Server2003的安装 最详细的教程内部VIP资料

一、Windows Server2003 的安装 1、安装系统最少两需要个分区，分区格式都采用 NTFS 格式 2、在断开网络的情况安装好2003 系统 3、安装 IIS，仅安装必要的 IIS 组件（禁用不需要的如 FTP 和 SMTP 服务）。默认情况下，IIS 服务没有安装，在添加/删除 Win 组件中选择“应用程序服务器”，然后点击“详细信息”，双击 Internet 信息服务(iis)，勾选以下选项： Internet 信息服务管理器；公用文件；后台智能传输服务 (BITS) 服务器扩展；万维网服务。如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions 4、安装MSSQL 及其它所需要的软件然后进行 Update。 5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer）工具分析计算机的安全配置，并标识缺少的修补程序和更新。下载地址：见页末的链接二、设置和管理账户 1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于 14 位。 2、新建一个名为 Administrator 的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于 20 位的密码 3、将 Guest 账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个 DelGuest 的工具，也许你也可以利用它来删除 Guest 账户，但我没有试过。 4、在运行中输入gpedit.msc 回车，打开组策略编辑器，选择计算机配置‐Windows 设置 ‐安全设置‐账户策略‐账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为 30 分钟”，“复位锁定计数设为 30 分钟”。 5、在安全设置‐本地策略‐安全选项中将“不显示上次的用户名”设为启用 6、在安全设置‐本地策略‐用户权利分配中将“从网络访问此计算机”中只保留 Internet 来宾账户、启动 IIS 进程账户。如果你使用了 Asp.net还要保留 Aspnet账户。 7、创建一个 User 账户，运行系统，如果要运行特权命令使用 Runas命令。三、网络服务安全管理 1、禁止 C$、D$、ADMIN$一类的缺省共享打开注册表， HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建 Dword 值，名称设为 AutoShareServer值设为 0 2、解除 NetBios 与 TCP/IP 协议的绑定右击网上邻居‐属性‐右击本地连接‐属性‐双击 Internet 协议‐高级‐Wins‐禁用 TCP/IP 上的 NETBIOS 3、关闭不需要的服务，以下为建议选项 Computer Browser:维护网络计算机更新，禁用 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide：telnet 服务和 Microsoft Serch 用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助四、打开相应的审核策略在运行中输入gpedit.msc 回车，打开组策略编辑器，选择计算机配置‐Windows 设置‐安全设置‐审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。推荐的要审核的项目是：登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败五、其它安全相关设置 1、隐藏重要文件/目录可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current‐Version\Explorer\Advanced\Folder\Hi‐dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由 1改为 0 2、启动系统自带的 Internet 连接防火墙，在设置服务选项中勾选 Web 服务器。 7、禁用 DCOM：运行中输入 Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。注：3‐6 项内容我采用的是 Server2000 设置，没有测试过对 2003 是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。六、配置 IIS 服务： 1、不使用默认的 Web 站点，如果使用也要将将 IIS 目录与系统磁盘分开。 2、删除 IIS 默认创建的 Inetpub目录（在安装系统的盘上）。 3、删除系统盘下的虚拟目录，如： _vti_bin、 IISSamples、 Scripts、 IIShelp、 IISAdmin、 IIShelp、 MSADC。 4、删除不必要的 IIS 扩展名映射。右键单击“默认 Web 站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm 5、更改 IIS 日志的路径右键单击“默认 Web站点→属性‐网站‐在启用日志记录下点击属性七、配置 Sql 服务器 1、System Administrators 角色最好不要超过两个 2、如果是在本机最好将身份验证配置为 Win 登陆 3、不要使用 Sa 账户，为其配置一个超级复杂的密码 4、删除以下的扩展存储过程格式为： use master sp_dropextendedproc '扩展存储过程名' xp_cmdshell：是进入操作系统的最佳捷径，删除访问注册表的存储过程，删除 Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE 自动存储过程，不需要删除 Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 5、隐藏 SQL Server、更改默认的 1433 端口右击实例选属性‐常规‐网络配置中选择 TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的 1433 端口。八、如果只做服务器，不进行其它操作，使用 IPSec 1、管理工具—本地安全策略—右击 IP 安全策略—管理 IP 筛选器表和筛选器操作—在管理 IP 筛选器表选项下点击添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何 IP 地址——将目标地址设为我的 IP 地址——协议类型设为 Tcp——IP 协议端口第一项设为从任意端口，第二项到此端口 80——点击完成——点击确定。 2、再在管理 IP 筛选器表选项下点击添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何 IP 地址——将目标地址设为我的 IP 地址——协议类型设为任意——点击下一步——完成——点击确定。 3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理 IP筛选器表和筛选器操作窗口 4、右击 IP 安全策略——创建 IP 安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成 5、在打开的新 IP 安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的 Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在 IP 筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定 6、在 IP安全策略的右边窗口中右击新建的数据包筛选器，点击指派，不需要重启， IPSec 就可生效. 九、建议如果你按本文去操作，建议每做一项更改就测试一下服务器，如果有问题可以马上撤消更改。而如果更改的项数多，才发现出问题，那就很难判断问题是出在哪一步上了。十、运行服务器记录当前的程序和开放的端口 1、将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。2、将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略。十一、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除 administrators 用户组全部删除,重要的是连 system 也不要留. net.exe net1.exe cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe format.com c.exe 特殊文件有可能在你的计算机上找不到此文件. 在搜索框里输入 net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls. exe,format.com,c.exe 点击搜索 然后‐‐‐全选‐‐‐右键‐‐‐属性‐‐‐安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了. Windows 下根目录的权限设置： C:\WINDOWS\Downloaded Program Files 默认不改 C:\WINDOWS\Offline Web Pages 默认不改 C:\WINDOWS\Help TERMINAL SERVER USER 除前两项权限不选其余都选 C:\WINDOWS\IIS Temporary Compressed Files IIS_WPG选全部权限 C:\WINDOWS\Installer 删除everyone 组权限 C:\WINDOWS\Prefetch 默认权限不改 C:\WINDOWS\Registration 添加 NETWORK SERVICE 选择其中三项权限，其它保留默认 C:\WINDOWS\system32 添加 NETWORK SERVICE 选择其中三项权限，其它保留默认 C:\WINDOWS\TAPI 删除 user 组，其它组的权限保留默认 C:\WINDOWS\Temp 删除 user 组，其它组的权限保留默认 C:\WINDOWS\Web 注意权限设置为继承。具体看演示C:\WINDOWS\WinSxS 添加 NETWORK SERVICE 选择其中三项权限，其它保留默认 C:\WINDOWS\Application Compatibility Scripts C:\WINDOWS\Debug\UserMode 删除 users 组的权限 C:\WINDOWS\Debug\WPD 目录删除 Authenticated Users 组权限。其它默认