服务器安全设置教程

全方面教你配置服务器的安全.让你的服务器在互联网中免受攻击.更能让的服务器IP隐藏起来.心动不如行动快来看看吧.你不会失忘. 简介: 一：关闭windows2003不必要的服务 二：磁盘权限设置 三：禁止 Windows 系统进行空连接 四：关闭不需要的端口 五：关闭默认共享的空连接，取消所有的共享 六：IIS安全设置 七：修改注册表，阻挡某部分的网络攻击 八：隐藏服务器真实IP地址 ### 服务器安全设置教程知识点详解 #### 一、关闭Windows 2003不必要的服务 在维护服务器安全的过程中，关闭不必要的服务是第一步。这不仅能减少潜在的安全漏洞，还能提高服务器性能。 - **IPSECPolicyAgent**: 负责管理IP安全策略以及启动ISAKMP/Oakley IKE和IP安全驱动程序。除非需要使用特定的安全策略，否则可以考虑关闭。 - **Distributed Link Tracking Client**: 当文件在网络域的NTFS卷中移动时发送通知。对于大多数服务器而言，这不是必须的服务。 - **Com+ Event System**: 提供事件的自动发布到订阅COM组件。除非服务器上部署的应用程序需要这一功能，否则可以关闭。 - **Alerter**: 用于通知选定的用户和计算机管理警报。在现代环境中，可以通过更先进的系统来替代此服务。 - **Error Reporting Service**: 收集、存储并向Microsoft报告异常应用程序。虽然有助于诊断问题，但在安全性敏感的环境下可能成为风险。 - **Messenger**: 传输客户端和服务器之间的NETSEND和警报器服务消息。由于容易被滥用，建议关闭。 - **Telnet**: 允许远程用户登录到此计算机并运行程序。考虑到Telnet的安全性较低，建议使用更安全的协议（如SSH）。 #### 二、磁盘权限设置 正确的磁盘权限设置可以有效防止未经授权的访问。 - **C盘权限**: 只给administrators和system权限，其他用户不赋予任何权限。 - **其他盘权限**: 类似于C盘，根据实际需求设置权限。 - **system权限**: 对于某些第三方应用程序来说，system权限是必要的，因为它可能以服务形式启动。 - **Windows目录权限**: 需要给users默认权限，以确保ASP和ASPX等应用程序正常运行。 #### 三、禁止Windows系统进行空连接 通过注册表设置来禁止空连接，可以增加系统的安全性。 - **注册表路径**: `HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA` - **键值名称**: `RestrictAnonymous` - **键值类型**: DWORD - **键值**: 将其设置为1，以限制匿名连接。 #### 四、关闭不需要的端口 关闭不必要的端口是防止外部攻击的重要措施。 - **端口列表**: 关闭所有非必需端口，只开放实际需要使用的端口。 - **远程登录端口3389**: 修改此端口可以增加服务器的安全性。 - **注册表路径**: - `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp` - `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp` - **操作步骤**: - 将`PortNumber`的值从3389改为自定义的端口号。 - 重启服务器以使更改生效。 - **禁用TCP/IP上的NETBIOS**: - 在本地连接的TCP/IP属性中，选择“高级”选项卡，然后在“WINS”选项中禁用TCP/IP上的NETBIOS。 #### 五、关闭默认共享的空连接，取消所有的共享 通过脚本自动删除默认共享，可以避免因默认共享导致的安全隐患。 - **脚本内容**: ```batch @echo off net share C$/delete net share D$/delete net share E$/delete net share F$/delete net share admin$/delete ``` - **脚本保存位置**: 系统所在文件夹下的`system32\GroupPolicy\User\Scripts\Logon`。 - **执行脚本**: 通过组策略编辑器 (`gpedit.msc`) 设置脚本在用户登录时自动执行。 #### 六、IIS安全设置 IIS的安全设置至关重要，尤其是对于承载Web服务的服务器。 - **不使用默认的Web站点**: - 如果使用，默认站点应与系统磁盘分开。 - **删除默认创建的Inetpub目录**: - 删除安装系统的盘上的`Inetpub`目录。 - **删除系统盘下的虚拟目录**: - 如`_vti_bin`、`IISSamples`、`Scripts`、`IIShelp`、`IISAdmin`、`MSADC`。 - **删除不必要的IIS扩展名映射**: - 通过IIS管理控制台，移除不必要的应用程序映射。 - **更改IIS日志的路径**: - 通过IIS管理控制台，修改日志文件的保存路径。 #### 七、修改注册表，阻挡某部分的网络攻击 - **隐藏重要文件/目录**: - 通过修改注册表，可以使特定文件或目录对普通用户不可见。 - **注册表路径**: `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL` - **键值名称**: `CheckedValue` - **键值类型**: DWORD - **键值**: 0表示隐藏。 - **防止SYN洪水攻击**: - 通过调整注册表中的相应键值，可以增强服务器抵御此类攻击的能力。 - **注册表路径**: `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\` 通过上述设置，可以显著提升服务器的安全性，减少潜在的安全威胁，并保护服务器不受攻击。