分的安全設置要尤其注重。主要從端口，審核，日志，策略3個方面來加強它的安全

1、端口值：

將默認的3389改掉，改成一個很大的值，越大越好，因為入侵者可能利用某些工具探測終端端口，例如tsscan，設置的越大，越能起到拖延的作用。

修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，這兩個分支下的portnumber鍵值改為你想要的端口，例如65511

如果感覺手工修改注冊表麻煩，可以用下面這個小工具代勞。

2、用戶審核設置：

設置完端口之后，有必要對每次終端登陸的日志進行記錄，以方便日常安全檢查。

為遠程登錄啟動日志記錄：開始-程序-管理工具-終端服務配置-連接-rdp/tcp-右鍵-屬性-權限-添加administrators組-高級-審核-添加everyone組，選擇審核的項目為登錄和注銷。

3、批處理記錄遠程終端連接IP日志

步驟1：將下面的代碼保存在記事本中保存為3389.bat，

@echo off

date /t >> E:\server\3389.txt

attrib +s +h E:\server\3389.bat

attrib +s +h E:\server\3389.txt

time /t >> E:\server\3389.txt

netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt

（注：date和time是用于獲取系統時間的， “attrib +s +h E:\server\3389.bat”和“attrib +s +h E:\server\3389.txt”這兩個命令是用來隱藏3389.bat和3389.txt這兩個文件的， “netstat -an |find "ESTABLISHED" |find ":3389" >>d:\3389.txt”這個命令則是記錄通過終端的連結狀況的。）

步驟2：打開注冊表，展開：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon，找到“Userinit”這個鍵值，這個鍵值默認為c:\WINDOWS\system32\userinit.exe，在它的逗號后面寫上E:\server\3389.bat批處理的路徑，同時末尾以逗號結尾，完整的路徑是：“

c:\WINDOWS\system32\userinit.exe, E:\server\3389.bat,“（注意結尾的逗號），這樣每次用戶只要是通過遠程端口連接進入服務器，則會自動記錄它的IP地址并保存在E:\server\3389.txt中。

4、遠程登陸名請勿使用administrator這個用戶名，因為CAIN這款功能強大嗅探工具在某些條件具備的情況下，可以嗅探并得到administrator登陸的明文密碼，而其他名稱的用戶登陸則使CAIN無能為力。雖然RDP協議是128位加密，但是CAIN可以嗅探并破解。

5、利用安全策略指定遠程終端登陸的IP范圍，這是最對于Termserivce安全最牢固的方法，可以防止端口復用（例如：httptunnel）等入侵手段。具體操作如下：

222.41.

#p#

第三方軟件的安全設置：

常見的第三方服務軟件，例如Serv-u，pcAnywhere，radmin等需要特別注意，它們經常被入侵者做為服務器提權的主要手段之一。

1、Serv-u：Serv-u默認的目錄權限以及內置的超級管理員權限經常被利用提權。安全設措施如下：首先在Services.msc中停掉Serv-U服務，然后用Ultraedit打開ServUDaemon.exe

查找 Ascii：LocalAdministrator 和 #l@$ak#.lk;0@P，修改成等長度的其它字符就可以了，注意：同時也要將ServUAdmin.exe一樣處理。

設置Serv-U所在的文件夾的權限，不要讓IIS匿名用戶有讀取的權限，否則入侵者可能會通過腳本shell將ServUDaemon.exe下載到本地后，同樣用Ultraedit可以分析出修改過后的超級管理員用戶和密碼，然后修改溢出提權程序，同樣達到提權。

以下是一個Serv-u提權程序的應用范例，很容易利用未修改的Serv-u的管理員用戶和密碼來執行系統操作。

2、ftp連接軟件的權限設置

由于ftp連接軟件（例如flashfxp）里面保存有ftp記錄的歷史信息文件，如果被入侵者通過腳本shell下載到本地后，它只需要覆蓋到本機器上的同版本FTP軟件中，那么那些曾經的歷史記錄就會出現，入侵者可能會利用星號密碼查看器之類的東西查看得到FTP密碼。所以必須對ftp軟件安裝的目錄進行權限設置，只允許Administrators組訪問，其他組一概禁止訪問。

3、PcAnywhere密碼安全

PcAnywhere是常見的遠程管理軟件，默認生成的密碼文件（.cif文件后綴）會在C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\目錄下產生，而這個目錄默認權限是允許user組查看并讀取，所以入侵者可能會利用腳本shell在這里將密碼文件下載到本地后，然后利用PCAnywhere PassView類似的顯密碼工具得到管理密碼。

所以對這個目錄必須進行除administrators組外的所有用戶和組的限制。同時盡量使用最新版本的PcAnywhere 11版本以上（11版本以后的密碼強度很難破解，也沒有相關的破解工具發布），目前流行的pcAnywhere密碼破解軟件無法破解最新版的密碼。當然最安全的設置是采用Symantec Packagerd 的SecurID 雙重認證機制。默認情況下，不推薦使用此工具管理服務器，因為它可能與終端服務產生沖突，導致遠程終端服務因為GINA問題無法登陸。

4、Radmin密碼安全

Radmin也是類似PcAnywhere的一款遠程管理軟件，它的密碼文件會默認產生在注冊表中，如果在權限允許的情況下，入侵者可以替換掉相關的radmin注冊表鍵值，從而可以使用修改過的密碼進行登陸服務器。發現部分托管服務器用戶喜歡使用Radmin管理服務器，建議一般情況下不推薦使用此軟件進行遠程管理。

#p#

木馬病毒的防范設置：

入侵者一般習慣在服務器上安裝內核心級后門或木馬，例如灰鴿子，黑洞，黑客之門等，這些后門在修改之后，很難用基本的殺毒軟件和端口查看軟件發現，所以推薦使用F-Secure BlackLight+ICESWOR +一款主流殺毒軟件（Mcafee或NOD32），基本上可以使修改過的或未公開的內核級后門無法隱藏。

1、F-Secure BlackLight+ICESWOR可以有效的查出內核級后門以及目前非常泛濫的后門灰鴿子和黑洞等線程插入式后門。使用時最好配合一般的進程查看工具，然后將兩者的掃描結果進行對照，即可發現內核可疑之處。

注：

ICESWOR：它適用于Windows 2000/XP/2003操作系統，用于查探系統中的幕后黑手(木馬后門)并作出處理，當然使用它需要用戶有一些操作系統的知識。

在對軟件做講解之前，首先說明第一注意事項：此程序運行時不要激活內核調試器(如softice)，否則系統可能即刻崩潰。另外使用前請保存好您的數據，以防萬一未知的Bug帶來損失。IceSword目前只為使用32位的x86兼容CPU的系統設計，另外運行IceSword需要管理員權限。

F-Secure BlackLight：可以偵測并清除活動著的Rootkit，而許多傳統的病毒掃描無法偵測出活動著的Rootkit,是對付Rootkit系病毒的利器。

2、用Mcafee建立新的安全策略。禁止向系統目錄寫入dll和exe文件。這樣可以有效的防范病毒感染。同時制定每天的定時殺毒計劃。同時給Mcafee加上密碼訪問，防止惡意關閉。

常見安全策略制定：

1、打開組策略編輯器，依次展開“計算機配置→Windows 設置→安全設置→本地策略→安全選項”，在右側窗口中找到“網絡訪問：可遠程訪問的注冊表路徑”，然后在打開的窗口中，將可遠程訪問的注冊表路徑和子路徑內容全部設置為空即可。

2、關閉自動播放功能不僅對光驅起作用，而且對其它驅動器也起作用，這樣很容易被入侵者利用給文件夾目錄中寫入auto.inf文件執行自動執行黑客程序。打開組策略編輯器，依次展開“計算機配置→管理模板→系統”，在右側窗口中找到“關閉自動播放”選項并雙擊，在打開的對話框中選擇“已啟用”，然后在“關閉自動播放”后面的下拉菜單中選擇“所有驅動器”，按“確定”即可生效。

3、安全策略->本地策略->審核策略，打開以下內容：

審核策略更改 成功,失敗

審核系統事件 成功,失敗

審核帳戶登陸事件 成功,失敗

審核帳戶管理 成功,失敗

4、計算機配置→Windows設置→安全設置→本地策略→安全選項→交互式登陸（不顯示上次的用戶名）

5、計算機配置→Windows設置→安全設置→本地策略→安全選項→帳戶：重命名系統管理員帳戶

#p#

帳號安全問題：

1、禁用Guest賬號

在計算機管理的用戶里面把Guest賬號禁用。為了保險起見，最好給Guest加一個復雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去。

2、限制不必要的用戶

去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限，并且經常檢查系統的用戶，刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。

3、把系統Administrator賬號改名

4、建一個陷阱用戶

什么是陷阱用戶?即創建一個名為“Administrator”的本地用戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。

5把共享文件的權限從Everyone組改成授權用戶

5、不讓系統顯示上次登錄的用戶名

默認情況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名，進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為：打開注冊表編輯器并找到注冊表項“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的鍵值改成1。或者直接在組策略里修改。

6、密碼安全設置

一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名，然后又把這些用戶的密碼設置得太簡單，比如“welcome”等等。因此，要注意密碼的復雜性，還要記住經常改密碼。 同時建議托管用戶在第一時間內修改掉默認上架密碼bizctt，這樣可以防止同一交換機下的攻擊，例如arpsniffer等。

7、陌生帳號處理

發現服務器中的陌生帳號之后，極可能是被入侵者添加的，一般情況下要首先對其進行過的操作進行取證，主要方法是修改這個陌生帳號的密碼后，用其帳戶進行登陸，然后查看帳號對應下的最近操作記錄，在C:\Documents and Settings\用戶名\Recent下，同時分析IE記錄，并通過搜索功能查找自帳號建立時間起內進行修改的文件的查找工作，這樣可以短時間內確定陌生帳號在服務器上進行的操作。

#p#

日志安全設置：

日志是記錄服務器性能，安全的最重要的東西，入侵者在成功入侵服務器后，會對日志部分進行多次擦寫以掩蓋自己的行徑，所以保護服務器日志是服務器在被入侵后的重要取證之一。我們需要做的是將日志轉移到一個新的目錄下，同時對目錄進行權限劃分，使入侵者在離開服務器之前無法清除自己的痕跡。

系統安裝完成后，日志文件存放在%systemroot%\system32\config，有“應用程序日志”、“安全日志”及“系統日志”，分別對應的文件是：appevent.evt、secevent.evt、sysevent.evt 如果你裝有其他的服務，如DNS 等，還有對應的日志。這些文件受event log 服務的保護而不可刪除，但卻可以清空里面的數據。GUI 下清除日志的相信大家都知道可以通過“事件查看器”來清除日志，而“命令提示符”下清除日志的后門工具也很多，常用的工具有

elsave 等。只要在權限允許的情況下，運行后門清除工具即可將日志清除。我們通過下面的步驟進行日志的安全設置。

1、修改日志文件的存放位置必須在注冊表里面修改，打開注冊表并找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog 有沒有看到application、security、system 幾個子鍵，分別對應“應用程序日志”、“安全日志”、“系統日志”這幾個鍵下面還有很多子鍵，都是一些對應的信息，我們先來看看application 子鍵，File 項的值就是“應用程序日志”文件存放的位置，我們將它改改，就將它放在D:\systemlog文件夾下，所以File 的值也就成了D:\systemlog\Appevent.evt。

2、在D盤下新建一個systemlog文件夾，打開CMD命令行，輸入命令copy Appevent.evt D:\systemlog,即將日志文件轉移到新的目錄下。

3、查看新目錄systemlog的權限，給予system 組除“完全控制”和“修改”之外的所有權限，然后只給everyone 組只讀的權限。

這樣一般情況下，就算得到了administrator權限，而不在圖形界面下的話，那么入侵者也無法清除日志記錄。

MSSQL安全設置：

網絡上關于MSSQL的文章多不勝數，這里主要說下幾個常見的設置：

1、必須刪除MSSQL里的危險存儲過程和擴展，這些存儲擴展可以使用戶在MSSQL應用的網站上實施SQL injection的語句提交攻擊，刪除語句如下：

use master  
EXEC sp_dropextendedproc 'xp_cmdshell'  
EXEC sp_dropextendedproc 'Sp_OACreate'  
EXEC sp_dropextendedproc 'Sp_OADestroy'  
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'  
EXEC sp_dropextendedproc 'Sp_OAGetProperty'  
EXEC sp_dropextendedproc 'Sp_OAMethod'  
EXEC sp_dropextendedproc 'Sp_OASetProperty'  
EXEC sp_dropextendedproc 'Sp_OAStop'  
EXEC sp_dropextendedproc 'Xp_regaddmultistring'  
EXEC sp_dropextendedproc 'Xp_regdeletekey'  
EXEC sp_dropextendedproc 'Xp_regdeletevalue'  
EXEC sp_dropextendedproc 'Xp_regenumvalues'  
EXEC sp_dropextendedproc 'Xp_regread'  
EXEC sp_dropextendedproc 'Xp_regremovemultistring'  
EXEC sp_dropextendedproc 'Xp_regwrite'  
drop procedure sp_makewebtask  

2、在查詢分析器中執行上面的語句即可刪除。

同時為了防止某些特殊情況下入侵者恢復這些存儲過程，可以將部分危險存儲對應的dll文件改名：xpstar.dll（主要是關于注冊表的操作），xplog70.dll（關于DOS命令的操作），以后在使用MSSQL中如果需要使用到某些進程，再將其改回原名。(注：odsole70.dll這個文件也關聯一些危險存儲過程，但是一般情況下不要刪除，它關乎一些sql事務。)

SQL補丁務必打上最新的SP4補丁以及對SQL數據進行定時備份。

#p#

常見危險協議的刪除：

1、NetBIOS協議刪除

“開始菜單—設置—網絡與撥號連接”，選擇代表互聯網連接的對象，不管是通過防火墻還是直接連接。 點擊“屬性”按鈕打開對話框，進入“互聯網協議（TCP/IP）屬性”頁面。 點擊底部右邊的“高級”按鈕進入WINS面板。 在WINS面板的下半部分是這個TCP/IP連接的TCP/IP 上的NetBIOS選項（它正好是直接與互聯網連接，可能使用靜態IP地址）。在它的默認設置中，它允許TCP/IP連接到端口139（攻擊者最喜愛的端口）的NetBIOS。NetBIOS自由分配許多與IP、域名和用戶名有關的信息。

點擊“禁用TCP/IP 上的NetBIOS”按鈕，然后點擊OK。這一設置立即生效。

2、禁用 SMB

在“開始”菜單中，指向“設置”，然后單擊“網絡和撥號連接”。右鍵單擊“Internet 連接”，然后單擊“屬性”。選擇“Microsoft 網絡客戶端”，然后單擊“卸載”。完成卸載步驟。

選擇“Microsoft 網絡的文件和打印機共享”，然后單擊“卸載”。完成卸載步驟。

日常服務器安全檢測：

1、用MBSA基準分析器或retina定期分析服務器安全，并進行相應的防范設置。

注意MBSA掃描結果中以下面幾種符合開始的各種結果項目，它們分別代表不同級別的漏洞警告圖標。其中紅色叉號最為嚴重，MSBA同樣給出了漏洞解決辦法，點擊How to correct this即可查看到。其中綠色的勾號表示不存在任何漏洞。

注：

Microsoft Baseline Security Analyzer（MBSA）工具允許用戶掃描一臺或多臺基于 Windows 的計算機，以發現常見的安全方面的配置錯誤。MBSA 將掃描基于 Windows 的計算機，并檢查操作系統和已安裝的其他組件（如：Internet Information Services（IIS）和 SQL Server），以發現安全方面的配置錯誤，并及時通過推薦的安全更新進行修補。

eEye Digital Security所出的 Retina Network Security Scanner 網絡安全軟件。它可以幫你掃描網絡上計算機的安全性漏洞問題所在，是大型滲透方案中經常用到的工具之一。

2、及時關注流行應用漏洞公告，并對用戶進行及時通知更新相關補丁。常見的漏洞公告地址：

http://www.nsfocus.com/，http://www.ccert.edu.cn/notice/index.php，http://www.venustech.com.cn/tech/day/

如果感覺手工打Windows補丁麻煩，可以用小工具：瑞星系統漏洞掃描器來自動操作。

3、定期對服務器進行滲透測試，保證漏洞及時發現。

4、經常關注動網，動易，phpwind，discuz，風訊等熱門網站程序官方新聞，及時更新漏洞補丁以及通知用戶。

目錄權限設置：

目錄權限的設置對于虛擬主機安全非常重要，要在本著系統正常運行以及安全兩者兼得的情況下進行設置。下面是標準的目錄權限設置方案，已經在一臺服務器上成功分布權限。

1、   C盤只給Administrators和system的全部權限，這樣當入侵者通過網站程序漏洞得到webshell之后，它無法瀏覽到C盤系統目錄中。

2、其他的盤進行同樣的權限設置：只給Administrators和system的全部權限。

3、將mysql和mssql，serv-u等常見服務器應用程序全部安裝到D盤中，并嚴格控制權限，一般情況下，只給Administrators和system的全部權限。

4、在D盤新建一個webroot目錄，只給administrators組和system組權限，每一個web建立一個對方的IIS匿名用戶，將其用戶加到guests組。

在對應的web目錄上設置其權限： 僅 給讀取和寫入 和權限

再打開IIS的目錄安全性中，將匿名用戶加入進去，填寫的密碼是剛才設置的IUSR的密碼（機房的大部分WEB服務器就是采用這種設置）。

5、C:\Documents and Settings不會繼承C盤剛才設置的只允許administrators和system，所以必須對起進行設置。把administrators組和system組留下其他的組刪除。

同樣c:\Documents and Settings\All Users\「開始」菜單\程序\啟動也需要注意權限的設置。

6、同樣還有很多深層目錄沒有繼承剛才的C盤跟目錄的權限設置，所以必須依次進行權限設置。

C:\Program Files 目錄 設置權限為 只留administrators組和system組留下。

但是把其中的C:\Program Files\Common Files的權限多加一個everyone一個讀取和運行的權限 和列出 文件目錄。這樣保證了asp的正常使用。

如果安裝php和cgi，那么對于默認的目錄c:\php,c:\prel產生的權限要重新劃分。服務器如果安裝了java，那么對C:\Program Files\Java Web Start\這個目錄也要嚴格控制權限，方式寫入jsp木馬。

7、C:\WINDOWS\ 開放Everyone默認的讀取及運行 列出文件目錄 讀取三個權限。

C:\WINNT\Temp 加上Guests的讀寫兩個權限 其他的取消。

如果造成asp程序運行錯誤，那么開放Everyone 修改、讀取及運行、列出文件目錄、讀取、寫入權限(注：基本上服務器不需要設置此權限)

如果上面的設置做完之后，導致ASP和ASPX等應用程序就無法運行，那么Windows目錄要加上給users的默認權限。(注：基本上服務器不需要設置此權限)

8、C:\Documents and Settings\All Users\Application Data\Network Associates

C:\Documents and Settings\All Users\Application Data\Microsoft

C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help

#p#

基本上常見可能被入侵者利用的目錄如下：

C:\perl  
C:\temp\  
C:\Mysql\  
c:\php\  
C:\autorun.inf  
C:\Documents and setting\  
C:\Documents and Settings\All Users\「開始」菜單\程序\  
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動  
C:\Documents and Settings\All Users\Documents\  
C:\Documents and Settings\All Users\Application Data\Symantec\  
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere  
C:\WINNT\system32\config\  
C:\winnt\system32\inetsrv\data\  
C:\WINDOWS\system32\inetsrv\data\  
C:\Program Files\  
C:\Program Files\Serv-U\  
c:\Program Files\KV2004\  
c:\Program Files\Rising\RAV  
C:\Program Files\RealServer\  
C:\Program Files\Microsoft SQL server\  
C:\Program Files\Java Web Start\  

需要嚴格控制它們的權限

基本上上面的設置完成后,下面的不用設置了。

注：部分服務器在設置完成后，可能還會出現asp運行錯誤，如果出現，屬于特殊情況，那么則按照下面的這個目錄和文件權限進行添加設置：

C:\Program Files\Common Files Guests 默認的讀取及運行 列出文件目錄 讀取三個權限

C:\WINNT\system32\inetsrv Guests 默認的讀取及運行 列出文件目錄 讀取三個權限

C:\WINNT\Temp Guests 讀寫兩個權限

C:\WINDOWS\system32\*.tlb Guests 默認的讀取及運行 列出文件目錄 讀取三個權限

C:\WINDOWS\system32\*.exe IWAM_*** 默認的讀取及運行 列出文件目錄 讀取三個權限

C:\WINDOWS\system32\*.dll IUSR_*** 默認的讀取及運行 列出文件目錄 讀取三個權限

注意：上面的目錄安全完全做好之后，運行ASP網站，可能會出現：請求的資源在使用中 錯誤，這是由于打開單機版殺毒的腳本監控會時IIS6.0不正常。運行regsvr32 jscript.dll和regsvr32 vbscript.dll重新注冊JAVA腳本和VB腳本的動態鏈接庫后一切正常。有時在設置權限時，一些必要的文件夾權限給的太低也會造成這種情況。一般情況下利用上面的兩個注冊明令就可以。

這種情況我遇到過很多次，當然并不是單一的都是殺毒軟件造成的，有時在設置權限時，一些必要的文件夾權限給的太低也會造成這種情況。重新給了權限后需要重啟服務器。

DDOS攻擊的設置：

修改注冊表可以防范輕量的DDOS攻擊，將safe.reg文件導入注冊表即可，作用是可抵御DDOS攻擊2-3萬包，提高服務器TCP-IP整體安全性能（效果等于軟件防火墻，節約了系統資源）。

這一項的設置基本上在最后再進行，因為這里的部分服務如果禁用，前面安裝一些服務器軟件的時候會報錯主要是將將如下服務全部禁止，啟動防止改為手動（注意：是手動，不是禁用），列表：

系統服務設置：

Computer Browser  
Distributed File System  
Help and Support  
Print Spooler  
Remote Registry  
Task Scheduler  
TCP/IP NetBIOS Helper  
Telnet  

Server（注意：此服務關系到微軟基準分析器是否能正常使用，平時為了服務器安全性，要將其改為手動，當需要使用微軟基準分析器時，將此服務啟動后即可正常使用微軟基準分析器）

Workstation（注意：如果在安裝Mssql服務之前停止掉此工作站服務，那么安裝時會出錯，所以在未安裝mssql之前，不要將其關閉），

同時管理員要定期查找服務名，以防可以服務名出現，例如radmin或vnc之類的遠程管理軟件經常被入侵者修改掉服務名來藏匿之后做為后門使用，殺毒軟件對這些軟件認為是合法軟件。

Win2003網絡服務器的安全配置策略本文講解的相當詳細，希望讀者能夠仔細閱讀，從中有所收獲。

【編輯推薦】

1. 網絡服務器防止被黑安全經驗談
2. 輕松搭建屬于自己的網絡服務器
3. TurboLinux系統的網絡服務器配置 
4. 安全經驗談之網絡服務器如何防止被黑
5. 終解使用驗證工具解決服務器網絡問題？