您的浏览器Javascript被禁用,需开启后体验完整功能, 请单击此处查询如何开启
网页 资讯 视频 图片 知道 贴吧 采购 地图 文库 |

Server2003的安装 最详细的教程内部VIP资料

11676人阅读|129次下载

标签:
  • 安装|

Server2003的安装 最详细的教程内部VIP资料。Server2003的安装 最详细的教程内部VIP资料


一、Windows?Server2003?的安装? 1、安装系统最少两需要个分区,分区格式都采用?NTFS?格式? 2、在断开网络的情况安装好 2003?系统? 3、安装?IIS,仅安装必要的? IIS? 组件(禁用不需要的如?FTP? 和? SMTP? 服务) 。默认情况 下,IIS? 服务没有安装,在添加/删除? Win?组件中选择“应用程序服务器” ,然后点击“详细 信息” ,双击?Internet?信息服务(iis),勾选以下选项:? Internet? 信息服务管理器; 公用文件; 后台智能传输服务? (BITS)? 服务器扩展; 万维网服务。 如果你使用? FrontPage? 扩展的? Web? 站点再勾选:FrontPage?2002?Server?Extensions? 4、安装 MSSQL?及其它所需要的软件然后进行?Update。? 5、使用 Microsoft? 提供的? MBSA(Microsoft?Baseline?Security?Analyzer) 工具分析计算 机的安全配置,并标识缺少的修补程序和更新。下载地址:见页末的链接 二、设置和管理账户? 1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密 码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于?14?位。? 2、新建一个名为?Administrator?的陷阱帐号,为其设置最小的权限,然后随便输入组合 的最好不低于?20?位的密码? 3、将? Guest? 账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一 个?DelGuest?的工具,也许你也可以利用它来删除?Guest?账户,但我没有试过。? 4、在运行中输入 gpedit.msc?回车,打开组策略编辑器,选择计算机配置‐Windows?设置? ‐安全设置‐账户策略‐账户锁定策略,将账户设为“三次登陆无效”“锁定时间为?30?分钟” , , “复位锁定计数设为?30?分钟” 。? 5、在安全设置‐本地策略‐安全选项中将“不显示上次的用户名”设为启用? 6、在安全设置‐本地策略‐用户权利分配中将“从网络访问此计算机”中只保留?Internet? 来宾账户、启动?IIS?进程账户。如果你使用了?Asp.net 还要保留?Aspnet 账户。? 7、创建一个?User?账户,运行系统,如果要运行特权命令使用?Runas 命令。 三、网络服务安全管理? 1、禁止?C$、D$、ADMIN$一类的缺省共享 打 开 注 册 表 ,? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边 的窗口中新建?Dword?值,名称设为?AutoShareServer 值设为?0? 2、 解除?NetBios?与?TCP/IP?协议的绑定 右击网上邻居‐属性‐右击本地连接‐属性‐双击? Internet? 协议‐高级‐Wins‐禁用? TCP/IP? 上的? NETBIOS? 3、关闭不需要的服务,以下为建议选项? Computer?Browser:维护网络计算机更新,禁用? Distributed?File?System:? 局域网管理共享文件,不需要禁用? Distributed?linktracking?client:用于局域网更新连接信息,不需要禁用? Error?reporting?service:禁止发送错误报告? Microsoft?Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet?服务和?Microsoft?Serch?用的,不需要禁用? PrintSpooler:如果没有打印机可禁用? Remote?Registry:禁止远程修改注册表? Remote?Desktop?Help?Session?Manager:禁止远程协助 四、打开相应的审核策略 在运行中输入 gpedit.msc?回车,打开组策略编辑器,选择计算机配置‐Windows?设置‐安 全设置‐审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越 多, 那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件, 你需 要根据情况在这二者之间做出选择。 推荐的要审核的项目是: 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 五、其它安全相关设置? 1、隐藏重要文件/目录 可以修改注册表实现完全隐藏: “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\? Current‐Version\Explorer\Advanced\Folder\Hi‐dden\SHOWALL” ,鼠标右击 “CheckedValue” , 选择修改,把数值由?1 改为?0? 2、启动系统自带的?Internet?连接防火墙,在设置服务选项中勾选?Web?服务器。? 7、禁用?DCOM: 运行中输入? Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务” 打开 。 “计算机”子文件夹。 对于本地计算机,请以右键单击“我的电脑” ,然后选择“属性” 。选择“默认属性”选 项卡。 清除“在这台计算机上启用分布式? COM”复选框。 注:3‐6?项内容我采用的是?Server2000?设置,没有测试过对?2003?是否起作用。但有一 点可以肯定我用了一段的时间没有发现其它副面的影响。 六、配置? IIS? 服务:? 1、不使用默认的?Web?站点,如果使用也要将 将?IIS?目录与系统磁盘分开。? 2、删除?IIS?默认创建的?Inetpub 目录(在安装系统的盘上) 。? 3、 删除系统盘下的虚拟目录, _vti_bin、? 如:? IISSamples、? Scripts、? IIShelp、? IISAdmin、? IIShelp、? MSADC。? 4、删除不必要的?IIS?扩展名映射。 右键单击“默认?Web?站点→属性→主目录→配置” ,打开应用程序窗口,去掉不必要的 应用程序映射。主要为.shtml,?.shtm,?.stm? 5、更改?IIS?日志的路径 右键单击“默认?Web 站点→属性‐网站‐在启用日志记录下点击属性 七、配置?Sql?服务器? 1、System?Administrators? 角色最好不要超过两个? 2、如果是在本机最好将身份验证配置为?Win?登陆? 3、不要使用?Sa?账户,为其配置一个超级复杂的密码? 4、删除以下的扩展存储过程格式为:? use?master? sp_dropextendedproc?'扩展存储过程名'? xp_cmdshell:是进入操作系统的最佳捷径,删除 访问注册表的存储过程,删除? Xp_regaddmultistring? Xp_regdeletekey? Xp_regdeletevalue? Xp_regenumvalues? Xp_regread? Xp_regwrite? Xp_regremovemultistring? OLE?自动存储过程,不需要删除? Sp_OACreate? Sp_OADestroy? Sp_OAGetErrorInfo? Sp_OAGetProperty? Sp_OAMethod? Sp_OASetProperty? Sp_OAStop? 5、隐藏? SQL?Server、更改默认的?1433?端口 右击实例选属性‐常规‐网络配置中选择?TCP/IP 协议的属性,选择隐藏? SQL?Server? 实例, 并改原默认的?1433?端口。 八、如果只做服务器,不进行其它操作,使用?IPSec? 1、 管理工具—本地安全策略—右击?IP?安全策略—管理?IP?筛选器表和筛选器操作—在管 理?IP?筛选器表选项下点击 添加—名称设为 Web 筛选器—点击添加—在描述中输入 Web 服务器—将源地址设为任 何?IP?地址——将目标地址设为我的?IP?地址——协议类型设为?Tcp——IP?协议端口第一项设 为从任意端口,第二项到此端口?80——点击完成——点击确定。? 2、再在管理?IP?筛选器表选项下点击 添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址 设为任何?IP?地址——将目标地址设为我的?IP?地址——协议类型设为任意——点击下一步— —完成——点击确定。? 3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步—— 选择阻止——下一步——完成——关闭管理?IP 筛选器表和筛选器操作窗口? 4、 右击?IP?安全策略——创建?IP?安全策略——下一步——名称输入数据包筛选器——下 一步——取消默认激活响应原则——下一步——完成? 5、 在打开的新?IP?安全策略属性窗口选择添加——下一步——不指定隧道——下一步— —所有网络连接——下一步——在 IP 筛选器列表中选择新建的? Web 筛选器——下一步—— 在筛选器操作中选择许可——下一步——完成——在? IP? 筛选器列表中选择新建的阻止筛选 器——下一步——在筛选器操作中选择阻止 ——下一步——完成——确定? 6、 在?IP 安全策略的右边窗口中右击新建的数据包筛选器, 点击指派, 不需要重启,? IPSec? 就可生效.? 九、建议 如果你按本文去操作, 建议每做一项更改就测试一下服务器, 如果有问题可以马上撤消 更改。而如果更改的项数多,才发现出问题,那就很难判断问题是出在哪一步上了。 十、运行服务器记录当前的程序和开放的端口? 1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的 程序。 2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端 口。当然如果你能分辨每一个进程,和端口这一步可以省略。 十 一 、 更改 有 可能 会 被提 权 利用 的 文件 运 行权 限, 找 到 以 下文 件 ,将 其 安全 设 置里 除? administrators?用户组全部删除,重要的是连?system?也不要留.? net.exe? net1.exe? cmd.exe? tftp.exe? netstat.exe? regedit.exe? at.exe? attrib.exe? cacls.exe? format.com? c.exe? 特殊文件 有可能在你的计算机上找不到此文件.? 在搜索框里输入? "net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.? exe","format.com","c.exe"? 点击"搜索"? 然后‐‐‐全选‐‐‐右键‐‐‐属性‐‐‐安全 以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法 了.? Windows?下根目录的权限设置:? C:\WINDOWS\Downloaded?Program?Files? 默认不改? C:\WINDOWS\Offline?Web?Pages? 默认不改? C:\WINDOWS\Help?TERMINAL?SERVER?USER? 除前两项权限不选其余都选? C:\WINDOWS\IIS?Temporary?Compressed?Files?IIS_WPG 选全部权限? C:\WINDOWS\Installer? 删除 everyone?组权限? C:\WINDOWS\Prefetch? 默认权限不改? C:\WINDOWS\Registration? 添加?NETWORK?SERVICE? 选择其中三项权限, 其它保 留默认? C:\WINDOWS\system32? 添加?NETWORK?SERVICE? 选择其中三项权限, 其它保留 默认? C:\WINDOWS\TAPI? 删除?user?组,其它组的权限保留默认? C:\WINDOWS\Temp? 删除?user?组,其它组的权限保留默认? C:\WINDOWS\Web? 注意权限设置为继承。具体看演示 C:\WINDOWS\WinSxS? 添加?NETWORK?SERVICE? 选择其中三项权限, 其它保留默 认? C:\WINDOWS\Application?Compatibility?Scripts? C:\WINDOWS\Debug\UserMode? 删除?users?组的权限? C:\WINDOWS\Debug\WPD? 目录删除?Authenticated? Users?组权限。其它默认不 变? C:\WINDOWS\ime? C:\WINDOWS\inf? C:\WINDOWS\Installer? 删除其子目录下所有包含 everyone?组的权限? C:\WINDOWS\Microsoft.NET? 和 C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322? 保留默认 就行? C:\WINDOWS\PCHealth\UploadLB? 删除?everyone?组的权限,其它下级目录不用管,没有?user? 组和?everyone?组权限? C:\WINDOWS\PCHealth\HelpCtr? 删除 everyone?组的权限,? 如果?C:\WINDOWS\PCHealth\还有 其它演示中没有的目录,也如此操作,依情况灵活运用? C:\WINDOWS\Registration\CRMLog? 删除?users?组的权限? C:\WINDOWS\security\templates? 删除?users?组的权限及多余权限? system32?根目录的设置:? C:\WINDOWS\system32\GroupPolicy? 删除?Authenticated? Users?组,其下子目录 保留默认不用改就行? C:\WINDOWS\system32\spool\drivers? 删除?everyone?组的权限? C:\WINDOWS\system32\spool\PRINTERS? 删除?everyone?组的权限? C:\WINDOWS\system32\wbem\AutoRecover? 删除 everyone?组的权限? C:\WINDOWS\system32\wbem\Logs? 同上? C:\WINDOWS\system32\wbem\mof? 同上? C:\WINDOWS\system32\wbem\Repository? 同上

您的评论

发布评论

用户评价

  • 这篇文档有word格式吗?Server2003的安装 最详细的教程内部VIP资料 2018-06-15 20:44:42
+申请认证

文档贡献者

江华

网络高级工程师

46 400896 4.0
文档数 浏览总量 总评分

喜欢此文档的还喜欢