Windows Server 2003 系統配置方案

初識Windows的權限
首先，要完全使用windows權限的所有功能，請確保在應用權限的分區為NTFS文件系統。本文將以windowsXP簡體中文專業版+SP2作為范例講解。
1．什么是權限?
舉個形象的例子，windows就像一個實驗室，其中有導師A、導師B；學生A、學生B．大家都能在實驗室里面完成實驗。但在這里又是分等級的．兩位導師可以指定學生能使用什么樣的實驗工具，不能碰什么工具，從而使得實驗室不會因為學生亂用實驗工具．而出現問題。同時．兩位導師又能互相限制對方對實驗工具的使用。因此．windows中的權限就是對某個用戶或同等級的用戶進行權力分配和限制的方法。正是有了它的出現，windows中的用戶要遵循這種"不平等"的制度，而正是這個制度，才使得windows可以更好地為多個用戶的使用創造了良好，穩定的運行環境。
2．權限都包含有什么?
在以NT內核為基礎的Windows 2000/XP中，權限主要分為七大類完全控制、修改，讀取和運行、列出文件夾目錄、讀取、寫入、特別的權限(見圖1)。

其中完全控制包含了其他六大權限．只要擁有它，就等同于擁有了另外六大權限，其余復選框會被自動選中．屬于"最高等級"的權限。
而其他權限的等級高低分別是：特別的權限>讀取和運行>修改>寫入>讀取。
默認情況下，Windows XP將啟用"簡單文件共享"，這意味著安全性選項卡和針對權限的高級選項都不可用．也就不能進行本文所述的那些權限應用操作了。請現在就右擊任意文件或文件夾．選擇"屬性"，如果沒有看到"安全"選項卡，你可以通過如下方法打開它。
打開"我的電腦"，點擊"工具→文件夾選項→查看"，接著在然后單擊取消"使用簡單文件共享(推薦)"復選框即可。
實戰權限"正面"應用
以下應用的前提，是被限制的用戶不在Administrators組，否則將可能發生越權訪問，后面"反面應用"會講到。執行權限設置的用戶至少需要為Power Users組的成員，才有足夠權限進行設置。
    實例1：我的文檔你別看－保護你的文件或文件夾
    假設A電腦中有三個用戶，用戶名分別為User1、User2、User3。Userl不想讓User2和User3查看和操作自己的"test"文件夾。
    第一步：右擊"test"文件夾并選擇"屬性"，進入"安全"選項卡，你將會看到"組或用戶名稱"欄里有Administrators(A\Administrators)、CREATOR OWNER、SYSTEM Users(A\Users)、User1(A\ User1)。他們分別表示名為A電腦的管理員組，創建、所有者組，系統組，用戶組以及用戶User1對此文件夾的權限設置。當然，不同的電腦設置和軟件安裝情況，此欄里的用戶或用戶組信息不一定就是和我描述的一樣．但正常情況下最少將包含3項之一：Administrators、SYSTEM、Users或Everyone(見圖2)。

    第二步：依次選中并刪除Administrators、CREATOR OWNER、SYSTEM、Users，僅保留自己使用的Userl賬戶。在操作中可能會遇到如圖3的提示框。

其實只要單擊"高級"按鈕，在"權限"選項卡中，取消"從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目"的復選框，在彈出對話框中單擊"刪除"即可。該操作使此文件夾清除了從上一級目錄繼承來的權限設置，儀保留了你使用的User1賬戶。
    就這么輕松，你就實現了其他用戶，甚至系統權限都無法訪問"test"文件夾的目的。
★需要注意的是，如果這個文件夾中需要安裝軟件，那么就不要刪除"SYSTEM"，不然可能引起系統訪問出錯
★Administrator并不是最高指揮官：你可能會問，為什么這里會有一個"SYSTEM"賬戶呢?同時許多朋友認為windows2000/XP中的Administrator是擁有權限最高的用戶，其實不然，這個"SYSTEM"才具有系統最高權限，因為它是"作為操作系統的一部分工作"，任何用戶通過某種方法獲取了此權限，就能凌駕一切。

--------------------------------------------------------------------------------
    實例2：上班時間別聊天－禁止用戶使用某程序
    第一步：找到聊天程序的主程序，如QQ，其主程序就是安裝目錄下的QQ.exe，打開它的屬性對話框，進入"安全"選項卡，選中或添加你要限制的用戶，如User3。
    第二步：接著選擇"完全控制"為"拒絕"，"讀取和運行"也為"拒絕"。
    第三步：單擊"高級"按鈕進入高級權限沒置，選中User3，點"編輯"按鈕，進入權限項目。在這里的"拒絕"欄中選中"更改權限"和"取得所有權"的復選框。
    也可以使用組策略編輯器來實現此功能，但安全性沒有上面方法高。點擊"開始→運行"，輸入"gpedit.msc"，回車后打開組策略編輯器，進入"計算機設置→windows設置→安全設置→軟件限制策略→其他規則"，右擊，選擇"所有任務→新路徑規則"，接著根據提示設置想要限制的軟件的主程序路徑，然后設定想要的安全級別，是"不允許的"還是"受限制的"。

--------------------------------------------------------------------------------
    實例3：來者是客-－微軟內部增強系統安全的秘技
    本實戰內容將需要管理員權限。所謂入侵，無非就是利用某種方法獲取到管理員級別的權限或系統級的權限，以便進行下一步操作，如添加自己的用戶。如果想要使入侵者"進來"之后不能進行任何操作呢?永遠只能是客人權限或比這個權限更低，就算本地登錄，連關機都不可以。那么，他將不能實施任何破壞活動。
    注意：此法有較高的危險性．建議完全不知道以下程序用途的讀者不要嘗試．以免誤操作引起系統不能進入或出現很多錯誤。
    第一步：確定要設置的程序
    搜索系統目錄下的危險程序，它們可以用來創建用戶奪取及提升低權限用戶的權限，格式化硬盤，引起電腦崩潰等惡意操作：cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
    第二步：按系統調用的可能性分組設置
    按照下面分組．設置這些程序權限。完成一組后，建議重啟電腦確認系統運行是否一切正常，查看"事件查看器"，是否有錯誤信息("控制面板→管理工具→事件查看器")。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
    (僅保留你自己的用戶，SYSTEM也刪除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
    (僅保留你自己的用戶，SYSTEM也刪除)
(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
    (保留你自己的用戶和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
    (保留你自己的用戶和SYSTEM)
    第三步：用戶名欺騙
    這個方法騙不了經驗豐富的入侵者，但卻可以讓不夠高明的偽黑客們弄個一頭霧水。
    打開"控制面板一管理工具一計算機管理"，找到"用戶"，將默認的Administrator和Guest的名稱互換，包括描述信息也換掉。完成后，雙擊假的"Administrator"用戶，也就是以前的Guest用戶．在其"屬性"窗口中把隸屬于列表里的Guests組刪除．這樣．這個假的"管理員"賬號就成了"無黨派人士"，不屬于任何組，也就不會繼承其權限。此用戶的權限幾乎等于0，連關機都不可以，對電腦的操作幾乎都會被拒絕。如果有誰處心積慮地獲取了這個用戶的權限，那么他肯定吐血。
    第四步：集權控制，提高安全性
    打開了組策略編輯器，找到"計算機設置→windows設置→安全設置→本地策略→用戶權利指派"(見圖4)，接著根據下面的提示進行設置。

  (1)減少可訪問此計算機的用戶數，減少被攻擊機會
    找到并雙擊"從網絡訪問此計算機"，刪除賬戶列表中用戶組，只剩下"Administrators"；
找到并雙擊"拒絕本地登錄"，刪除列表中的"Guest"用戶，添加用戶組"Guests"。
  (2)確定不想要從網絡訪問的用戶，加入到此"黑名單"內
  找到并雙擊"拒絕從剛絡訪問這臺計算機"，刪除賬戶列表中的"Guest"用戶，添加用戶組"Guests"；
  找到并雙擊"取得文件或其他對象的所有權"，添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶，再刪除列表中"Administrators"。
  (3)防止跨文件夾操作
  找到并雙擊"跳過遍歷檢查"，添加你所使用的賬戶和以上修改過名稱為"Guest"的管理員賬戶，再刪除賬戶列表中的"Administrators"、"Everyone"和"Users"用戶組。
  (4)防止通過終端服務進行的密碼猜解嘗試
  找到并雙擊"通過終端服務拒絕登錄"，添加假的管理員賬戶"Administrator"；找到"通過終端服務允許登錄"，雙擊，添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶，再刪除賬戶列表中的"Administrators"，"Remote Desktop User"和"HelpAssistant"(如果你不用遠程協助功能的話才可刪除此用戶)。
  (5)避免拒絕服務攻擊
  找到并雙擊"調整進程的內存配額"，添加你常用的賬戶，再刪除賬戶列表中的"Administrators"

--------------------------------------------------------------------------------
    實例4："你的文檔"別獨享——突破文件夾"私有"的限制
    windows XP安裝完成并進入系統時，會詢問是否將"我的文檔"設為私有(專用)，如果選擇了"是"，那將使該用戶下的"我的文檔"文件夾不能被其他用戶訪問，刪除，修改。其實這就是利用權限設置將此文件夾的訪問控制列表中的用戶和用戶組刪除到了只剩下系統和你的用戶，所有者也設置成了那個用戶所有，Administrators組的用戶也不能直接訪問。如果你把這個文件夾曾經設置為專用，但又在該盤重裝了系統，此文件夾不能被刪除或修改?？砂凑障旅娌襟E解決這些問題，讓你對這個文件夾的訪問，暢通無阻。
    第一步：登錄管理員權限的賬戶，如系統默認的Administrator，找到被設為專用的"我的文檔"，進入其"屬性"的"安全"選項卡，你將會看到你的用戶不在里面，但也無法添加和刪除。
    第二步：單擊"高級"按鈕，進入高級權限設置，選擇"所有者"選項卡，在"將所有者更改為"下面的列表中選中你現在使用的用戶，如"Userl(A\Userl)"，然后再選中"替換子容器及對象的所有者"的復選框，然后單擊"應用"，等待操作完成。
    第三步：再進入這個文件夾看看，是不是不會有任何權限的提示了?可以自由訪問了?查看里面的文件，復制、刪除試試看．是不是一切都和"自己的"一樣了?嘿嘿。如果你想要刪除整個文件夾，也不會有什么阻止你了。 

 SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp   改3389 的

Windows2003基本的web服務器安全設置
欄目： | 作者：青鳥南飛 | 點擊：164 | 回復：0 | 2006-6-26 14:40:39
基本的服務器安全設置
　　1、安裝補丁

　　安裝好操作系統之后，最好能在托管之前就完成補丁的安裝，配置好網絡后，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然后點擊開始→Windows Update，安裝所有的關鍵更新。

　　2、安裝殺毒軟件

　　至于殺毒軟件目前我使用有兩款，一款是瑞星，一款是諾頓，瑞星殺木馬的效果比諾頓要強，我測試過病毒包，瑞星要多殺出很多，但是裝瑞星的話會有一個問題就是會出現ASP動態不能訪問，這時候需要重新修復一下，具體操作步驟是：

　　關閉殺毒軟件的所有的實時監控，腳本監控。

　　╭═══════════════╮╭═══════════════╮

　　在Dos命令行狀態下分別輸入下列命令并按回車（Enter）鍵：

　　regsvr32 jscript.dll （命令功能：修復Java動態鏈接庫）

　　regsvr32 vbscript.dll （命令功能：修復VB動態鏈接庫）

　　╰═══════════════╯╰═══════════════╯

　　不要指望殺毒軟件殺掉所有的木馬，因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。

　　3、設置端口保護和防火

　　2003的端口屏蔽可以通過自身防火墻來解決，這樣比較好，比篩選更有靈活性，桌面—>網上鄰居—>（右鍵）屬性—>本地連接—>（右鍵）屬性—>高級—>（選中）Internet 連接防火墻—>設置

　　把服務器上面要用到的服務端口選中

　　例如：一臺WEB服務器，要提供WEB（80）、FTP（21）服務及遠程桌面管理（3389）

　　在“FTP 服務器”、“WEB服務器（HTTP）”、“遠程桌面”前面打上對號

　　　如果你要提供服務的端口不在里面，你也可以點擊“添加”銨鈕來添加，具體參數可以參照系統里面原有的參數。

　　然后點擊確定。注意：如果是遠程管理這臺服務器，請先確定遠程管理的端口是否選中或添加。

　　權限設置

　　權限設置的原理

　　?WINDOWS用戶，在WINNT系統中大多數時候把權限按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。

　　?NTFS權限設置，請記住分區的時候把所有的硬盤都分為NTFS分區，然后我們可以確定每個分區對每個用戶開放的權限?！疚募�（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）權限。

　　?IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫“IIS匿名用戶”），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的權限，就是這個“IIS匿名用戶”所具有的權限。

　　權限設置

　　磁盤權限

　　系統盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限

　　系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限

　　系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限

　　系統盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權限

　　系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權限

　　4、禁用不必要的服務

　　開始菜單—>管理工具—>服務

　　Print Spooler

　　Remote Registry

　　TCP/IP NetBIOS Helper

　　Server

　　以上是在Windows Server 2003 系統上面默認啟動的服務中禁用的，默認禁用的服務如沒特別需要的話不要啟動。

　　改名或卸載不安全組件

　　不安全組件不驚人

　　在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的服務器支持很多不安全組件。

　　其實，只要做好了上面的權限設置，那么FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的權限。那個歡樂時光更不用怕，有殺毒軟件在還怕什么時光啊。

　　最危險的組件是WSH和Shell，因為它可以運行你硬盤里的EXE等程序，比如它可以運行提升程序來提升SERV-U權限甚至用SERVU來運行更高權限的系統程序。

　　謹慎決定是否卸載一個組件

組件是為了應用而出現的，而不是為了不安全而出現的，所有的組件都有它的用處，所以在卸載一個組件之前，你必須確認這個組件是你的網站程序不需要的，或者即使去掉也不關大體的。否則，你只能留著這個組件并在你的ASP程序本身上下工夫，防止別人進來，而不是防止別人進來后SHELL。

　　比如，FSO和XML是非常常用的組件之一，很多程序會用到他們。WSH組件會被一部分主機管理程序用到，也有的打包程序也會用到。

　　5、卸載最不安全的組件

　　最簡單的辦法是直接卸載后刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，( 以下均以 WIN2000 為例，如果使用2003，則系統文件夾應該是 C:\WINDOWS\ )

　　regsvr32/u C:\WINNT\System32\wshom.ocx

　　del C:\WINNT\System32\wshom.ocx

　　regsvr32/u C:\WINNT\system32\shell32.dll

　　del C:\WINNT\system32\shell32.dll

　　然后運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了?？赡軙�提示無法刪除文件，不用管它，重啟一下服務器，你會發現這三個都提示“×安全”了。

　　改名不安全組件

　　需要注意的是組件的名稱和Clsid都要改，并且要改徹底了。下面以Shell.application為例來介紹方法。

　　打開注冊表編輯器【開始→運行→regedit回車】，然后【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件。

　　比如我們想做這樣的更改

　　13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

　　Shell.application 改名為 Shell.application_ajiang

　　那么，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然后把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名后的注冊表項之后，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

　　下面是我修改后的代碼（兩個文件我合到一起了）：

　　Windows Registry Editor Version 5.00

　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

　　@="Shell Automation Service"

　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]

　　@="C:\\WINNT\\system32\\shell32.dll"

　　"ThreadingModel"="Apartment"

　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]

　　@="Shell.Application_ajiang.1"

　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]

　　@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]

　　@="1.1"

　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]

　　@="Shell.Application_ajiang"

　　[HKEY_CLASSES_ROOT\Shell.Application_ajiang]

　　@="Shell Automation Service"

　　[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]

　　@="{13709620-C279-11CE-A49E-444553540001}"

　　[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]

　　@="Shell.Application_ajiang.1"

　　你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

　　6、防止列出用戶組和系統進程

　　在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統用戶和系統進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

　　【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

　　防止Serv-U權限提升

　　其實，注銷了Shell組件之后，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

　　用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字符就可以了，ServUAdmin.exe也一樣處理。

　　另外注意設置Serv-U所在的文件夾的權限，不要讓IIS匿名用戶有讀取的權限，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

　　利用ASP漏洞攻擊的常見方法及防范

　　一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了權限，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然后用木馬上傳提升工具來獲得更高的權限，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

　　如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網論壇并且數據庫忘記了改名，人家就可以直接下載你的數據庫了，然后距離找到論壇管理員密碼就不遠了。

　　作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個服務器，因為如果你的服務器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些權限設置和防提升之后，黑客就算是進入了一個站點，也無法破壞這個網站以外的東西。