刘伟国

(中国联通鸡西分公司，黑龙江 鸡西 158100)

windows2003服务器安全设置问题研究

刘伟国

(中国联通鸡西分公司，黑龙江 鸡西 158100)

网络安全问题越来越严重，Windows Server 2003系统作为常用的服务器系统，其操作系统安装与更新，系统管理员帐号，磁盘访问权限，系统帐号数据库，组件与服务，网络连接等问题需深入研究，以此来降低安全隐患。

windows2003；安全设置；NTFS 目录权限

随着网络的发展，网上应用种类越来越多，但是在满足人们工作、生活和娱乐的同时，网络安全问题也越来越严重，Windows Server 2003系统作为常用的服务器系统，可以提供支持ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、MsSqlSMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等等，所以windows2003服务器安全设置就显得尤为重要。

一 操作系统的安装与更新

在安装Windows Server 2003操作系统时，为提高系统安全，建议采用NTFS文件系统来格式化分区，并且用最小化方式安装，只安装网络服务所必需的组件。在安装之前把网络断开，当产生新的服务需求时，再安装相应的服务组件，并及时进行安全设置，安装完成后要第一时间更新系统补丁。如有可能，尽量安装英文版本的操作系统。因为微软公司总是最先发布英文版本的补丁，中文版本的补丁相对滞后一段时间。WindowsServer2003常见的版本有:standard，enterprises，datacenter。

二 系统管理员帐号

Windows2003里，用户被分成许多组，不同的用户(用户组)管理着相应的服务或目录，具有相同权限的用户通常被划分到同一个用户组当中，同一个组的用户和用户之间也可以有不同的权限。

Administrators(管理员组)，默认情况下有不受限制的最高权限。系统的管理员(administrator)就在这个组当中，该组中的用户具有对整个系统进行完全控制的权限。

Power Users(高级用户组)，这个组的权限是仅次于管理员组(Administrtors),组的成员可以修改整个计算机的设置。

Users:普通用户组，这个组的用户默认只有读取，列出文件和目录，写入权限三种权限，没有运行和完全控制权限，所以这个组的用户不能修改系统注册表设置、操作系统文件或程序文件和操作系统的设置或用户资料。

Guests(来宾组)，这个组的用户和Users组有同等访问权限，但它的限制更多，如IIS的访问用户就是这个组的成员。

Everyone(所有的用户)，是指服务器上的每一个用户，当权限受限时，就可以给这个用户组赋予相应的权限，但一般情况下不要这么做，尤其是对外提供web或数据库服务的机器，这样做就失去了用户权限分配的意义，而且会给服务器带来巨大的安全隐患。

总之，有高权限的用户可以对低权限的用户进行操作，而低权限的用户无法对高权限的用户进行任何操作，但如果低权限的用户获得了高权限用户的授权，就可以访问NTFS卷上高权限用户资料了。

在系统安装完成后，首先将administrator改名,如：改为root，其次要取消所有除管理员root外所有用户属性中的“远程控制-gt;启用远程控制”以及“终端服务配置文件-gt;允许登陆到终端服务器”第三要将guest改名为administrator并且修改密码，因为当攻击者在入侵系统时会首先尝试取得管理员administratord口令，这样做即便攻击者在取得名为administrator的用户权限时，也只是拥有guest用户权限，不会对系统产生更大的破坏。第四如果不提供特殊服务，除了管理员root,IUSER以及IWAM以及ASPNET用户外，禁用其他一切用户，包括SQL DEBUG以及TERMINAL USER等。

三 磁盘访问权限

磁盘分区分为NTFS、FAT、FAT32。

NTFS (New Technology File System)，使用NTFS文件系统的分区能提供长文件名、数据保护和恢复，Windows2003系统的不同用户分配相关权限是通过NTFS文件系统实现的。

NTFS卷下的一个目录有七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特别的权限。NTFS文件系统就是这样通过目录和文件的许可实现安全性的。

系统的目录权限具体设置。

1.将所有盘符的权限，全部改为只有administrators组全部权限；system全部权限。

2.将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限。

3.Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。C:/Documents and Settings/这里相当重要，后面的目录里的权限不会继承C盘的设置，在All Users/Application Data目录下还会出现everyone，用户有完全控制权限，这一点一定要单独设定，否则攻击者在这里写入脚本或只读文件，再结合其他漏洞来提升权限，也是很危险的。当然也可以使用更严格的权限，如在WINDOWS下分别目录设置权限，但比较复杂，效果也并不明显。以上的设置基本可以保证系统的安全。

四 系统帐号数据库

系统帐号数据库的位置在C盘——windows——repair——sam中。Syskey可对密码进行二次加密，并删除sam，保证系统帐号数据库的安全。

五 组件与服务

将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。

按照所需要的服务开放响应的端口，把不必要的服务都禁止掉。

如果服务器不需要FSO

regsvr32 /u c:windowssystem32;Founderscrrun.dll

注销组件

使用regedit

将/HKEY_CLASSES_ROOT下的

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

键值改名或删除

将这些键值下CLSID中包含的字串

如{72C24DD5-D70A-438B-8A42-98424B88

AFB8}

到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值全部删除。

关闭如下服务

Computer Browser

Help and Support

Messenger

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

如果服务器不用作域控,我们也可以禁用Workstation

尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

六 网络连接

在“网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议(TCP/IP)，由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里—“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。在高级选项里，使用“Internet连接防火墙”，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

在2003系统里，不推荐用TCP/IP筛选里的端口过滤功能，譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好地解决这个问题，所以不推荐使用网卡的TCP/IP过滤功能。

如果提供IIS和虚拟机服务，要为每个独立客户,建立一个windows用户，然后在IIS响应的站点项内把IIS执行的匿名用户绑定成这个用户。提供数据库服务要删除所有危险的扩展，并且定时备份关键数据。

经过上述相应的设置后服务器就有了基本的安全设置，大大地降低了安全隐患，如果再配合杀毒软件使用，就可以满足我们的日常服务需求了。

ClassNo.:TP316.7DocumentMark：A

(责任编辑：郑英玲)

StudyofSettingupaWindows2003ServerSafely

Liu Weiguo

(Jixi Branch of China Unicom,Jixi, Heilongjiang 158100，China)

The problem of network security has becomes more and more serious, Windows Server 2003 as the common server system is used in which the installation and update the system of operating system the system ,the administrator account, the disk access, the system account database, the components and services should be all studied carefully in order to reduce the potential safety hazards.

Windows2003; security settings; NTFS directory permissions

刘伟国，工程师，中国联通鸡西分公司。

1672-6758(2013)08-0063-2

TP316.7

A