Win2003 Server安全配置完整篇 端口关闭第1/3页

一、先关闭不需要的端口

  我比较小心,先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!

  当然大家也可以更改远程连接端口方法:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

  "PortNumber"=dword:00002683

  保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!

  还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。

  关于端口的介绍可以访问:http://bbs.86dm.net/viewthread.php?tid=7&extra=page%3D1

  二、关闭不需要的服务 打开相应的审核策略

  我关闭了以下的服务

  Computer Browser 维护网络上计算机的最新列表以及提供这个列表

  Task scheduler 允许程序在指定时间运行

  Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

  Distributed File System: 局域网管理共享文件,不需要禁用

  Distributed linktracking client:用于局域网更新连接信息,不需要禁用

  Error reporting service:禁止发送错误报告

  Microsoft Serch:提供快速的单词搜索,不需要可禁用

  NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用

  PrintSpooler:如果没有打印机可禁用

  Remote Registry:禁止远程修改注册表

  Remote Desktop Help Session Manager:禁止远程协助

  Workstation 关闭的话远程NET命令列不出用户组

  把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

  在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

  在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。

  推荐的要审核的项目是:

  登录事件 成功 失败

  账户登录事件 成功 失败

  系统事件 成功 失败

  策略更改 成功 失败

  对象访问 失败

  目录服务访问 失败

  特权使用 失败

当前1/3页 123下一页阅读全文

(0)

相关推荐

  • Win2003 Server安全配置完整篇 端口关闭第1/3页

    一.先关闭不需要的端口 我比较小心,先关了端口.只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可.PS一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法: Windows Registry Edito

  • [推荐]Win2003 Server安全配置完整篇第1/3页

    本文详细介绍了Windows Server 2003中的安全配置问题,包括端口.审核.默认共享.磁盘管理以及防火墙和数据库等方面,相信会让你有所收获. 一.先关闭不需要的端口 我比较小心,先关了端口.只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把

  • win2003 Server配置SQL Server 2005远程连接的方法

    今天第一次玩SQL Server 2005,需要配置远程连接.我废话少说,直入主题,总结下我从新手立场在win2003 server环境下去配置的过程. 第一步,设置服务器 首先在SQL配置管理器中,选择网络配置-TCP/IP 如上,总结, 1,我们需要设置的是IP地址(服务器的IP), 2,TCP端口(所有TCP的IP都要设置统一,一般是默认1433,但是我修改成了6096) 3,把"已启用"改成"是" 之后,我们修改对客户端的定义 选中客户端协议中的TCP/IP

  • IIS+PHP+MySQL+Zend Optimizer+GD库+phpMyAdmin安装配置[完整修正实用版]第1/2页

    IIS+PHP+MySQL+Zend Optimizer+GD库+phpMyAdmin安装配置[完整修正实用版] 一.软件准备:以下均为截止2006-1-20的最新正式版本,下载地址也均长期有效1.PHP,推荐PHP4.4.0的ZIP解压版本: PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/

  • win2003 服务器安全配置全套详解

    我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事.呵呵 下面开始说下. 本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点. 基本的服务器安全设置 安装补丁 安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新. 安装杀毒软件 虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题.我一直在用诺顿2004,据说2

  • Windows Server 2008配置防火墙策略详解

    目录 什么是防火墙 墙和门卫的区别 Windows Server 2008 防火墙 windows 防火墙配置 如何创建一个定制的入站规则? 什么是防火墙 防火墙一般都是指网络防火墙,是一个位于计算机和它所连接的网络之间的软件.计算机流入流出的所有网络通信均要经过网络防火墙.防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行.防火墙还可以关闭不使用的端口.而且它还能禁止特定端口的流出通信.最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信. 讲

  • VisualSVN Server的配置和使用方法 图文

    1.为什么要用VisualSVN Server,而不用Subversion? 回答: 因为如果直接使用Subversion,那么在Windows 系统上,要想让它随系统启动,就要封装SVN Server为windws service,还要通过修改配置文件来控制用户权限,另外如果要想以Web方式[http协议]访问,一般还要安装配置Apache,如果是新手,岂不是很头痛?而VisualSVN Serve集成了Subversion和Apache,省去了以上所有的麻烦.安装的时候SVN Server已

  • Activity配置、启动和关闭activity实例详解

    大家先看下效果图: Android为我们提供了四种应组件,分别为Activity.Service.Broadcast receivers和Content providers,这些组建也就是我们开发一个Android应用程序的基石.系统可以通过不同组建提供的切入点进入到开发的应用程序中.对用户来说不是所有的组建都是实际的切入点,但是他们之间都是相互依赖的,它们每一个作为存在的实体,扮演着特定的角色,作为独一无二的基石帮助开发者定义Android应用的行为.下面我将整理自己的Activity学习点滴

  • IP连接SQL SERVER失败(配置为字符串失败)图文解决方法

    使用IP连接SQL SERVER或者配置为连接字符串失败 情景一:当在webconfig文件中使用 <add key="ConnectionString" value="server=127.0.0.1;database=数据库名;uid=sa;pwd=1"/>来连接数据库中,发现登陆时候无法正常登陆,出现了一大堆错误: 情景二: 或者当在连接SQL SERVER时候输入IP如下: 提示无法连接或者连接错误. 解决方案: 第一步:检查TCP/IP协议有没

  • 在dell PowerEdge 2950上安装win2003 server的方法介绍

    dell PE2950服务器(2*4核CPU,16G内存,6*300G硬盘),用于安装loadrunner. 在这些机器上先安装windows 2003 server操作系统. 一般标配的dell PE2950,安装win 2003 server,没什么问题.可是我这几台配置稍高了些,安装过程有些问题,现在记录下,以方便遇到类似问题的朋友. 如此高配置的服务器,没有安装先例,只能摸索. 一.准备工作 1.双孔USB光驱,保证能有足够电压供豪华dell使用(如果服务器没有光驱的话) 2.Dell给

随机推荐