Windows Server 2003系統安全設置指導

系統設置網上有一句話是「最小的許可權 最少的服務=最大的安全」。 此句基本上是個人都看過，但我好像沒有看到過一篇講的比較詳細稍具全面的文章，下面就以我個人經驗作一次教學嘗試！
&HTTP://www.aliyun.com/zixun/aggregation/37954.html">nbsp;
最小的許可權如何實現？

NTFS系統許可權設置 在使用之前將每個硬碟根加上 Administrators 使用者為全部許可權(可選加入SYSTEM使用者)

刪除其它使用者，進入系統磁片:許可權如下

C:\WINDOWS Administrators SYSTEM使用者全部許可權 Users 使用者預設許可權不作修改

其它目錄刪除Everyone使用者，切記C:\Documents and Settings下All Users\Default User目錄及其子目錄 。

如C:\Documents and Settings\All Users\Application Data 目錄預設配置保留了Everyone使用者許可權

C:\WINDOWS 目錄下面的許可權也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone許可權

刪除C:\WINDOWS\Web\printers目錄，此目錄的存在會造成IIS里加入一個printers的副檔名，可溢出攻擊 版權申明：本站文章均來自網路,本站所有轉載文章言論不代表本站觀點

預設IIS錯誤頁面已基本上沒多少人使用了。 建議刪除C:\WINDOWS\Help\iisHelp目錄 !

刪除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目錄為管理IIS密碼之用，如一些因密碼不同步造成500 。

錯誤的時候使用 OWA 或 Iisadmpwd 修改同步密碼，但在這裡可以刪掉，下面講到的設置將會杜絕因系統設置造成的密碼不同步問題。

打開C:\Windows 搜索
netexe;cmdexe;tftpexe;netstatexe;regeditexe;atexe;attribexe;caclsexe;formatcom;
regsvr32exe;xcopyexe;wscriptexe;cscriptexe;ftpexe;telnetexe;arpexe;edlinexe;
pingexe;routeexe;fingerexe;posixexe;rshexe;atsvcexe;qbasicexe;runonceexe;syskeyexe

修改許可權，刪除所有的使用者只保存Administrators 和SYSTEM為擁有權限

關閉445埠

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters 。
新建 「DWORD值」值名為 「SMBDeviceEnabled」 資料為預設值「0」 。

禁止建立空連接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 「DWORD值」值名為 「RestrictAnonymous」 資料值為「1」 [2003預設為1]

禁止系統自動啟動伺服器共用

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 「DWORD值」值名為 「AutoShareServer」 資料值為「0」

禁止系統自動啟動管理共用

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 「DWORD值」值名為 「AutoShareWks」 資料值為「0」

通過修改註冊表防止小規模DDOS攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 「DWORD值」值名為 「SynAttackProtect」 資料值為「1」

禁止dump file的產生

dump檔在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。 然而，它也能夠給駭客提供一些敏感資訊比如一些應用程式的密碼等。 控制台>系統屬性>高級>啟動和故障恢復把 寫入調試資訊改成無。

關閉華醫生DrWatson

在開始-運行中輸入「drwtsn32」，或者開始-程式-附件-系統工具-系統資訊-工具-Dr Watson，調出系統裡的華醫生DrWatson ，只保留「轉儲全部執行緒上下文」選項，否則一旦程式出錯，硬碟會讀很久， 並佔用大量空間。 如果以前有此情況，請查找userdmp檔，刪除後可節省幾十MB空間。