Windows Server 2003安全七则

qingkuangs

作者：独孤凉风
一、“封杀”安全提示页面
Windows Server 2003操作系统相对其他系统来说，比较突出的一个地方，就是安全性能方面得到了进一步加强。这不，每次使用该系统默认的IE浏览器来进行“网上冲浪”时，系统总是“不厌其烦”地弹出一个安全提示框，来对你浏览的每个网页进行“阻截”提示，并要你配置确认当前网页到底是否安全等。要是你对该功能感到厌烦的话，可以按照下面的方法，将安全提示页面“封杀”掉，具体步骤为：

1.一旦系统打开安全提示页面时，你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中；

2.在浏览界面中，用鼠标单击“工具”菜单项，从打开的下拉菜单中执行“Internet选项”命令；

3.在弹出的选项设置界面中，你可以将系统默认状态下的最高安全级别设置为中等级别；

4.设置时，只要在“安全”标签页面中，拖动其中的安全滑块到“中”位置处就可以了；

5.完成设置后，单击“确定”按钮，就可以将浏览器的安全自动提示页面“封杀”了。

二、添加站点到“信任区域”

Windows Server 2003操作系统使用了一个安全插件，为用户提供了增强的安全服务功能，利用该功能你可以自定义网站访问的安全性。在缺省状态下，Windows Server 2003操作系统会自动启用增强的安全服务功能，并将所有被访问的Internet站点的安全级别设置为“高”。对于频繁访问的网站，你可以将其添加到受信任的站点区域中，日后再次访问它时，系统就不会弹出安全提示框了。

添加站点到“信任区域”的具体做法为：

1.在浏览器的地址框中，输入需要访问的站点地址，单击回车键，就会自动打开一个安全提示警告窗口；

2.要是不想浏览该站点时，直接可以单击“关闭”按钮；要是想浏览的话，可以单击“添加”按钮；

3.在随后打开的“可信任站点”设置窗口中，你会发现当前被访问的站点地址已经出现在信任区域文本框中；

4.继续单击“添加”按钮，就能将该站点添加到网站受信任区域中了；下次重新访问该站点时，浏览器就会跳过安全检查，直接打开该站点的网页页面了。

三、重新支持ASP脚本

为了将系统安全隐患降到最低限度，Windows Server 2003操作系统在默认状态下，是不支持ASP脚本运行的；不过现在许多网页的服务功能多是通过ASP脚本来实现的，为此，我们很有必要在安全有保障的前提下，让系统重新支持ASP脚本。具体实现的方法为：

1.在系统的开始菜单中，依次单击“管理工具”/“Internet信息服务管理器”命令；

2.在随后出现的Internet信息服务属性设置窗口中，用鼠标选中左侧区域中的“Web服务器扩展”选项；

3.接着在对应该选项右侧的区域中，用鼠标双击“Actives server pages”选项，然后将“任务栏”设置项处的“允许”按钮单击一下，系统中的II6就可以重新支持ASP脚本了。

四、删除默认共享

删除Windows Server 2003默认共享

首先编写如下内容的批处理文件：

@echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del

以上批处理内容大家可以根据自己需要修改。保存为delshare.bat，存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。然后在开始菜单→运行中输入gpedit.msc，回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录，在出现的“登录 属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat（如图1），然后单击“确定”按钮即可。这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。

禁用IPC连接




http://tech.ccidnet.com/pub/attachment/2003/12/266360.gif

图1

IPC是Internet Process Connection的缩写，也就是远程网络连接。它是Windows NT/2000/XP/2003特有的功能，其实就是在两个计算机进程之间建立通信连接，一些网络通信程序的通信建立在IPC上面。举个例子来说，IPC就象是事先铺好的路，我们可以用程序通过这条“路”访问远程主机。默认情况下，IPC是共享的，也就是说微软已经为我们铺好了路，因此，这种基于IPC的入侵也常常被简称为IPC入侵。建立IPC连接不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接：net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。

五、设置远程可访问的注册表路径

设置远程可访问的注册表路径为空，这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器，然后选择“计算机配置”→“Windows设置”→“安全选项”→“网络访问：可远程访问的注册表路径”及“网络访问：可远程访问的注册表”，将设置远程可访问的注册表路径和子路径内容设置为空即可。

六、关闭不必要的端口

大家都知道，139端口是Netbios使用的端口，在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。在Windows Server 2003中，只这样做是不行的。如果想彻底关闭139端口，方法如下：


http://tech.ccidnet.com/pub/attachment/2003/12/266358.gif

图2

鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接 属性”页，然后去掉“Microsoft网络的文件和打印共享”前面的“√”（如图2），接下来选中“Internet协议(TCP/IP)”，单击“属性”→“高级”→“WINS”，把“禁用TCP/IP上的NetBIOS”选中（如图2），即大功告成！这样做还可有效防止SMBCrack之类工具破解和利用网页得到我们的NT散列。


http://tech.ccidnet.com/pub/attachment/2003/12/266359.gif

图3

如果你的机子还装了IIS，你最好设置一下端口过滤。方法如下：选择网卡属性，然后双击“Internet协议(TCP/IP)”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP 筛选”项，点“属性”按钮，会来到“TCP/IP 筛选”的窗口，在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”（如图3），然后根据需要配置就可以了。比方说如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可。如果有其他需要可如法炮制。

七、根据需要对系统服务进行控制

服务是一种在系统后台运行的应用程序类型，它与UNIX后台程序类似。服务提供了核心操作系统功能，如Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误报告。通过服务管理单元，可管理本地或远程计算机上的服务。所以并不是所有默认服务都是我们需要的。我们不需要的可以停用、禁用，来释放系统资源。如果你想更加了解系统的服务，可以到“我的电脑”→“控制面板”→“服务”中查看，每个服务都有完整的描述，或使用Windows 2003的帮助与支持，查阅相关资料。

最后提醒大家，经常到各大网络安全站点看其最新公告，并及时为系统打上补丁，这样你的系统会安全许多。