Windows 2003伺服器安全配置

網上流傳的很多關於windows server HTTP://www.aliyun.com/zixun/aggregation/19058.html">2003系統的安全配置，但是仔細分析下發現很多都不全面， 並且很多仍然配置的不夠合理，並且有很大的安全隱患，今天我決定仔細做下極端BT的2003伺服器的安全配置，讓更多的網管朋友高枕無憂。

我們配置的伺服器需要提供支援的元件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389終端服務、遠端桌面Web連接管理服務等），這裡前提是已經安裝好了系統，IIS ，包括FTP伺服器，郵件伺服器等，這些具體配置方法的就不再重複了，現在我們著重主要闡述下關于安全方面的配置。

關於常規的如安全的安裝系統，設置和管理帳戶，關閉多餘的服務，稽核原則，修改終端管理埠， 以及配置MS-SQL，刪除危險的預存程序，用最低許可權的public帳戶連接等等，都不說了

先說關於系統的NTFS磁片許可權設置，大家可能看得都多了，但是2003伺服器有些細節地方需要注意的，我看很多文章都沒寫完全。

C盤只給administrators 和system許可權，其他的許可權不給，其他的盤也可以這樣設置，這裡給的system許可權也不一定需要給，只是由於某些協力廠商應用程式是以服務形式啟動的，需要加上這個使用者，否則造成啟動不了。

Windows目錄要加上給users的預設許可權，否則ASP和ASPX等應用程式就無法運行。 以前有朋友單獨設置Instsrv和temp等目錄許可權，其實沒有這個必要的。

另外在c:/Documents and Settings/這裡相當重要，後面的目錄裡的許可權根本不會繼承從前的設置，如果僅僅只是設置了C盤給administrators許可權，而在All Users/Application Data目錄下會 出現everyone使用者有完全控制許可權，這樣入侵這可以跳轉到這個目錄，寫入腳本或只檔，再結合其他漏洞來提升許可權；譬如利用serv-u的本地溢出提升許可權，或系統遺漏有補丁，資料庫的弱點， 甚至社交工程學等等N多方法，從前不是有牛人發颮說：「只要給我一個webshell，我就能拿到system」，這也的確是有可能的。 在用做web/ftp伺服器的系統裡，建議是將這些目錄都設置的鎖死。 其他每個盤的目錄都按照這樣設置，沒個盤都只給adinistrators許可權。

另外，還將：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，這些檔都設置只允許administrators訪問。