一、先关闭不需要的端口

　　我比较小心，先关了端口。只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。PS一句：设置完端口需要重新启动！






　　当然大家也可以更改远程连接端口方法：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683


　　保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！

　　还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。


　　做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services中有列表，记事本就可以打开的。如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以！

　　Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

　二.关闭不需要的服务 打开相应的审核策略

　　我关闭了以下的服务

　　Computer Browser 维护网络上计算机的最新列表以及提供这个列表

　　Task scheduler 允许程序在指定时间运行

　　Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

　　Distributed File System: 局域网管理共享文件，不需要禁用

　　Distributed linktracking client：用于局域网更新连接信息，不需要禁用

　　Error reporting service：禁止发送错误报告

　　Microsoft Serch：提供快速的单词搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果没有打印机可禁用

　　Remote Registry：禁止远程修改注册表

　　Remote Desktop Help Session Manager：禁止远程协助

　　Workstation关闭的话远程NET命令列不出用户组

　　把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。


　　在"网络连接"里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。


　　在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

　　推荐的要审核的项目是：

　　登录事件

　　账户登录事件

　　系统事件

　　策略更改

　　对象访问

　　目录服务访问

　　特权使用

　　三、关闭默认共享的空连接

　　地球人都知道，我就不多说了！

四、磁盘权限设置

　　C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

　　Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

　　另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到system"，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。

　　另外，还将：

　　net.exe NET命令

　　cmd.exe  CMD 懂电脑的都知道咯~

　　tftp.exe

　　netstat.exe

　　regedit.exe  注册表啦 大家都知道

　　at.exe

　　attrib.exe

　　cacls.exe  ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！偶入侵的时候没少用这个....（：

　　format.exe  不说了，大家都知道是做嘛的

　　大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~（：这些文件都设置只允许administrator访问。

　　五、防火墙、杀毒软件的安装

　　关于这个东西的安装其实我也说不来，反正安装什么的都有。用系统自带的防火墙，这个我不专业，不说了！大家凑合！

　　六、SQL2000 SERV-U FTP安全设置

　　SQL安全方面

　　1、System Administrators 角色最好不要超过两个

　　2、如果是在本机最好将身份验证配置为Win登陆

　　3、不要使用Sa账户，为其配置一个超级复杂的密码

　　4、删除以下的扩展存储过程格式为：

　　use master

　　sp_dropextendedproc '扩展存储过程名'

　　xp_cmdshell：是进入操作系统的最佳捷径，删除

　　访问注册表的存储过程，删除

　　Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
　　Xp_regread Xp_regwrite Xp_regremovemultistring

　　OLE自动存储过程，不需要，删除

　　Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
　　Sp_OAMethodSp_OASetPropertySp_OAStop

　　5、隐藏 SQL Server、更改默认的1433端口。

　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。

　　serv-u的几点常规安全需要设置下：

　　选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

　　七、IIS安全设置

　　IIS的安全：

　　1、不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。

　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、删除不必要的IIS扩展名映射。

　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。

　　5、更改IIS日志的路径

　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

　　八、其它

　　1、系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁；

　　2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装！


　3、隐藏重要文件/目录

　　可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。

　　4、启动系统自带的Internet连接防火墙，在柚梅裱∠钪泄囱eb服务器。

　　5、防止SYN洪水攻击。

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为SynAttackProtect，值为2

　　6. 禁止响应ICMP路由通告报文

　　HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名为PerformRouterDiscovery 值为0。

　　7. 防止ICMP重定向报文的攻击

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　将EnableICMPRedirects 值设为0

　　8. 不支持IGMP协议

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为IGMPLevel 值为0。

　　9、禁用DCOM：

　　运行中输入Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。


　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。


　　清除“在这台计算机上启用分布式 COM”复选框。

　　最后，建议安全以上步骤做的朋友们，每做一步先进行一下测试，省的无可挽回，毕竟Microsoft会出一些非常规性的问题的咯！

cacls.exe ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！偶入侵的时候没少用这个....（：


OMG,学到了,难怪我的F盘可以设置权限,E盘不能设置权限,原因是这个原因啊。。。

呵呵，多谢楼主啦

http://bbs.hzva.org/viewthread.php?tid=9112&extra=page%3D1&page=5


服务器安全设置基本要点


服务器安全设置基本要点
近段时间不少用户询问服务器设置要注意那些方面的内容，在这里我把前几年的一次授课内容摘录如下，供参考：
1、安装好操作系统之后，在托管之前完成补丁安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP2，然后点击开始→Windows Update，安装所有的关键更新。
2、安装杀毒软件。
3、设置端口保护和防火墙、删除默认共享。
４、权限设置
Ａ、NTFS权限设置，把所有的硬盘都分为NTFS分区，确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。
IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户，当用户访问网站的.ASP文件的时候，这个.ASP文件所具有的权限，则是这个“IIS匿名用户”所具有的权限。
为每个独立的要保护的个体（如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。
Ｂ、在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的用户名。设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。
（这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。）

参考的设置方法
Ａ、先创建一个用户组，以后所有的站点的用户都建在这个組里，然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。
Ｂ、改名或卸载不安全组件
　　最危险的组件是WSH和Shell，因为它可以运行硬盘里的EXE等程序，如：它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。但要谨慎决定是否卸载一个组件，在卸载一个组件之前，必须确认这个组件是网站程序不需要的，或者即使去掉也不关大体的。
（１）卸载最不安全的组件
将下面的代码保存为一个.BAT文件，( 以下均以 WIN2000 为例，如果使用2003，则系统文件夹应该是 C:\WINDOWS\ )

regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll

然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，就会发现这三个都提示“×安全”了。

（２）改名不安全组件
需要注意的是组件的名称和Clsid都要改，并且要改彻底。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_ajiang

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

当然，也可以把以下代码保存为一个.reg文件运行
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@="Shell.Application_ajiang.1"

（３）防止列出用户组和系统进程

【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

（４）防止Serv-U权限提升
用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限。
５、利用ASP漏洞攻击的常见方法及防范
一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。
作为管理员，首先要检查ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果服务器上还为朋友开了站点，那么很可能无法确定朋友会把他上传的论坛做好安全设置。但做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

（注：以上内容只是当时的一次授课内容，不足之处难免，因此仅供实际操作中参考，欢迎大家讨论。）

补充几点
1 IIS权限
IIS 针对各目录的运行权限默认为纯脚本,因此upload,image 等一系列包含图片的以及上传的文件夹其IIS 中的纯脚本都改作无,这样即使你的站点存在非法上传的漏洞被黑客传了ASP/PHP木马也因为无法被运行,木马失效.

2 数据库所在文件夹在IIS中需要做重定向.这样数据库无法被下载.重定向到别的网站,比如163.com

3 远程管理最好启用 加密传输,比如VNC/ radmin(3.0以上).不建议使用明码传输的工具(比如3389 以及各种FTP软件)以防被嗅探抓包分析.如果使用pcanywhere 用11.0以上的版本.
同时要注意pcanywhere 的加密属于低级加密.

4 除了系统的补丁,serv-U /PHP /MYSQL
等第三方软件的补丁也要打上.

5 不要在服务器上装没用的软件,比如office/BT/第三方的输入法等软件.

6 除了系统的密码,还要管理工具的密码,两道密码都不要纯数字密码等低强度密码,也不要相同的密码.

收到

收获良多

看完后真是学到了很多东西啊，感谢

好知识呀~~~~