[經驗]Windows 2000 + IIS + SQL Server 200 安全設定

Windows 2000 Server 安全設定

安全設定應該在所有應用程式安裝完成並運行正常後與接入網路（區域網路和Internet）之前進行。

作業系統安全設定包括磁碟目錄和系統檔案的使用權限設定、系統啟動並執行服務設定、本地安全性原則配置等三項內容。

禁用下列服務：

Alerter 通知所選使用者和電腦有關係統管理級警報。
Application Management 提供軟體安裝服務，諸如指派，發行以及刪除。
Automatic Updates 從 Windows Update 啟用重要的 Windows 更新的下載和安裝。如果禁用該服務，作業系統可以在 Windows Update Web 網站手動更新。
Background Intelligent Transfer Service 用閑置網路頻寬在後台傳輸檔案。如果此服務被禁用，那麼任何依賴於 BITS 的功能，例如 Windows Update 或 MSN Explorer，都將不能自動下載程式和其它資訊。
ClipBook 支援“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面。
Distributed Link Tracking Server 儲存檔案在域中卷之間移動的資訊。
Fax Service 協助您發送和接收傳真
File Replication 在多個伺服器間維護檔案目錄內容的檔案同步。
Indexing Service
Internet Connection Sharing 為通過撥號網路串連的家用網路中所有電腦提供網路位址轉譯、定址以及名稱解析服務。
Intersite Messaging 允許在 Windows Advanced Server 網站間發送和接收訊息。
Kerberos Key Distribution Center 產生工作階段金鑰以及授予用於互動式客戶/伺服器驗證的服務憑據(ticket)。
Logical Disk Manager Administrative Service 磁碟管理請求的系統管理服務
Messenger 發送和接收系統管理員或者“警報器”服務傳遞的訊息。
Net Logon 支援網路上電腦 pass-through 帳戶登入身分識別驗證事件。
NetMeeting Remote Desktop Sharing 允許有許可權的使用者使用 NetMeeting 遠端存取 Windows 案頭。
Network DDE 提供動態資料交換 (DDE) 的網路傳輸和安全特性。
Network DDE DSDM 管理網路 DDE 的共用動態資料交換
Performance Logs and Alerts 配置效能記錄檔及警示。
Print Spooler 將檔案載入到記憶體中以便遲後列印。
QoS RSVP 為依賴品質服務(QoS)的程式和控制應用程式提供網路訊號和本地通訊控制安裝功能。
Remote Access Auto Connection Manager 無論什麼時候當某個程式引用一個遠程 DNS 或 NetBIOS 名稱或者地址就建立一個到遠程網路的串連。
Remote Procedure Call (RPC) Locator 管理 RPC 名稱服務資料庫。
Remote Registry Service 允許遠端登錄操作。
Routing and Remote Access 在區域網路以及廣域網路環境中為企業提供路由服務。
Smart Card 對插入在電腦智慧卡閱讀器中的智慧卡進行管理和存取控制。
Smart Card Helper 提供對串連到電腦上舊式智慧卡的支援。
Telnet 允許遠端使用者登入到系統並且使用命令列運行控制台程式。
Terminal Services 提供多會話環境允許用戶端裝置訪問虛擬 Windows 2000 Professional 案頭會話以及運行在伺服器上的基於 Windows 的程式。
Uninterruptible Power Supply 管理串連到電腦的不斷電供應系統(UPS)。
Utility Manager 從一個視窗中啟動和配置協助工具輔助
Windows Management Instrumentation Driver Extensions 與驅動程式間交換系統管理資訊。
Windows Time 設定電腦時鐘。
Wireless Configuration 使用 IEEE 802.1x 為有線和無線 Ethernet絡提供身分識別驗證的網路存取控制。

撥號連線需要啟動的服務：

Remote Access Connection Manager 建立網路連接。
Telephony 提供 TAPI 的支援，以便程式控制本機電腦，伺服器以及 LAN 上的電話裝置和基於 IP 的語音連線。

本地完全策略

賬戶策略之密碼原則：

密碼必須符合複雜性要求 已啟用
密碼長度最小值 6個字元
密碼最長存留期 42天
密碼最短存留期 0天
強制密碼曆史 0個記住的密碼
為域中所有使用者使用可還原的加密來儲存密碼 已啟用

賬戶策略之賬戶鎖定策略：

複位賬戶鎖定計數器 30分鐘之後
賬戶鎖定時間 30分鐘
賬戶鎖定閾值 3次無效登入

本地策略之稽核原則

稽核原則更改 無審核
審核登入事件 成功，失敗
審核對象訪問 無審核
審核過程追蹤 無審核
審核目錄服務訪問 無審核
審核特權使用 無審核
審核系統事件 無審核
審核賬戶登入事件 成功，失敗
審核賬戶管理 成功，失敗

本地策略之安全選項

登入螢幕上不要顯示上次登入的使用者名稱 已啟用
對匿名串連的額外限制 不允許枚舉SAM帳號和共用

目錄和檔案的使用權限設定

Documents and Settings、Program Files 檔案夾許可權中刪除Everyone
cmd.exe ftp.exe net.exe net.exe telnet.exe 檔許可權中刪除Everyone

取消預設的目錄共用和管理共用

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmans erver\parameters
添加鍵：AutoShareServer 類型REG_DWORD 值0x0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmans erver\parameters
添加鍵：AutoShareWks 類型REG_DWORD 值0x0

賬戶設定

禁用Guest帳號，設定一個複雜的密碼，將Guest從Guests使用者組中刪除。

修改預設的Administrator賬戶名稱、全名、描述等，設定強密碼。

IIS 安全設定

更改預設Web網站的主目錄，刪除不必要的檔案對應，刪除Inetpub目錄。刪除系統預設建立的虛擬網站、目錄和檔案。

SQL SERVER 2000 安全配置

為SA設定強密碼

伺服器網路工具 + 生產力 -> TCP/IP -> 屬性：修改預設連接埠的值並選擇隱藏伺服器。

刪除存在隱患的系統預存程序：

use master

sp_dropextendedproc 'xp_cmdshell'

不推薦的操作：刪除註冊表訪問的預存程序

sp_dropextendedproc 'Xp_regaddmultistring'
sp_dropextendedproc 'Xp_regdeletekey'
sp_dropextendedproc 'Xp_regdeletevalue'
sp_dropextendedproc 'Xp_regenumvalues'
sp_dropextendedproc 'Xp_regread'
sp_dropextendedproc 'Xp_regremovemultistring'
sp_dropextendedproc 'Xp_regwrite'