一【yī】👛、Windows Server2003的安装

1、安装系🦔统最少两需要🤞个分区【gè fèn qū】，分区格【fèn qū gé】😞式都采用NTFS格式【gé shì】

2、在断开网络的情况安装好2003系统

3、安装🎯IIS，仅安装🎯必要的 IIS 组件【zǔ jiàn】⛽(禁用不需要的如😨FTP 和【hé】🛒 SMTP 服务【wù】)。默认情况下，IIS服务【wù】没🤼有安装🤪，在添加【zài tiān jiā】/删除🔂Win组件【zǔ jiàn】⛽中选择“应用程✈序服务【xù fú wù】器”，然后点⛑击【jī】“详细信息”，双击【shuāng jī】Internet信息服务【wù】(iis)，勾选以下选项【xià xuǎn xiàng】：

Internet 信息服务管理器;

公用文件;

后台智能传输【néng chuán shū】服务⌛ (BITS) 服务器【fú wù qì】😦扩展;

万维网服务。

如果你【rú guǒ nǐ】使用【shǐ yòng】⏮ FrontPage 扩展的 Web 站点再🌌勾选：FrontPage 2002 Server Extensions

4、安装【ān zhuāng】🤸MSSQL及其它所需要💗的软件然后进【rán hòu jìn】行Update。

5、使用【shǐ yòng】Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分【gōng jù fèn】析计算⏬机的安全配置，并标识【bìng biāo shí】🎩缺少的【quē shǎo de】🐜修补程🕜序和更新。下载地址：见页末的链接【de liàn jiē】✨

二、设置和管理账户

1、系统账🗓户最好少建，更改默认的帐户名🕡(Administrator)和描述，密码最好采用【hǎo cǎi yòng】数字加大小写🔯字母加数字的【shù zì de】上档键【shàng dàng jiàn】📠组合🥦，长度最好不少【hǎo bú shǎo】于【yú】🤫14位【wèi】。

2、新建一个名为Administrator的陷阱【de xiàn jǐng】帐号【zhàng hào】，为其设🌈置最小的权限🍪，然后随便输入组合的最好不😦低于【dī yú】🧗20位的密【wèi de mì】🗣码【mǎ】

3、将🏜Guest账户【zhàng hù】☝禁用并更🏎改名称和描述【hé miáo shù】，然后输入一个【rù yī gè】🕵复杂的【fù zá de】密码【mì mǎ】🧙，当然现在也有【zài yě yǒu】一个🕵DelGuest的工具，也许你【yě xǔ nǐ】也可以利用它来删除Guest账户【zhàng hù】☝，但我没有试过🌳。

4、在运行中输入【zhōng shū rù】gpedit.msc回车【huí chē】，打开组📥策略编🌨辑器，选择计🏛算机配【suàn jī pèi】置🗯-Windows设置【shè zhì】🗯-安全设【ān quán shè】🎸置🗯-账户策【zhàng hù cè】略-账户锁【zhàng hù suǒ】定策略，将账户【jiāng zhàng hù】😭设为【shè wéi】“三次登陆无效🔀”，“锁定时🍓渖栉?0分钟”，“复位锁定计数👨设为【shè wéi】30分钟”。

5、在安全设置-本地策🔤略【luè】-安全选【ān quán xuǎn】项中将“不显示【bú xiǎn shì】🥦上次的🛳用🍪户名【hù míng】”设为启用🍪

6、在安全设置【shè zhì】-本地策略-用户权【yòng hù quán】🐹利分配中将🎨“从网络【cóng wǎng luò】🛰访问此计算机🚽”中只保留【liú】⬜Internet来宾账户【hù】👄、启动【qǐ dòng】IIS进程账【jìn chéng zhàng】户【hù】👄。如果你😋使用了Asp.net还要保留【liú】⬜Aspnet账户【hù】👄。

7、创建一个User账户【zhàng hù】，运行系【yùn háng xì】统✡，如果要运行特【yùn háng tè】🕵权命令🍖使用Runas命令。

三、网络服务安全管理

1、禁止【jìn zhǐ】C$、D$、ADMIN$一类的【yī lèi de】缺省共📉享🦂

打开注【dǎ kāi zhù】册表【cè biǎo】，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边♿的窗口中新建Dword值👊，名称设为【wéi】AutoShareServer值设为【wéi】⛅0

2、 解除💸NetBios与⛔TCP/IP协议的【xié yì de】绑定【bǎng dìng】

右击网🤐上邻居【shàng lín jū】-属性【shǔ xìng】💃-右击本地连接【dì lián jiē】-属性【shǔ xìng】💃-双击Internet协议【xié yì】🏂-高级-Wins-禁用TCP/IP上的📓NETBIOS

3、关闭不需要的服务，以下为建议选项

Computer Browser:维护网【wéi hù wǎng】络计算🚪机更新👊，禁用【jìn yòng】

Distributed File System: 局域网管理共🆘享文件，不需要【bú xū yào】禁用【jìn yòng】💼

Distributed linktracking client：用于局😎域网更🕑新连接信息【xìn xī】，不需要【bú xū yào】禁用

Error reporting service：禁止发🔀送错误【sòng cuò wù】报告

Microsoft Serch：提供快📫速的单词搜索，不需要【bú xū yào】❄可禁用【kě jìn yòng】

NTLMSecuritysupportprovide：telnet服务和🌵Microsoft Serch用的【yòng de】，不需要【bú xū yào】🏈禁用

PrintSpooler：如果没【rú guǒ méi】🛃有打印【yǒu dǎ yìn】机可禁🥜用

Remote Registry：禁止远【jìn zhǐ yuǎn】⬅程修改注册表

Remote Desktop Help Session Manager：禁止远程协助【chéng xié zhù】⬛

四、打开相应的审核策略

在运行🥓中输入gpedit.msc回车，打开组【dǎ kāi zǔ】策略编🐈辑器【jí qì】😋，选择【xuǎn zé】计算机配置🚤-Windows设置🚤-安全设【ān quán shè】🛥置🚤-审核策👟略在创【luè zài chuàng】建审核🗑项目时需要注意的是如果审核的【shěn hé de】项目太多🍢，生成的🅱事件也【shì jiàn yě】就越多，那么要想发现➡严重的【yán chóng de】♍事件也【shì jiàn yě】越难当【yuè nán dāng】然如果🎃审核的【shěn hé de】太少也【tài shǎo yě】会影响你发现【nǐ fā xiàn】严重的【yán chóng de】♍事件，你需要根据情【gēn jù qíng】况在这二者之间做出【jiān zuò chū】🤩选择【xuǎn zé】。

推荐的要审核的项目是：

登录事件 成功 失败

账户登录事件 成功 失败

系统事件 成功 失败

策略更改 成功 失败

对象访问 失败目录服务访问 失败

特权使用 失败

五、其它安全相关设置

1、隐藏重要文件/目录

可以修😩改🎻注册表【zhù cè biǎo】实现完全隐【quán yǐn】🦋藏【cáng】🏣：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击【jī】“CheckedValue”，选择修改🎻，把数值由【yóu】1改🎻为0

2、启动系统自带【tǒng zì dài】的【de】Internet连接防🐂火墙，在设置服务选👽项中勾⛎选Web服务器【fú wù qì】。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建🌪DWORD值【zhí】🐜，名为【míng wéi】SynAttackProtect，值【zhí】🐜为2

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface

新建DWORD值【zhí】🌌，名为PerformRouterDiscovery 值为【zhí wéi】🐵0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

将👱EnableICMPRedirects 值设为【zhí shè wéi】0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值【zhí】，名为【míng wéi】😹IGMPLevel 值【zhí】为🌃0

7、禁用DCOM：

运行中【yùn háng zhōng】输入【shū rù】 Dcomcnfg.exe。 回车， 单击【dān jī】🎯“控制台根节点👃”下的“组件服🙌务”。 打开“计算机”子文件🛏夹【jiá】。

对于本地计算机【jī】⭕，请以右键单击【jiàn dān jī】“我的电🔑脑”，然后选【rán hòu xuǎn】💔择❇“属性”。选择【xuǎn zé】🤕“默认属性”选项卡【xuǎn xiàng kǎ】。

清除🛎“在这台计算机【jì suàn jī】🤣上启用分布式 COM”复选框【fù xuǎn kuàng】。

注⛸：3-6项内容我采用【wǒ cǎi yòng】的是Server2000设置，没有测试过对【shì guò duì】2003是否起【shì fǒu qǐ】作用🌈。但有一🚼点可以🔕肯定我【kěn dìng wǒ】用了一【yòng le yī】段的时间没有【jiān méi yǒu】发现其🥪它副面的影响🚑。

六、配置 IIS 服务：

1、不使用默认的【mò rèn de】Web站点【zhàn diǎn】🏺，如果使用也要将 将IIS目录与系统磁📱盘分开【pán fèn kāi】👨。

2、删除【shān chú】📘IIS默认创建的【jiàn de】🖕Inetpub目录【mù lù】🚂(在安装系统的盘上)。

3、删除系统盘下🌧的虚拟🤸目录【mù lù】，如【rú】：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认【mò rèn】Web站点→属性→主目录【zhǔ mù lù】✖→配置【pèi zhì】”，打开应用程🍀序窗口【xù chuāng kǒu】，去掉不【qù diào bú】📲必要的应用程🍀序映射。主要为🛤.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单🎩击【jī】🏦“默认Web站点→属性【shǔ xìng】❓-网站【wǎng zhàn】-在启用日志记录下点击【jī】🏦属性【shǔ xìng】❓

6、如果使【rú guǒ shǐ】用【yòng】👼的是2000可以使😴用【yòng】👼iislockdown来保护📦IIS，在2003运行的IE6.0的版本【de bǎn běn】不需要。

7、使用UrlScan

UrlScan是一个🦌ISAPI筛选器❎，它对传入的HTTP数据包进行分析并可以拒绝【yǐ jù jué】🌥任何可【rèn hé kě】疑的通💋信量【xìn liàng】🍈。目前最新的版【xīn de bǎn】本是2.5，如果是2000Server需要先【xū yào xiān】安装【ān zhuāng】🛁1.0或2.0的版本。下载地址见页未的链接【jiē】😣

如果没⛩有特殊【yǒu tè shū】的要求【de yào qiú】采用【cǎi yòng】UrlScan默认配🤲置就可🐊以了。

但如果你在服【nǐ zài fú】务器运㊙行【háng】ASP.NET程序，并要进🥍行调试【háng diào shì】你需打开要👎%WINDIR%System32InetsrvURLscan

文件夹【wén jiàn jiá】中的URLScan.ini 文件，然后在【rán hòu zài】UserAllowVerbs节添加debug谓词，注意此【zhù yì cǐ】🐛节是区分大小❔写的🕴。

如果你的网页🎳是.asp网页你需要在🖨DenyExtensions删除【shān chú】.asp相关的【xiàng guān de】🐈内容【nèi róng】。

如果你的网页使用了😋非【fēi】ASCII代码，你需要在【zài】Option节中将【jiē zhōng jiāng】AllowHighBitCharacters的值设💑为🔇1

在对URLScan.ini 文件做【wén jiàn zuò】了更改🐂后【hòu】，你需要😼重启IIS服务才能生效【néng shēng xiào】🐌，快速方🤼法运行【fǎ yùn háng】中输入iisreset

如果你【rú guǒ nǐ】在配置【zài pèi zhì】后出现【hòu chū xiàn】什么问题🛩，你可以🚬通过添加/删除程🚙序删除UrlScan。

8、利用【lì yòng】WIS (Web Injection Scanner)工具对🍑整个网站进行SQL Injection 脆弱性【cuì ruò xìng】扫描🏴.

下载地址：VB.NET爱好者

七、配置Sql服务器

1、System Administrators 角色最【jiǎo sè zuì】👁好不要【hǎo bú yào】🚳超过两个

2、如果是【rú guǒ shì】在本机【zài běn jī】💥最好将身份验☝证配置🎆为Win登陆【dēng lù】

3、不要使用🕔Sa账户【zhàng hù】，为其配置一个【zhì yī gè】超级复🦑杂的密【zá de mì】🍓码

4、删除以下的扩展存储【zhǎn cún chǔ】过程格【guò chéng gé】🛂式为♎：use master

sp_dropextendedproc '扩展存【kuò zhǎn cún】储过程名🖼'

xp_cmdshell：是进入【shì jìn rù】*作系统【zuò xì tǒng】的最佳🐀捷径，删除🧠

访问注册表的存储过程，删除

Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues

Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty

Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

5、隐藏【yǐn cáng】 SQL Server、更改默🏂认的【rèn de】1433端口🦖

右击实🔈例选属【lì xuǎn shǔ】😁性-常规-网络配置中选择😊TCP/IP协议的属性【shǔ xìng】🍼，选择😊隐藏【yǐn cáng】💫 SQL Server 实例【shí lì】，并改原【bìng gǎi yuán】默认的1433端口。

八、如果只做服务【zuò fú wù】🀄器【qì】，不进行其它*作【zuò】💝，使用🐼IPSec

1、管理工【guǎn lǐ gōng】🍧具🥌—本地安⏯全策略—右击🙅IP安全策【ān quán cè】略—管理IP筛选器【shāi xuǎn qì】表和筛【biǎo hé shāi】选器*作—在管理【zài guǎn lǐ】IP筛选器【shāi xuǎn qì】表选项下点击💟

添加【tiān jiā】🥦—名称设【míng chēng shè】为Web筛选器🔫—点击添【diǎn jī tiān】加🥦—在描述【zài miáo shù】中输入【zhōng shū rù】Web服务器🦔—将源地【jiāng yuán dì】址设🐞为任何🆔IP地址——将目标🔰地址设🐞为我的IP地址——协议类👏型设为Tcp——IP协议端🦆口第一【kǒu dì yī】项设为从任意【cóng rèn yì】端口，第二项到此端口80——点击完【diǎn jī wán】成——点击确🥃定【dìng】。

2、再在管理IP筛选器表选项下点击

添加【jiā】—名称设🚪为所有入站筛➗选器【xuǎn qì】—点击添🌼加【jiā】—在描述🐞中输入所有入站筛➗选—将源地址【dì zhǐ】🍜设为任何【hé】IP地址【dì zhǐ】🍜——将目标⛓地址【dì zhǐ】🍜设为我的IP地址【dì zhǐ】🍜——协议类【xié yì lèi】型设为【xíng shè wéi】任意——点击下🍢一步——完成【wán chéng】🥤——点击确定【dìng】🌪。

3、在管理筛选器【shāi xuǎn qì】*作选项【zuò xuǎn xiàng】下点击【xià diǎn jī】👻添加——下一步【xià yī bù】☝——名称中输入阻【shū rù zǔ】🌙止📟——下一步【xià yī bù】☝——选择阻🤲止📟——下一步【xià yī bù】☝&md