原文:我在電信局做網(wǎng)管，原來管理過三十多臺服務(wù)器，從多年積累的經(jīng)驗，寫出以下詳細(xì)的Windows2003服務(wù)系統(tǒng)的安全方案,我應(yīng)用以下方案，安全運行了二年，無黑客有成功入侵的記錄，也有黑客入侵成功的在案，但最終還是沒有拿到肉雞的最高管理員身份,只是可以瀏覽跳轉(zhuǎn)到服務(wù)器上所有客戶的網(wǎng)站。

服務(wù)器安全設(shè)置

>> IIS6.0的安裝
　　 開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
　　 應(yīng)用程序 ———asp.net（可選）
　　　　　　　 |——啟用網(wǎng)絡(luò) COM+ 訪問（必選）
　　　　　　　 |——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器（必選）　
　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必選）
　　　　　　　　　　　　　　　　　　　　　 |——萬維網(wǎng)服務(wù)———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　 |——Internet 數(shù)據(jù)連接器（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發(fā)布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——萬維網(wǎng)服務(wù)（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服務(wù)器端的包含文件（可選）

>> 在”網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/ip）和Microsoft網(wǎng)絡(luò)客戶端。在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS（S）"。

>>在“本地連接”打開Windows 2003 自帶的防火墻，可以屏蔽端口，基本達(dá)到一個IPSec的功能,只保留有用的端口,比如遠(yuǎn)程(3389)和 Web(80),Ftp(21),郵件服務(wù)器(25,110),https(443),SQL(1433)

>> IIS (Internet信息服務(wù)器管理器) 在"主目錄"選項設(shè)置以下
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關(guān)閉
記錄訪問 建議關(guān)閉
索引資源 建議關(guān)閉
執(zhí)行權(quán)限 推薦選擇 “純腳本”

>> 建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。
(最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設(shè)置日志的訪問權(quán)限，只允許管理員和system為Full Control)。

>> 在IIS6.0 -本地計算機(jī) - 屬性- 允許直接編輯配置數(shù)據(jù)庫在IIS中 屬性->主目錄->配置->選項中。

>> 在網(wǎng)站把”啟用父路徑“前面打上勾

>> 在IIS中的Web服務(wù)擴(kuò)展中選中Active Server Pages，點擊“允許”

>> 優(yōu)化IIS6應(yīng)用程序池
　　 1、取消“在空閑此段時間后關(guān)閉工作進(jìn)程（分鐘）”
　　 2、勾選“回收工作進(jìn)程（請求數(shù)目）”
　　 3、取消“快速失敗保護(hù)”

>> 解決SERVER 2003不能上傳大附件的問題
　　 在“服務(wù)”里關(guān)閉 iis admin service 服務(wù)。
　　 找到 windows/system32/inetsrv/ 下的 metabase.xml 文件。
　　 找到 ASPMaxRequestEntityAllowed 把它修改為需要的值（可修改為20M即：20480000）
　　 存盤，然后重啟 iis admin service 服務(wù)。

>> 解決SERVER 2003無法下載超過4M的附件問題
　　 在“服務(wù)”里關(guān)閉 iis admin service 服務(wù)。
　　 找到 windows/system32/inetsrv/ 下的 metabase.xml 文件。
　　 找到 AspBufferingLimit 把它修改為需要的值（可修改為20M即：20480000）
　　 存盤，然后重啟 iis admin service 服務(wù)。

>> 超時問題
　　 解決大附件上傳容易超時失敗的問題
　　 在IIS中調(diào)大一些腳本超時時間，操作方法是： 在IIS的“站點或虛擬目錄”的“主目錄”下點擊“配置”按鈕，
　　 設(shè)置腳本超時時間為：300秒 (注意：不是session超時時間)

　　解決通過WebMail寫信時間較長后，按下發(fā)信按鈕就會回到系統(tǒng)登錄界面的問題
　　 適當(dāng)增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊“配置-->選項”，
　　 就可以進(jìn)行設(shè)置了(Windows 2003默認(rèn)為20分鐘)

>> 修改3389遠(yuǎn)程連接端口
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp]
"PortNumber"=dWord:0000端口號
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]
"PortNumber"=dword:0000端口號
設(shè)置這兩個注冊表的權(quán)限, 添加“IUSR”的完全拒絕 禁止顯示端口號

>> 本地策略--->用戶權(quán)限分配
　　 關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。
　　 通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

>> 在安全設(shè)置里 本地策略-用戶權(quán)利分配，通過終端服務(wù)拒絕登陸 加入
ASPNET
IUSR_
IWAM_
NETWORK SERVICE
(注意不要添加進(jìn)user組和administrators組 添加進(jìn)去以后就沒有辦法遠(yuǎn)程登陸了)

>> 在安全設(shè)置里 本地策略-安全選項
網(wǎng)絡(luò)訪問:可匿名訪問的共享;
網(wǎng)絡(luò)訪問:可匿名訪問的命名管道;
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑;
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑;
將以上四項全部刪除

>> 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用"
>> 不允許 SAM 賬戶和共享的匿名枚舉 更改為"已啟用" ;
>> 網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或 .NET Passports 更改為"已啟用" ;
>> 網(wǎng)絡(luò)訪問.限制匿名訪問命名管道和共享,更改為"已啟用" ;
將以上四項通通設(shè)為“已啟用”

>> 計算機(jī)管理的本地用戶和組
禁用終端服務(wù)(TsInternetUser), SQL服務(wù)(SQLDebugger), SUPPORT_388945a0

>> 禁用不必要的服務(wù)
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO
sc config Dnscache start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= AUTO
sc config helpsvc start= DISABLED
sc config HidServ start= AUTO
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiService start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanworkstation start= DISABLED
sc config LicenseService start= DISABLED
sc config LmHosts start= DISABLED
sc config Messenger start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= AUTO
sc config MSIServer start= DEMAND
sc config MSSEARCH start= AUTO
sc config MSSQLSERVER start= AUTO
sc config MSSQLServerADHelper start= DEMAND
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DEMAND
sc config Netman start= DEMAND
sc config Nla start= DEMAND
sc config NtFrs start= DEMAND
sc config NtLmSsp start= DEMAND
sc config NtmsSvc start= DEMAND
sc config PlugPlay start= AUTO
sc config PolicyAgent start= AUTO
sc config PRotectedStorage start= AUTO
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DEMAND
sc config Remoteaccess start= DISABLED
sc config RemoteRegistry start= DISABLED
sc config RpcLocator start= DEMAND
sc config RpCSS start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DEMAND
sc config SamSs start= AUTO
sc config SCardSvr start= DEMAND
sc config Schedule start= AUTO
sc config seclogon start= AUTO
sc config SENS start= AUTO
sc config SharedAccess start= DISABLED
sc config ShellHWDetection start= AUTO
sc config SMTPSVC start= AUTO
sc config Spooler start= DISABLED
sc config SQLSERVERAGENT start= AUTO
sc config stisvc start= DISABLED
sc config swprv start= DEMAND
sc config SysmonLog start= AUTO
sc config TapiSrv start= DEMAND
sc config TermService start= AUTO
sc config Themes start= DISABLED
sc config TlntSvr start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWks start= AUTO
sc config Tssdis start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DEMAND
sc config vds start= DEMAND
sc config VSS start= DEMAND
sc config W32Time start= AUTO
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DEMAND
sc config Wmi start= DEMAND
sc config WmiApSrv start= DEMAND
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND

>> 刪除默認(rèn)共享

@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::
:: 先列舉存在的分區(qū)，然后再逐個刪除以分區(qū)名命名的共享；
:: 通過修改注冊表防止admin$共享在下次開機(jī)時重新加載；
:: IPC$共享需要administritor權(quán)限才能成功刪除
::
::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

title 默認(rèn)共享刪除器
color 1f
echo.
echo ------------------------------------------------------
echo.
echo 開始刪除每個分區(qū)下的默認(rèn)共享.
echo.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
if exist %%a:/nul (
net share %%a$ /delete>nul 2>nul && echo 成功刪除名為 %%a$ 的默認(rèn)共享 || echo 名為 %%a$ 的默認(rèn)共享不存在
)
)
net share admin$ /delete>nul 2>nul && echo 成功刪除名為 admin$ 的默認(rèn)共享 || echo 名為 admin$ 的默認(rèn)共享不存在
echo.
echo ------------------------------------------------------
echo.
net stop Server /y>nul 2>nul && echo Server服務(wù)已停止.
net start Server>nul 2>nul && echo Server服務(wù)已啟動.
echo.
echo ------------------------------------------------------
echo.
echo 修改注冊表以更改系統(tǒng)默認(rèn)設(shè)置.
echo.
echo 正在創(chuàng)建注冊表文件.
echo Windows Registry Editor Version 5.00> c:/delshare.reg
:: 通過注冊表禁止Admin$共享，以防重啟后再次加載
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]>> c:/delshare.reg
echo "AutoShareWks"=dword:00000000>> c:/delshare.reg
echo "AutoShareServer"=dword:00000000>> c:/delshare.reg
:: 刪除IPC$共享，本功能需要administritor權(quán)限才能成功刪除
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa]>> c:/delshare.reg
echo "restrictanonymous"=dword:00000001>> c:/delshare.reg
echo 正在導(dǎo)入注冊表文件以更改系統(tǒng)默認(rèn)設(shè)置.
regedit /s c:/delshare.reg
del c:/delshare.reg && echo 臨時文件已經(jīng)刪除.
echo.
echo ------------------------------------------------------
echo.
echo 程序已經(jīng)成功刪除所有的默認(rèn)共享.
echo.
echo 按任意鍵退出...
pause>nul

>> 打開C:/Windows目錄 搜索以下DOS命令文件
NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE
把以上命令文件通通只給Administrators 和SYSTEM為完全控制權(quán)限

>> 卸載刪除具有CMD命令功能的危險組件
WSHOM.OCX對應(yīng)于WScript.Shell組件  

HKEY_CLASSES_ROOT/WScript.Shell/
及
HKEY_CLASSES_ROOT/WScript.Shell.1/
添加IUSR用戶完全拒絕權(quán)限

Shell32.dll對應(yīng)于Shell.application組件

HKEY_CLASSES_ROOT/Shell.Application/
及
HKEY_CLASSES_ROOT/Shell.Application.1/
添加IUSR用戶完全拒絕權(quán)限

regsvr32/u C:/Windows/System32/wshom.ocx
regsvr32/u C:/Windows/System32/shell32.dll

WSHOM.OCXx和Shell32.dl這兩個文件只給Administrator完全權(quán)限

>>> SQL權(quán)限設(shè)置
1、一個數(shù)據(jù)庫,一個帳號和密碼,比如建立了一個數(shù)據(jù)庫，只給PUBLIC和DB_OWNER權(quán)限，SA帳號基本是不使用的，因為SA實在是太危險了.

2、更改 sa 密碼為你都不知道的超長密碼,在任何情況下都不要用 sa 這個帳戶.

3、Web登錄時經(jīng)常出現(xiàn)"[超時，請重試]"的問題
　 如果安裝了 SQL Server 時，一定要啟用“服務(wù)器網(wǎng)絡(luò)實用工具”中的“多協(xié)議”項。

4、將有安全問題的SQL擴(kuò)展存儲過程刪除. 將以下代碼全部復(fù)制到"SQL查詢分析器"

use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

恢復(fù)的命令是
EXEC sp_addextendedproc 存儲過程的名稱,@dllname ='存儲過程的dll'
例如：恢復(fù)存儲過程xp_cmdshell
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'
注意，恢復(fù)時如果xplog70.dll已刪除需要copy一個。

>> WEB目錄權(quán)限設(shè)置
Everyone:顧名思義，所有的用戶，這個計算機(jī)上的所有用戶都屬于這個組。
最好在C盤以外(如D,E,F.....)的根目錄建立到三級目錄,一級目錄只給Administrator權(quán)限，二級目錄給Administrator完全控制權(quán)限和Everyone除了完全控制，更改，取得，其它全部打勾的權(quán)限和IUSR只有該文件夾的完全拒絕權(quán)限，三級目錄是每個客戶的虛擬主機(jī)網(wǎng)站，給Administrator完全控制權(quán)限和Everyone除了完全控制，更改，取得，其它全部打勾的權(quán)限即可.

C盤的目錄權(quán)限以表格的方式來說明,簡單明了。