WEB管理员必看Windows 2003服务器安全设置详解

第一篇：WEB管理员必看Windows 2003服务器安全设置详解

WEB管理员必看Windows 2003服务器安全设置详解

你有自己的服务器吗？服务器有给挂过马吗，有给入侵过吗？如果有的话，表明的服务器安全设置还是不够好，那么你应该来看看本文的介绍，如何把windows 服务器的安全设置做得更好，一起看吧。

1)、系统安全基本设置

1.安装说明：系统全部NTFS格式化，重新安装系统（采用原版win2003）,安装杀毒软件(Mcafee)，并将杀毒软件更新，安装sp2补钉，安装IIS（只安装必须的组件）,安装SQL2000，安装.net2.0,开启防火墙。并将服务器打上最新的补钉。

2)、关闭不需要的服务

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网管理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助 其他服务有待核查

3)、设置和管理账户

1、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码

2、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于10位

3、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

4、计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效 时间为30分钟

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户,Aspnet账户

7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

4）、打开相应的审核策略

审核策略更改:成功

审核登录事件:成功,失败

审核对象访问:失败

审核对象追踪:成功,失败

审核目录服务访问:失败

审核特权使用:失败

审核系统事件:成功,失败

审核账户登录事件:成功,失败

审核账户管理:成功,失败

5）、其它安全相关设置

1、禁止C$、D$、ADMIN$一类的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的 窗口中新建Dword值，名称设为AutoShareServer值设为02、解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS3、隐藏重要文件/目录

可以修改注册表实现完全隐藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为04、防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为SynAttackProtect，值为

25、禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0

6.防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为07、不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为IGMPLevel 值为08、禁用DCOM：运行中输入 Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子 文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属 性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

9、终端服务的默认端口为3389，可考虑修改为别的端口。

修改方法为： 服务器端：打开注册表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations” 处找到类似RDP-TCP的子键，修改PortNumber值。客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会 生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件（方法：菜单→文件→导入），这样客户端就修改了端口。

6）、配置 IIS 服务

1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映 射。主要为.shtml,.shtm,.stm5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。如果没有特殊的要求采用UrlScan默认配置就可以了。但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要 %WINDIR%System32InetsrvURLscan，文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添 加debug谓词，注意此节是区分大小写的。如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

8、利用WIS(Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.7）、配置Sql服务器

1、System Administrators 角色最好不要超过两个

3、不要使用Sa账户，为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为：

use mastersp_dropextendedproc '扩展存储过程名'

xp_cmdshell：是进入操作系统的最佳捷径，删除访问注册表的存储过程，删除

Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regwriteXp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默 认的1433端口。

8）、修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%system32config，默认 文件大小512KB，管理员都会改变这个默认大小。

安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 应用程序日志文件：%systemroot%system32configAppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%system32logfilesmsftpsvc1，默认每天一个日 志 Internet信息服务WWW日志默认位置：%systemroot%system32logfilesw3svc1，默认每天一个日 志 Scheduler(任务计划)服务日志默认位置：%systemroot%schedlgu.txt 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的： HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent SQL 删掉或改名xplog70.dll [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters] “AutoShareServer”=dword:00000000 “AutoShareWks”=dword:00000000 // AutoShareWks 对pro版本 // AutoShareServer 对server版本 // 0

禁止管理共享admin$,c$,d$之类默认共享 [HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA] “restrictanonymous”=dword:00000001 //0x1 匿名用户无法列举本机用户列表 //0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动

9）、本地安全策略

1．只开放服务需要的端口与协议。具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→ TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP 口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口 用于POP3。常用的UDP端口有：53口－DNS域名解析服务；161口－snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。封TCP端口: 21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)封UDP端口:1434(这个就不用说了吧)封所有ICMP,即封PING 以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的2、禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两 种方法禁止建立空连接：

（1）修改注册表中 Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous 的值为1。

（2）修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的 RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。首先，Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来 是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得 到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册 表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止空用户连接，实际上Windows 2000的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户 可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1” 这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows 2000才支 持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较 好。

10)、防止asp木马

1、基于FileSystemObject组件的asp木马

cacls %systemroot%system32scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除

2．基于shell.application组件的asp木马

cacls %systemroot%system32shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //删除

3．将图片文件夹的权限设置为不允许运行。

4.如果网站中不存在有asp的话，禁用asp

11）、防止SQL注入

1．尽量使用参数化语句

2．无法使用参数化的SQL使用过滤。

3．网站设置为不显示详细错误信息，页面出错时一律跳转到错误页面。

4.不要使用sa用户连接数据库

5、新建一个public权限数据库用户，并用这个用户访问数据库

6、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限

文章来自学IT网：http:///win2003/show-5253-2.aspx

第二篇：服务器安全设置

服务器安全设置及项目部署

1.防火墙设置

1）常规中选中启用（推荐）选项

2）例外中添加端口号eg：17999

3）高级中 点击第一个设置，服务选项卡选中“FTP 服务器”和“远程桌面”，ICMP

选项卡选中“允许传入响应请求”

4）我的电脑属性远程远程桌面 勾选允许用户远程连接此计算机

注：打开“开始→运行”，输入“regedit”，打开注册表，进入以下路径：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]，看见PortNamber值了吗？其默认值是：0xd3d，这个是16进制，点击右边的十进制，显示的就是3389了，修改成所希望的端口即可，例如6111。

再打开

[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal

ServerWinStationsRDP-Tcp]，将PortNumber的值（也是3389）修改成端口6111。

更改后注意开放防火墙6111端口,否则重起后连不上

2.防火墙软件安装（eg：360安全卫士）

1）打上补丁，修补漏洞

2）关闭自动更新

3．更改虚拟内存

1）电脑高级第一个设置高级更改2000M到5000M

4.本地安全策略

1）管理工具本地安全策略新建

5.数据库安装

1）确保Tcp/Ip启用

SQL server configuration manager SQL server 2005 网络配置 MSSQLSERVER的协议 TCP/IP启动

3）新项目数据库 代理必须启动

6.JDK 安装

环境变量配置：

Eg: java_home：D:Program FilesJavajdk1.6.0_10 classpath：.;%java_home%lib;%java_home%lib tools.jarpath设置%java_home%bin;%java_home%jre6bin;

7.tomcat 安装

8.apache安装

9.负载均衡

10.项目部署

1)数据库还原，附加或数据库新建sql

2）netfee,feecfg,push

注：域名指向

10.其他软件安装（edit记事本，搜狗拼音，

第三篇：windows 2003 server web配置和安全

输入此网站的网页文件所在目录。设置网站访问的权限，一般不需要“写入”权限。点击下一步，完成新网站的创建。

配置不同IP地址的站点方法

具体方法：

在“IIS服务管理器”中，右击新建的网站（电影服务），选择属性，并在“网站选项卡”下更改IP地址。

配置不同端口的站点方法

具体方法：

在“IIS服务管理器”中，右击新建的网站（电影服务），选择属性，并在“网站选项卡”下更改端口为不同的值，如81。

配置不同主机头

具体方法：

在“IIS服务管理器”中，右击新建的网站（电影服务），选择属性，在“网站选项卡”下点击ip地址后的“高级”，并在弹出的“高级网络标识”窗口中点击“编辑”按钮。

接着在弹出的“添加/编辑网络标识”窗口中“主机头值”。

设置完主机头后还需要配置DNS服务器，添加主机头值的主机记录，是客户端能够解析出主机头的IP地址，就可以使用“http://主机头”访问网站。

二、WEB站点的排错

·客户机访问WEB站点的过程

1>当客户机访问网站时，服务器先检查客户机IP地址是否授权

2>然后检查用户和密码是否正确（匿名用户不需要密码）

3>接着检查主目录是否设置了“读取权限”

4>最后检查网站文件的NTFS权限

·常见错误

1、错误号403.6

分析：

由于客户机的IP地址被WEB网站中设置为阻止。

解决方案：

打开站点属性->“目录安全性选项卡”->“IP地址和域名限制”->点击“编辑”按钮，并将拒绝的IP段删除。

2、错误号401.1

分析：

由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用，或者没有权限访问计算机，将造成用户无法访问。

解决方案：

（1）查看IIS管理器中站点安全设置的匿名帐户是否被禁用，如果是，请尝试用以下办法启用：

控制面板->管理工具->计算机管理->本地用户和组，将IUSR_机器名账号启用。如果还没有解决，请继续下一步。

（2）查看本地安全策略中，IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限，如果没有尝试用以下步骤赋予权限：

开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配，双击“从网络访问此计算机”，添加IIS默认用户或者其所属的组。

注意：一般自定义 IIS默认匿名访问帐号都属于组，为了安全，没有特殊需要，请

遵循此规则。

3、错误号401.2

原因：关闭了匿名身份验证

解决方案：

打开站点属性->目录安全性->身份验证和访问控制->选中“启用匿名访问”，输入用户名，或者点击“浏览”选择合法的用户，并两次输入密码后确定。

4、错误号：401.3

原因：

原因一 IIS匿名用户一般属于Guests组，而我们一般把存放网站的硬盘的权限只分配给administrators组，这时候按照继承原则，网站文件夹也只有administrators组的成员才能访问，导致IIS匿名用户访问该文件的NTFS权限不足，从而导致页面无法访问。

原因二 是在IIS 管理器中将网站的权限设置不可读（IIS匿名用户）。

解决方案：

给IIS匿名用户访问网站文件夹的权限.方法1：进入该文件夹的安全选项，添加IIS匿名用户，并赋予相应权限，一般是只读。

方法2： 右击站点，选择“权限”，打开权限设置窗口。并赋予IIS匿名用户只读权限。

敬告：“win2003 服务器设置 完全版” 一文如与您有版权冲突请联系站长处理，我们是公益免费论文网，不周之处，万请谅解！

--->返回到论文先生网首页<---

-第一步：

一、先关闭不需要的端口

我比较小心，先关了端口。只开了3389 21 80 1433（MYSQL）有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改

了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!

当然大家也可以更改远程连接端口方法:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

“PortNumber”=dword:00002683

保存为.REG文件双击即可!更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效!

还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在

进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点，表怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在system32driversetcservices中有列表，记事本就可以打开的。如果懒惰的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵，防止非法远程主机对服务器的扫描，提高Windows 2003服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击的病毒，如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能，能够对整个内部网络起到很好的保护作用。

二、关闭不需要的服务 打开相应的审核策略

我关闭了以下的服务

Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序

把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

在“网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。在高级选项里，使用“Internet连接防火墙”，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是:

登录事件 成功 失败

账户登录事件 成功 失败

系统事件 成功 失败

策略更改 成功 失败

对象访问 失败

目录服务访问 失败

特权使用 失败

三、磁盘权限设置 1.系统盘权限设置 C:分区部分： c: administrators 全部（该文件夹，子文件夹及文件）CREATOR OWNER 全部（只有子文件来及文件）system 全部（该文件夹，子文件夹及文件）IIS_WPG 创建文件/写入数据（只有该文件夹）IIS_WPG（该文件夹，子文件夹及文件）遍历文件夹/运行文件 列出文件夹/读取数据 读取属性

创建文件夹/附加数据 读取权限

c:Documents and Settings administrators 全部（该文件夹，子文件夹及文件）Power Users（该文件夹，子文件夹及文件）读取和运行 列出文件夹目录 读取

SYSTEM全部（该文件夹，子文件夹及文件）C:Program Files administrators 全部（该文件夹，子文件夹及文件）CREATOR OWNER全部（只有子文件来及文件）IIS_WPG（该文件夹，子文件夹及文件）读取和运行 列出文件夹目录 读取

Power Users（该文件夹，子文件夹及文件）修改权限

SYSTEM全部（该文件夹，子文件夹及文件）

TERMINAL SERVER USER（该文件夹，子文件夹及文件）修改权限

2.网站及虚拟机权限设置（比如网站在E盘）说明：我们假设网站全部在E盘www.xiexiebang.comfg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

第二步：

尽管Windows 2003的功能在不断增强，但是由于先天性的原因，它还存在不少安全隐患，要是不将这些隐患“堵住”，可能会给整个系统带来不必要的麻烦；下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法，希望能对各位带来帮助！

堵住自动保存隐患

Windows 2003操作系统在调用应用程序出错时，系统中的Dr.Watson会自动将一些重要的调试信息保存起来，以便日后维护系统时查看，不过这些信息很有可能被黑客“瞄上”，一旦瞄上的话，各种重要的调试信息就会暴露无疑，为了堵住Dr.Watson自动保存调试信息的隐患，我们可以按如下步骤来实现：

1、打开开始菜单，选中“运行”命令，在随后打开的运行对话框中，输入注册表编辑命令“ergedit”命令，打开一个注册表编辑窗口；

2、在该窗口中，用鼠标依次展开HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在对应AeDebug键值的右边子窗口中，用鼠标双击Auto值，在弹出的参数设置窗口中，将其数值重新设置为“0”，3、打开系统的Windows资源管理器窗口，并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹，最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。

完成上面的设置后，重新启动一下系统，就可以堵住自动保存隐患了。

堵住资源共享隐患

为了给局域网用户相互之间传输信息带来方便，Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能，不过我们在享受该功能带来便利的同时，共享功能也会“引狼入室”，“大度”地向黑客们敞开了不少漏洞，给服务器系统造成了很大的不安全性；所以，在用完文件或打印共享功能时，大家千万要随时将功能关闭哟，以便堵住资源共享隐患，下面就是关闭共享功能的具体步骤：

1、执行控制面板菜单项下面的“网络连接”命令，在随后出现的窗口中，用鼠标右键单击一下“本地连接”图标；

2、在打开的快捷菜单中，单击“属性”命令，这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框；

3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项；

4、如此一来，本地计算机就没有办法对外提供文件与打印共享服务了，这样黑客自然也就少了攻击系统的“通道”。

堵住远程访问隐患

在Windows2003系统下，要进行远程网络访问连接时，该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码，通过普通明文内容方式传输给对应连接端的客户端程序；在明文帐号传输过程中，实现“安插”在网络通道上的各种嗅探工具，会自动进入“嗅探”状态，这个明文帐号就很容易被“俘虏”了；明文帐号内容一旦被黑客或其他攻击者另谋他用的话，呵呵，小心自己的系统被“疯狂”攻击吧！为了杜绝这种安全隐患，我们可以按下面的方法来为系统“加固”：

1、点击系统桌面上的“开始”按钮，打开开始菜单；

2、从中执行控制面板命令，从弹出的下拉菜单中，选中“系统”命令，打开一个系统属性设置界面；

3、在该界面中，用鼠标单击“远程”标签；

4、在随后出现的标签页面中，将“允许用户远程连接到这台计算机”选项取消掉，这样就可以将远程访问连接功能屏蔽掉，从而堵住远程访问隐患了。

堵住用户切换隐患

Windows 2003系统为我们提供了快速用户切换功能，利用该功能我们可以很轻松地登录到系统中；不过在享受这种轻松时，系统也存在安装隐患，例如我们要是执行系统“开始”菜单中的“注销”命令来，快速“切换用户”时，再用传统的方式来登录系统的话，系统很有可能会本次登录，错误地当作是对计算机系统的一次暴力“袭击”，这样Windows2003系统就可能将当前登录的帐号当作非法帐号，将它锁定起来，这显然不是我们所需要的；不过，我们可以按如下步骤来堵住用户切换时，产生的安全隐患：

在Windows 2003系统桌面中，打开开始菜单下面的控制面板命令，找到下面的“管理工具”命令，再执行下级菜单中的“计算机管理”命令，找到“用户帐户”图标，并在随后出现的窗口中单击“更改用户登录或注销的方式”；在打开的设置窗口中，将“使用快速用户切换”选项取消掉就可以了。

堵住页面交换隐患

Windows 2003操作系统即使在正常工作的情况下，也有可能会向黑客或者其他访问者泄漏重要的机密信息，特别是一些重要的帐号信息。也许我们永远不会想到要查看一下，那些可能会泄漏隐私信息的文件，不过黑客对它们倒是很关心的哟！Windows 2003操作系统中的页面交换文件中，其实就隐藏了不少

重要隐私信息，这些信息都是在动态中产生的，要是不及时将它们清除，就很有可能成为黑客的入侵突破口；为此，我们必须按照下面的方法，来让Windows 2003操作系统在关闭系统时，自动将系统工作时产生的页面文件全部删除掉：

1、在Windows 2003的“开始”菜单中，执行“运行”命令，打开运行对话框，并在其中输入“Regedit”命令，来打开注册表窗口；

2、在该窗口的左边区域中，用鼠标依次单击HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management键值，找到右边区域中的ClearPageFileAtShutdown键值，并用鼠标双击之，在随后打开的数值设置窗口中，将该DWORD值重新修改为“1”；

3、完成设置后，退出注册表编辑窗口，并重新启动计算机系统，就能让上面的设置生效了。

更多专题：服务器安全防黑系列知识、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、安全之 scw Windows Server 2003是大家最常用的服务器操作系统之一。虽然它提供了强大的网络服务功能，并且简单易用，但它的安全性一直困扰着众多网管，如何在充分利用Windows Server 2003提供的各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版补丁包的发布，恰好解决这个问题，它不但提供了对系统漏洞的修复，还新增了很多易用的安全功能，如安全配置向导（SCW）功能。利用SCW功能的“安全策略”可以最大限度增强服务器的安全，并且配置过程非常简单，下面就一起来看吧！

厉兵秣马 先装“SCW”

大家都很清楚，Windows Server 2003系统为增强其安全性，默认情况下，很多服务组件是不被安装的，要想使用，必须手工安装。“SCW”功能也是一样，虽然你已经成功安装了补丁包SP1，但也需要手工安装“安全配置向导（SCW）”组件。

进入“控制面板”后，运行“添加或删除程序”，然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项，最后点击“下一步”按钮后，就能轻松完成“SCW”组件的安装。

安装过程就这么简单，接下来就能根据自身需要，利用“SCW”配置安全策略，增强Windows Server 2003服务器安全。

配置“安全策略” 原来如此“简单”

在Windows Server 2003服务器中，点击“开始→运行”后，在运行对话框中执行“SCW.exe”命令，就会弹出“安全配置向导”对话框，开始你的安全策略配置过程。当然你也可以进入“控制面板→管理工具”窗口后，执行“安全配置向导”快捷方式来启用“SCW”。

1．新建第一个“安全策略”

如果你是第一次使用“SCW”功能，首先要为Windows Server 2003服务器新建一个安全策略，安全策略信息是被保存在格式为XML 的文件中的，并且它的默认存储位置是“C:WINDOWSsecuritymsscwPolicies”。因此一个Windows Server 2003系统可以根据不同需要，创建多个“安全策略”文件，并且还可以对安全策略文件进行修改，但一次只能应用其中一个安全策略。

在“欢迎使用安全配置向导”对话框中点击“下一步”按钮，进入到“配置操作”对话框，因为是第一次使用“SCW”，这里要选择“创建新的安全策略”单选项，点击“下一步”按钮，就开始配置安全策略。

2．轻松配置“角色”

首先进入“选择服务器”对话框，在“服务器”栏中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址，点击“下一步”按钮后，“安全配置向导”会处理安全配置数据库。

接着就进入到“基于角色的服务配置”对话框。在基于角色的服务配置中，可以对Windows Server 2003服务器角色、客户端角色、系统服务、应用程序，以及管理选项等内容进行配置。

所谓服务器“角色”，其实就是提供各种服务的Windows Server 2003服务器，如文件服务器、打印服务器、DNS服务器和DHCP服务器等，一个Windows Server 2003服务器可以只提供一种服务器“角色”，也可以扮演多种服务器角色。点击“下一步”按钮后，就进入到“选择服务器角色”配置对话框，这时需要在“服务器角色列表框”中勾选你的Windows Server 2003服务器所扮演的角色。

注意：为了保证服务器的安全，只勾选你所需要的服务器角色即可，选择多余的服务器角色选项，会增加Windows Server 2003系统的安全隐患。如笔者的Windows Server 2003服务器只是作为文件服务器使用，这时只要选择“文件服务器”选项即可。

进入“选择客户端功能”标签页，来配置Windows Server 2003服务器支持的“客户端功能”，其实Windows Server 2003服务器的客户端功能也很好理解，服务器在提供各种网络服务的同时，也需要一些客户端功能的支持才行，如Microsoft网络客户端、DHCP客户端和FTP客户端等。根据需要，在列表框中勾选你所需的客户端功能即可，同样，对于不需要的客户端功能选项，建议你一定要取消对它的选择。

接下来进入到“选择管理和其它选项”对话框，在这里选择你需要的一些Windows Server 2003系统提供的管理和服务功能，操作方法是一样的，只要在列表框中勾选你需要 的管理选项即可。点击“下一步”后，还要配置一些Windows Server 2003系统的额外服务，这些额外服务一般都是第三方软件提供的服务。

然后进入到“处理未指定的服务”对话框，这里“未指定服务”是指，如果此安全策略文件被应用到其它Windows Server 2003服务器中，而这个服务器中提供的一些服务没有在安全配置数据库中列出，那么这些没被列出的服务该在什么状态下运行呢？在这里就可以指定它们的运行状态，建议大家选中“不更改此服务的启用模式”单选项。最后进入到“确认服务更改”对话框，对你的配置进行最终确认后，就完成了基于角色的服务配置。

3．配置网络安全

以上完成了基于角色的服务配置。但Windows Server 2003服务器包含的各种服务，都是通过某个或某些端口来提供服务内容的，为了保证服务器的安全，Windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口，这种向导化配置过程与手工配置Windows防火墙相比，更加简单、方便和安全。

在“网络安全”对话框中，要开放选中的服务器角色，Windows Server 2003系统提供的管理功能以及第三方软件提供的服务所使用的端口。点击“下一步”按钮后，在“打开端口并允许应用程序”对话框中开放所需的端口，如FTP服务器所需的“20和21”端口，IIS服务所需的“80”端口等，这里要切记“最小化”原则，只要在列表框中选择要必须开放的端口选项即可，最后确认端口配置，这里要注意：其它不需要使用的端口，建议大家不要开放，以免给Windows Server 2003服务器造成安全隐患。

4．注册表设置

Windows Server 2003服务器在网络中为用户提供各种服务，但用户与服务器的通信中很有可能包含“不怀好意”的访问，如黑客和病毒攻击。如何保证服务器的安全，最大限度地限制非法用户访问，通过“注册表设置”向导就能轻松实现。

利用注册表设置向导，修改Windows Server 2003服务器注册表中某些特殊的键值，来严格限制用户的访问权限。用户只要根据设置向导提示，以及服务器的服务需要，分别对“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”进行严格设置，就能最大限度保证Windows Server 2003服务器的安全运行，并且免去手工修改注册表的麻烦。

5．启用“审核策略”

聪明的网管会利用日志功能来分析服务器的运行状况，因此适当的启用审核策略是非常重要的。SCW功能也充分的考虑到这些，利用向导化的操作就能轻松启用审核策略。

在“系统审核策略”配置对话框中要合理选择审核目标，毕竟日志记录过多的事件会影响服务器的性能，因此建议用户选择“审核成功的操作”选项。当然如果有特殊需要，也可以选择其它选项。如“不审核”或“审核成功或不成功的操作”选项。

6．增强IIS安全

IIS服务器是网络中最为广泛应用的一种服务，也是Windows系统中最易受攻击的服务。如何来保证IIS服务器的安全运行，最大限度免受黑客和病毒的攻击，这也是SCW功能要解决的一个问题。利用“安全配置向导”可以轻松的增强IIS服务器的安全，保证其稳定、安全运行。

在“Internet信息服务”配置对话框中，通过配置向导，来选择你要启用的Web服务扩展、要保持的虚拟目录，以及设置匿名用户对内容文件的写权限。这样IIS服务器的安全性就大大增强。

小提示：如果你的Windows Server 2003服务器没有安装、运行IIS服务，则在SCW配置过程中不会出现IIS安全配置部分。

完成以上几步配置后，进入到保存安全策略对话框，首先在“安全策略文件名”对话框中为你配置的安全策略起个名字，最后在“应用安全策略”对话框中选择“现在应用”选项，使配置的安全策略立即生效。

利用SCW增强Windows Server 2003服务器的安全性能就这么简单，所有的参数配置都是通过向导化对话框完成的，免去了手工繁琐的配置过程，SCW功能的确是安全性和易用性有效的结合点。如果你的Windows Server 2003系统已经安装了SP1补丁包，不妨试试SCW吧！

总结六大条 Windows Server 2003 Web 服务器安全策略

上个工作是做网站服务器维护，在网上搜索了好多教程，感觉乱的很。干脆自己总结了一套Windows Server 2003服务器安全策略。绝非是网上转载的。都是经过测试的。自己感觉还行吧!欢迎大家测试，也希望与我一起交流服务器的安全问题。希望对大家有帮助！q+ k& W _“ X& V

策略一：关闭windows2003不必要的服务 0 N+ ?2 W3 T(u% A

·Computer Browser 维护网络上计算机的最新列表以及提供这个列表 * `9 h' q2 `' [& _6 T!Q, t

·Task scheduler 允许程序在指定时间运行* L-i: p3 J2 T9 X& k6 O” b* L4 {

·Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 / b% d2 e* “ r!Y _

·Removable storage 管理可移动媒体、驱动程序和库6 t& b;n)|)]8 K' l0 e8 r 0 K2 @/ x” y: b)}

·Remote Registry Service 允许远程注册表操作

·Print Spooler 将文件加载到内存中以便以后打印。

·IPSEC Policy Agent 管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序2 s2 @+ r' q2 ^5 b

·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知$ x2 * y5 s)T(g

·Com+ Event System 提供事件的自动发布到订阅COM组件* ~7 m!Q/ r& K: E* U p)u3 e' W;{9 r# G: Y5 m% O, a

·Alerter 通知选定的用户和计算机管理警报

·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 % k;j“ q% j;l)e$ ~4 L5 _# S

·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

·Telnet 允许远程用户登录到此计算机并运行程序

策略二：磁盘权限设置6 g4 ?: u(d6 G% L!@(r 6 F% z' t2 m, V, ~

C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。1 V(K)r$ F+ k# E0 g1 S0 ^

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。

# b, k+ O4 o!{.W5 n, ~

策略三：禁止 Windows 系统进行空连接7 S7 V% M” R.S x, n1 F7 q1 V: Y5 n

在注册表中找到相应的键HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，将DWORDRestrictAnonymous的键值改为1 “ ^: E* ~, R0 N, N& W4 [)?

策略四：关闭不需要的端口

本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)([3 ^& {& c.{+ Q$ Z

更改远程连接端口方法+ L* Z4 k% j0 E9 @!P* T6 h

开始-->运行-->输入regedit' G+.T;N9 m: q0 a8 q `

查找3389：0 B, _8 L0 {5 R% d4 f

请按以下步骤查找:7 v' {5 {7 a& N 6 j: E(p!_& l

1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

值

值

ServerWdsrdpwdTdstcp下的PortNumber=3389改为自宝义的端口号

;w1 v8 j2 J4 H+ Y!N

2、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumber=3389改为自宝义的端口号# t3 s% E.x, T5 C

修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。

M1 W0 M# @* R0 M” n, `

这样3389端口已经修改了，但还要重新启动主机，这样3389端口才算修改成功!如果不重新启动3389还是修改不了的!重起后下次就可以用新端口进入了!% S3 G(a4 ].E3 i7 P2 q3 w0 M: Y

禁用TCP/IP上的NETBIOS4 H;q: T5 2 e1 n

本地连接--属性--Internet协议(TCP/IP)--高级—WINS--禁用TCP/IP上的NETBIOS!}2 J!{ k-a4 i8 y

策略五：关闭默认共享的空连接$ C, P$ W.A3 ^;c* S

首先编写如下内容的批处理文件：

@echo off

net share C$ /delete% }9 ^$ l/ E/ N-z;Y

net share D$ /delete

net share E$ /delete “ N# ^!R, k, p0 @' }

net share F$ /delete+ y-M)W {){

net share admin$ /delete6 ]-k3 ]5 X8 s)Z1 m4 B & }% j/ B* d& J4 A5 i J

以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat，存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。然后在开始菜单→运行中输入gpedit.msc，回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录..w6 X6 a6 X& W

在出现的“登录 属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。

重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了，这样就能将系统安全隐患降低到最低限度。3 |1 Y/ ]3 j# X3 J

策略五：IIS安全设置(y' D* T2 I(y: h)d

1、不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。# D* Q1 X([4 P4 L-Q# : m7 B: o' R

2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。, v/ n8 _+ x' W/ P% n/ a

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。B” B8 G% I4 c.@0 y“ f” |

4、删除不必要的IIS扩展名映射。6 w9 k% T# M“ s/ j

右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、shtm、stm。7 t!$ X!x0 p!R# [0 m4 b & x.`8 N” r-f5 z* W* b6 K$ @.X

5、更改IIS日志的路径

右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

策略六：注册表相关安全设置 & R$ _6 A* P“ }6 J(^* f

1、隐藏重要文件/目录

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL” {!a: G# g;a4 K b” A-z

鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。$ ^, V/ o0 n1 `, s(H$ R8 l$ v X+ Q3 l

2、防止SYN洪水攻击' o9 |)q4 i# e& O!X

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为SynAttackProtect，值为21 W0 |: K1 ?9 v0 S(x* k;i8 w

3、禁止响应ICMP路由通告报文8 q6 T$ p2 # N e1 f0 P1 k

O* i6 p: R-P i5 Q-w

HKEY_LOCAL_MACHINESYSTEM ServicesTcpipParametersInterfacesinterface % G# k/ v* Q)n(I2 e4 m!n e

新建DWORD值，名为PerformRouterDiscovery 值为0。

4、防止ICMP重定向报文的攻击 3 S0 S1 t' e/ V& g& a

CurrentControlSet

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

将EnableICMPRedirects 值设为0 # 3 & k: ](j

5、不支持IGMP协议4 i4 {* Z& u' ^

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters ' e: _0 C-?$ C# Y

新建DWORD值，名为IGMPLevel 值为0。

策略七：组件安全设置篇

A、卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个.BAT文件执行(分2000和2003系统)!G5 c!~)C;V: `$ V/ [

windows2000.bat7 y)Z, [4 o-g4 F* r4 R

regsvr32/u C:WINNTSystem32wshom.ocx0 N1 M1 ?7 p)U: y)_/ `& J

del C:WINNTSystem32wshom.ocx/ C(R-s!|(N 7 E0 e& q+ M+ h5 Q# `

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll5 a6 x7 @% T, l.r r

windows2003.bat' g9 X;?.Y: |;Z : i.], y(i7 c8 R B1 Z2 E

regsvr32/u C:WINDOWSSystem32wshom.ocx2 x9 A8 o+ U+ n# D1 t!@9 Y4 S+ v O8 I* D

del C:WINDOWSSystem32wshom.ocx : r1 _& ~;t1 R9 E$ ]8 G

regsvr32/u C:WINDOWSsystem32shell32.dll / [9 L!m# T+ F

del C:WINDOWSsystem32shell32.dll

B、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改

【开始→运行→regedit→回车】打开注册表编辑器

然后【编辑→查找→填写Shell.application→查找下一个】 $ b* _+ ~;O!e$ V“ r$ q;q

用这个方法能找到两个注册表项：)g4 r+ _3 C5 a# I

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application。% M, Y7 V$ P4 `2 C6 y

第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。

第二步：比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 13709620-C279-11CE-A49E-444553540001$ t!w/ w6 g/ N* @

改名为

Shell.application 改名为 Shell.application_nohack)J(E!E8 P, t8 i(F$ _

第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中(双击即可)，导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

” c6 e3 A-G u6 B6 G& E+ r

其实，只要把对应注册表项导出来备份，然后直接改键名就可以了，, h8 K4 F% K.m# n$ ?% d

改好的例子

% X“ m;y' K+ h(W9 d7 T” t

建议自己改(p7 e' Y“ F5 j E# i;k 8 z9 C }6 X.p7 ~

应该可一次成功2 I3 ` x: H$ b+ n1 r& B!X+ V, q

Windows Registry Editor Version 5.004 G3 l/ c5 f0 K!m3 a& Z E” g 4 X“ r* Y6 ]' U;D2 P-Y

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]!L” I!T4 K& O-u-k.a% R# m

@=“Shell Automation Service”

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]' c9 R2 B' n: w9 e& c9 t4 ~5 k0 h

@=“C:WINNTsystem32shell32.dll” “.T1 l* N& |7 O3 k

”ThreadingModel“=”Apartment“9 m.~/ p* H8 ]&.v' ]

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID] 9 |2 V3 d0 w6 N Q3 [9 }

@=”Shell.Application_nohack.1“/ M5 W& t: `.h/ w

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}“% t7 J/ Y& G' V(t

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]& D$ {7 ]/ K# B!w: I3 c1 v2 E 9 c1 S+ d2 E* B!`8 q8 D2 d

@=”1.1“ 4 r$ M(r0 i1 K3 J)^

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID].p0 Q)c0 k1 b# f(H2 }9 M.z

@=”Shell.Application_nohack“

[HKEY_CLASSES_ROOTShell.Application_nohack] % E# }& i$ G ~;T9 t: S7 a

@=”Shell Automation Service“ ” v2 b0 x4 ?1 L;b-X

[HKEY_CLASSES_ROOTShell.Application_nohackCLSID], [/ G$ `“ f' l-j8 Z

@=”{13709620-C279-11CE-A49E-444553540001}“

[HKEY_CLASSES_ROOTShell.Application_nohackCurVer]

@=”Shell.Application_nohack.1“(x.i$ Z1 s!p

评论：+ S6 x3 n: C” f9 C' W7 H3 X , x0 p;S-c# M/ N0 N2 U“ N.`

WScript.Shell 和 Shell.application 组件是脚本入侵过程中，提升权限的重要环节，这两个组件的卸载和修改对应注册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般来说，ASP和php类脚本提升权限的功能是无法实现了，再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有非常大的提高，黑客入侵的可能性是非常低了。注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。下面是另外一种设置，大同小异。0 z5 ^-b' ~” l$ n/ q: u' H

C、禁止使用FileSystemObject组件 # S.{/ F;|$ c$ J' W)h/ w, i

FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。1 ^% N4 W& L1 U)S6 p!l

HKEY_CLASSES_ROOTScripting.FileSystemObject$ `!L.G& I.m& _-K' E# { _ 3 F4 O3 g0 b9 q: {.C0 V% C+ F5 e0 g)k

改名为其它的名字，如：改为 FileSystemObject_ChangeName;B2 U: ]“ z;? ?

自己以后调用的时候使用这个就可以正常调用此组件了-^' W9 R2 ?' M.Q-X# s7 b% o)e!d/ o' p

也要将clsid值也改一下3 h/ B5 Y;q1 o)K5 d(?& p2 S

f, s;t1 [2 ^7 A

HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值3 w7 w)d+ l/ M: i9 g 7 C$ @.F.]+ [# t(G8 |(I

也可以将其删除，来防止此类木马的危害。-^/ H+ U7 O& }# v4 a;B

2000注销此组件命令：RegSrv32 /u C:WINNTSYSTEMscrrun.dll!y+ j5 [4 n+ T8 i

2003注销此组件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll3 S)d5 A)+ W* [%-e2 W 5 D!P F1 U: R+ h5 O1 L

如何禁止Guest用户使用scrrun.dll来防止调用此组件?* H$ x N4 x8 W(X4 N1 g

使用这个命令：cacls C:WINNTsystem32scrrun.dll /e /d guests3 O% l.{# y# F# [* P, Q” N;t;o7 O.m4 ~0 Z:

D、禁止使用WScript.Shell组件5 l;k1 l& e' Z' A

WScript.Shell可以调用系统内核运行DOS基本命令5 z Z' v(]# G3 ^(_& B-U

可以通过修改注册表，将此组件改名，来防止此类木马的危害。“ }& x/ u b: C% y

HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1;z” C8 a* G5 y% y$ y* L7 r.y1 J5 B“ J8 X

改名为其它的名字，如：改为WScript.Shell.1_ChangeName 4 m8 m!U, L-P

WScript.Shell_ChangeName 或

自己以后调用的时候使用这个就可以正常调用此组件了 * b3 l# o# , {$ z0 }

也要将clsid值也改一下 & ^' ^: v6 w!{(v1 {# c

HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值 : D1 E” P1 W0 V& };_1 o

HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值;d' _7 ].~7 X& I7 k

也可以将其删除，来防止此类木马的危害。+ Z+ A# V* i% r-K% ~

E、禁止使用Shell.Application组件“ `!R-E t2 g3 L / B& e# c3 Y* x+ i

Shell.Application可以调用系统内核运行DOS基本命令.W% |8 ?5 ]9 q 2 J' J.k;d4 I& B6 g+ x$ |7 G

可以通过修改注册表，将此组件改名，来防止此类木马的危害。” G3 x.F;b!_# })@+ e' z

HKEY_CLASSES_ROOTShell.Application及

HKEY_CLASSES_ROOTShell.Application.1 , T!m!{1 Z“ r: m# V

改名为其它的名字，如：改为Shell.Application.1_ChangeName 8 T# A.W, k;B([(};K

Shell.Application_ChangeName 或

自己以后调用的时候使用这个就可以正常调用此组件了& t* `$ D/ F.C% ^

也要将clsid值也改一下

^5 n;S6 V/ T* T3 C” Z4 V

HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 8 f5 M5 t ~& u* R!j

HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值)o3 l1 q% B' S7 ~8 X+ x: z/ U!1 m9 @!U9 m2 S: e7 r

也可以将其删除，来防止此类木马的危害。)v/ V8 F(k D-F $ J!a;F& I c1 v;S8 a

禁止Guest用户使用shell32.dll来防止调用此组件。!C3 ^: j y' O8 S3 S* x

2000使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests2 l(N8 D% d5 J/ f$ w3 }

2003使用命令：cacls C:WINDOWSsystem32shell32.dll /e /d guests% f5 T!Y0 C!G* L“ O(E” l X6 @$ K# E)y$ J-P

注：操作均需要重新启动WEB服务后才会生效。

F、调用Cmd.exe

禁用Guests组用户调用cmd.exe

2000使用命令：cacls C:WINNTsystem32Cmd.exe /e /d guests4 # q0 a# w' i6 ?1 Z

2003使用命令：cacls C:WINDOWSsystem32Cmd.exe /e /d guests)t N9 x* ^-S“ [3 r(E n” U4 q, F 7 G5 c* R8 o# Y)B: g

通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。3

第四篇：服务器管理员辞职报告

服务器管理员辞职报告范文

尊敬的刘总：

您好！

在您如此繁忙的时候，给您写这份申请，提出辞职，实属不该，但我清楚地记得自己的理想和抱负，记得对自己的承诺，所以经过慎重的考虑我决定辞去现有的职务，离开贵公司。希望您在百忙之中能够审阅我的申请，并批准。

进公司已经三个月有余了，在公司的这些时间我学到了很多东西，同事们都很照顾我。不管是在技术上的还是为人处事，都让我受益非浅。公司的整体实力特别好这让我很是钦佩，尤其是市场部员工业务能力特别强，使公司一直处于一个非常良好的运营状态。我很感激公司能给我一个这样的学习和实践的机会！

虽然现在在公司我已经能独立做各个项目，但是我感觉我还差很多，需要不停的学习需要接触更多的东西。也许是人各有志吧，我感觉我会的东西与公司现实所用的有点格格不入。我比较擅长做liunx的服务器管理维护，熟悉各种网络协议，精通sql脚本，还有网络工程相关的技能。但是这一切并不能得到很好的运用，所以我决定找一个合适自己的平台去发展，这样也不会耽误公司创造更好的效益。

我的理念是做一切不可能的事，用实力来完成自己的梦想，现在的工作真的让我不能照顾自己，我希望领导准许我换一个工作环境。交接工作可能需要一段时间，但是我希望在2011年11月初期能完成工作的交接，希望领导能理解.在未离开岗位之前，请领导正常分配我的工作，我一定会尽自己的职，做好应该做的事。如果因为我的离职而给公司造成的不便，我只能深表歉意和遗憾。同时感谢刘总给予我的宝贵学习机会，我会好好铭记！望领导批准我的申请，并请协助办理相关离职手续，在正式离开之前我会继续认真做好目前的每一项工作。

祝您身体健康，并且希望公司的事业能蓬勃发展。

申请人：

第五篇：Web服务器实验3报告

操作系统实验报告三

姓名：陈玉博

学号：2011011207

日期：2013-11-24

【实验内容】：设计一段内存结构，能够缓存一定数量的网页，在客户端访问时，首先从内存中查找是否存在客户端访问的网页内容，如果存在，则直接从内存中将相应的内容返回给客户端；如果不存在，则从磁盘中将网页内容读入到内存，并返回给客户端。【实验思路】：客户端连接之后，在线程的处理函数handle()函数中，从内存中查找相应的网页内容，发送至客户端。如果在内存中找不到，则通过调用store()函数从磁盘中读取该网页到内存，当内存中的网页个数大于100的时候，通过某种算法从内存中移除某个网页，然后重新存入新的网页。在主函数中，连接成功以后调用handle()函数，然后在handle()函数中，如果找不到请求的网页，则调用store()函数。【主要代码及注释】----main函数：

void main(int argc, _TCHAR* argv[]){ //声明处理函数，作为QueueUserWorkItem的一个参数

DWORD WINAPI handle(void *);//初始化WinSock库

WORD wVersionRequested;WSADATA wsaData;

wVersionRequested = MAKEWORD(2, 2);

int wsaret=WSAStartup(wVersionRequested,&wsaData);if(wsaret)

return;//创建SOCKET

SOCKET socketSrv;

socketSrv=socket(AF_INET,SOCK_STREAM,0);if(socketSrv==INVALID_SOCKET)

return;SOCKADDR_IN addrSrv;addrSrv.sin_addr.S_un.S_addr=htonl(INADDR_ANY);addrSrv.sin_family=AF_INET;addrSrv.sin_port=htons(87);

//绑定套接字

if(bind(socketSrv,(struct sockaddr*)&addrSrv,sizeof(SOCKADDR))){ //关闭连接

shutdown(socketSrv,1);closesocket(socketSrv);

WSACleanup();return;} //等待客户端连接

SOCKADDR_IN addrCli;int len=sizeof(SOCKADDR);//监听端口

if(listen(socketSrv,5)==SOCKET_ERROR){ printf(“监听失败!n”);} while(true){ //接受连接

SOCKET socketconn= accept(socketSrv,(SOCKADDR*)&addrCli, &len);

if(socketconn==SOCKET_ERROR)

{

cout<<“接受连接失败！”;

return;

}

cout<<“连接成功”<

shutdown(socketSrv,1);closesocket(socketSrv);

WSACleanup();return;}----handle函数：

DWORD WINAPI handle(void *para){ //声明store函数，用来从磁盘中读取网页内容到内存

void store(string);SOCKET socketconn=(SOCKET)para;//连接成功后与客户端进行会话 char recvBuff[1024];string sendBuff;

string locDir;ifstream fp;//接收请求

if(recv(socketconn,recvBuff,1024,0)==SOCKET_ERROR)return 0;//读取http请求头

string recvBuffer=recvBuff;int posGet=recvBuffer.find(“GET”,0);int posHttp=recvBuffer.find(“HTTP”,0);for(int pos=posGet+4;pos

locDir.push_back('');

continue;} locDir.push_back(recvBuffer[pos]);} int len=locDir.length();//截取网页的文件名

string ine_str=locDir.substr(1,len-2);//从内存中获得该网页的内容

string allcontent=webhtml[ine_str];//如果在内存中找不到，则再从磁盘中把网页读入内存，然后再从内存中查找 if(allcontent==“"){ //调用store函数，从磁盘中重新读取网页内容 store(ine_str);//重新从内存中读取网页内容

allcontent=webhtml[ine_str];} //将读取的内容追加入sendBuff中 sendBuff.append(allcontent);fp.close();//响应请求，将页面信息发送到客户端

if(send(socketconn,sendBuff.c_str(),sendBuff.length(),0)==SOCKET_ERROR){

cout<<”传送文件错误！“;

return 0;} shutdown(socketconn,1);closesocket(socketconn);//关闭连接

return 0;}----Store()函数：

void store(string ine_str){

//如果内存中的网页个数大于100个，则把第一个移除

if(webhtml.size()>100){ map::iterator Iter=webhtml.begin();webhtml.erase(Iter);} string allchars=”“;//一个网页中所有的字符

char buffer[1024*10];//每次读取1024个字节到缓存 ifstream fp;//文件流

fp.open((loc_webpage+ine_str).c_str(),std::ios::binary);//打开指定文件 if(fp.fail())cout<<”存储文件失败！"<

fp.getline(buffer,1024*10);//从文件中读取1024个字节到缓冲区里面

allchars.append(buffer);//把缓存中的字节加到allchars后面

buffer[0]='';} } webhtml[ine_str]=allchars;//存储网页名字和内容，保存到内存中

fp.close();} 【运行结果】

----->客户端未请求之前

---->客户端发出请求（输入相应网址）

---->服务器端显示连接成功

客户端显示出网页内容

【出现问题】：当程序第一次执行主函数的while(true)的时候，输出“连接成功”后直接跳过QueueUserWorkItem()函数，即不执行此函数；但是当第二次执行while(true)循环的时候，却进入了QueueUserWorkItem()函数。出现的现象是第一次把网页内容送到客户端之前，显示两个”连接成功”。【原因及解决方法】：在错误的程序中，sockconn是在while(true)循环外面定义的，即执行所有的while(true)循环都是一个sockconn，这就导致了不同的客户端请求使用同一个sockconn的现象，所以出现了上面的错误。在每次的while(true)循环中都定义一个新的sockconn即可解决此问题。

【实验心得】在此次实验中，虽然编写的代码不多，但是有很多细节需要注意到。比如说空格问题，当截取网页的名称时就出现了多余空格的现象：不管我在客户端输入什么请求，服务器都不会返回内容给客户端。当我调试程序的时候才发现，每次截取网页名字的时候都会在字符串后面多余一个空格，这就导致了没有任何网页名字与之对应，所以服务器不会返回任何内容给客户端。空格问题是大问题，我已经深受其害两次了。