Windows 2003 Server安全配置完整篇（3）

四、磁碟使用權限設定

C盤只給administrators和system許可權，其他的許可權不給，其他的盤也可以這樣設定，這裡給的system許可權也不一定需要給，只是由於某些第三方應用程式是以服務形式啟動的，需要加上這個使用者，否則造成啟動不了。

Windows目錄要加上給users的預設許可權，否則ASP和ASPX等應用程式就無法運行。以前有朋友單獨設定Instsrv和temp等目錄許可權，其實沒有這個必要的。

另外在c:/Documents and Settings/這裡相當重要，後面的目錄裡的許可權根本不會繼承從前的設定，如果僅僅只是設定了C盤給administrators許可權，而在All Users/Application Data目錄下會 出現everyone使用者有完全控制許可權，這樣入侵這可以跳轉到這個目錄，寫入指令碼或只檔案，再結合其他漏洞來提升許可權；譬如利用serv-u的本地溢出提升許可權，或系統遺漏有補丁，資料庫的弱點，甚至社交工程學等等N多方法，從前不是有牛人發颮說："只要給我一個webshell，我就能拿到system"，這也的確是有可能的。在用做web/ftp伺服器的系統裡，建議是將這些目錄都設定的鎖死。其他每個盤的目錄都按照這樣設定，每個盤都只給adinistrators許可權。

另外，還將：

net.exe NET命令

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe  ACL使用者組使用權限設定，此命令可以在NTFS下設定任何檔案夾的任何許可權！

format.exe

大家都知道ASP木馬吧，有個CMD運行這個的，這些如果都可以在CMD下運行..55，，估計別的沒啥，format下估計就哭料~~~（：這些檔案都設定只允許administrator訪問。

五、防火牆、殺毒軟體的安裝

關於這個東西的安裝其實我也說不來，反正安裝什麼的都有，建議使用卡巴，賣咖啡。用系統內建的防火牆，這個我不專業，不說了！大家湊合！

六、SQL2000 SERV-U FTP安全設定

SQL安全方面

1、System Administrators 角色最好不要超過兩個

2、如果是在本機最好將身分識別驗證配置為Win登陸

3、不要使用Sa賬戶，為其配置一個超級複雜的密碼

4、刪除以下的擴充預存程序格式為：

use master

sp_dropextendedproc '擴充預存程序名'

xp_cmdshell：是進入作業系統的最佳捷徑，刪除

訪問註冊表的預存程序，刪除

Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自動預存程序，不需要，刪除

Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty

Sp_OAMethodSp_OASetPropertySp_OAStop

5、隱藏 SQL Server、更改預設的1433連接埠。

右擊執行個體選屬性-常規-網路設定中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 執行個體，並改原預設的1433連接埠。

serv-u的幾點常規安全需要設定下：

選中"Block "FTP_bounce"attack and FXP"。什麼是FXP呢？通常，當使用FTP協議進行檔案傳輸時，用戶端首先向FTP伺服器發出一個"PORT"命令，該命令中包含此使用者的IP地址和將被用來進行資料轉送的連接埠號碼，伺服器收到後，利用命令所提供的使用者地址資訊建立與使用者的串連。大多數情況下，上述過程不會出現任何問題，但當用戶端是一名惡意使用者時，可能會通過在PORT命令中加入特定的地址資訊，使FTP伺服器與其它非用戶端的機器建立串連。雖然這名惡意使用者可能本身無權直接存取某一特定機器，但是如果FTP伺服器有權訪問該機器的話，那麼惡意使用者就可以通過FTP伺服器作為中介，仍然能夠最終實現與目標伺服器的串連。這就是FXP，也稱跨伺服器攻擊。選中後就可以防止發生此種情況。

七、IIS安全設定

IIS的安全：

1、不使用預設的Web網站，如果使用也要將IIS目錄與系統磁碟分開。

2、刪除IIS預設建立的Inetpub目錄（在安裝系統的盤上）。

3、刪除系統硬碟下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、刪除不必要的IIS副檔名映射。

按右鍵“預設Web網站→屬性→主目錄→配置”，開啟應用程式視窗，去掉不必要的應用程式對應。主要為.shtml、.shtm、 .stm。

5、更改IIS日誌的路徑

按右鍵“預設Web網站→屬性-網站-在啟用日誌記錄下點擊屬性

6、如果使用的是2000可以使用iislockdown來保護IIS，在2003啟動並執行IE6.0的版本不需要。

八、其它

1、系統升級、打作業系統補丁，尤其是IIS 6.0補丁、SQL SP3a補丁，甚至IE 6.0補丁也要打。同時及時跟蹤最新漏洞補丁；

2、停掉Guest 帳號、並給guest 加一個異常複雜的密碼，把Administrator改名或偽裝！