windows 2003 的一些基本安全设置

Windows Server 2003 安全设置攻略！
系统安全设置网上有一句话是“最小的权限+最少的服务=最大的安全”。

最小的权限如何实现？

NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)
删除其它用户，进入系统盘:权限如下
C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改
其它目录删除Everyone用户，切记C:\Documents and Settings下All Users\Default User目录及其子目录
如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限

C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.

删除C:\WINDOWS\Web\printers目录，此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出***

默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录

删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录为管理IIS密码之用，如一些因密码不同步造成500

错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将会杜绝因系统

设置造成的密码不同步问题。

打开C:\Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;

regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;

ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限

关闭445端口

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”

禁止建立空连接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]

禁止系统自动启动服务器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

禁止系统自动启动管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”

通过修改注册表防止小规模DDOS***

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”

禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给***提供一些敏感

信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。

关闭华医生Dr.Watson

在开始-运行中输入“drwtsn32”，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，调出系统

里的华医生Dr.Watson ，只保留“转储全部线程上下文”选项，否则一旦程序出错，硬盘会读很久，并占

用大量空间。如果以前有此情况，请查找user.dmp文件，删除后可节省几十MB空间。

本地安全策略配置

开始 > 程序 > 管理工具 > 本地安全策略

账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期，上面我讲到不会造成IIS密码不同步]

账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]

本地策略 > 审核策略 >

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为'已启用'

> 不显示上次的用户名 更改为'已启用'

> 不需要按CTRL+ALT+DEL 更改为'已启用'

> 不允许 SAM 账户的匿名枚举 更改为'已启用'

> 不允许 SAM 账户和共享的匿名枚举 更改为'已启用'

> 重命名来宾账户 更改成一个复杂的账户名

> 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]

组策略编辑器

运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用

删除不安全组件

WScript.Shell 、Shell.application 这两个组件一般一些ASP***或一些恶意程序都会使用到。

方案一：

regsvr32 /u wshom.ocx 卸载WScript.Shell 组件

regsvr32 /u shell32.dll 卸载Shell.application 组件

如果按照上面讲到的设置，可不必删除这两个文件

方案二：

删除注册表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell

删除注册表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application

用户管理

建立另一个备用管理员账号，防止特殊情况发生。

安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号

用户组说明

在将来要使用到的IIS中，IIS用户一般使用Guests组，也可以再重新建立一个独立的专供IIS使用的组，但

要将这个组赋予C:\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录，太小家子气。

一、优化启动设置
1.禁用关机事件跟踪
开始-运行-gpedit.msc-计算机配置-管理模板-系统-显示关机事件跟踪-禁用。

2. 禁用开机 CTRL+ALT+DEL和实现自动登陆
方法1：打开注册表:
HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段，在此
项按右键，新建二个字符串值，AutoAdminLogon=1，
DefaultPassword=“为超级用户Administrator所设置的Password”。
注意，一定要为Administrator设置一个密码，否则不能实现自启动。 然后，重新启?
疻indows即可实现自动登录。

方法2：管理工具-本地安全策略-本地策略-安全选项-interactive logon: Do not require
CTRL+ALT+DEL，启用之。

3.我的电脑-属性-高级-启动和故障修复，点错误报告，选择“禁用错误汇报、但在发生
严重错误时通知我”；

4.去掉将事件写入系统日志、发送管理警报、自动重新启动等选项，将写入调试信
息设置为无；

5.点击编辑，在弹出记事本文件中:

　　[Operating Systems]

　　timeout=30　//把缺省时间 30 秒改为 0 秒

　　multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows server 2003
rofessional" /fastdetect　//把缺省 fastdetect 改为 nodetect

二、关闭华医生Dr.Watson

　　在开始-运行中输入“drwtsn32”，或者开始-程序-附件-系统工具-系统信息-工具-Dr
Watson，调出系统里的华医生Dr.Watson ，只保留“转储全部线程上下文”选项，否则一旦程
序出错，硬盘会读很久，并占用大量空间。如果以前有此情况，请查找user.dmp文件，删除后
可节省几十MB空间。

三、高级设置
1、加快开机及关机速度
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management\PrefetchParameters，右边键值EnablePrefetcher，它的值是3,改为1或5。
找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\ControlWaitToKillServiceTimeout
设为：1000或更小。 ( 原设定值：20000 )
找到 HKEY_CURRENT_USER\Control Panel\Desktop，将waitToKillAppTimeout 改为 1000，
( 原设定值：20000 )即关闭程序时仅等待1秒。将 HungAppTimeout 值改为：200( 原设定值
：5000 )， 表示程序出错时等待0.5秒。

　　2、自动关闭停止响应程序

　　HKEY_CURRENT_USER-Control Panel-Desktop，将字符串值AutoEndTasks的数值数据改为1。

　　 3、加快菜单显示速度

　　HKEY_CURRENT_USER]-Control Panel-Desktop，将字符串值MenuShowDelay的数值数据改
为0，调整后如觉得菜单显示速度太快而不适应者可将MenuShowDelay的数值数据更改为200，
重新启动即可(若无此字符串不可增加，一加就出问题)。

　　4、关机时自动关闭停止响应程序

　　HKEY_USERS]-.DEFAULT-Control Panel-Desktop,右面窗口将AutoEndTasks的数值数据改
为1，注销或重新启动。
5、加快窗口显示速度：HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子
键分支，在右边的窗口中找到MinAniMate键值，其类型为REG_SZ，默认情况下此健值的值为1
，表示打开窗口显示的动画，把它改为0，则禁止动画的显示,注销生效。

　　6、禁止Dr.Watson的运行：
HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug子键分
支，双击在它下面的Auto键值名称，将其“数值数据”改为0，刷新生效。

7.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现：
在IE工具选项中将安全级别设置为中或中低。自定义设置中将有关的选择提示修改为禁
止或启用。

8.启用硬件和DirectX加速
桌面点击右键-属性-设置-高级-疑难解答，把该页面的硬件加速滚动条拉到完全，点击
确定退出。这期间可能出现一瞬的黑屏属正常现象。

9.DirectX加速：开始-运行键入dxdiag打开“DirectX 诊断工具”，在“显示”页面，
点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速
级别”（ardware Sound Acceleration Level）滚动条拉到“完全加速”（ Full
Acceleration）。

10.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务 如有此类设备可在服务中把IMAPI CD-Burning COM Service设为自动。

11.如有如数码相机和扫描仪之类的影像设备，应该打开Windows Image Acquisition 服
务。

12.禁用系统服务Qos
开始-运行，键入 gpedit.msc ，出现“组策略”窗口， 展开管理模板-网络，展开QoS 数据
包调度程序，在右边窗右键单击**可保留带宽 ，在属性中的设置中有**可保留带宽 ，选
择已禁用，确定即可。

13.禁止Windows XP的压缩功能：
开始-运行，输入“regsvr32 /u zipfldr.dll”，确定。

14.加速共享：
HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\CurrentVersion\Explorer
\RemoteComputer\NameSpace。
在这里面，应该有个{D6277990-4C6A-11CF- 87-00AA0060F5BF}键。只需把它删掉，重新启动
计算机。

四、服务设置：
Alerter 禁用
Application Layer Gateway Service 禁用
Application Management 手动
Automatic Updates 禁用
Background Intelligent Transfer Service 禁用
ClipBook 禁用
COM+ Event System 手动
COM+ System Application 手动
Computer Browser 禁用
Cryptographic Services 禁用
DHCP Client 手动
Distributed Link Tracking Client 禁用
Distributed Transaction Coordinator 禁用
DNS Client 手动
Error Reporting Service 禁用
Event Log 自动
Fast User Switching Compatibility 手动
File Replication 手动
Help and Support 禁用
HTTP SSL 手动
Human Interface Device Access 禁用
IMAPI CD-Burning COM Service 禁用
Indexing Service 禁用
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 禁用
Intersite Messaging 禁用
IPSEC Services 禁用
Kerberos Key Distribution Center 禁用
License Logging 禁用
Logical Disk Manager 手动
Logical Disk Manager Administrative Service 手动
Messenger 禁用
Microsoft Software Shadow Copy Provider 禁用
Net Logon 禁用
NetMeeting Remote Desktop Sharing 禁用
Network Connections 手动
Network DDE 禁用
Network DDE DSDM 禁用
Network Location Awareness (NLA) 禁用
NT LM Security Support Provider 禁用
Performance Logs and Alerts 禁用
Plug and Play 自动
Portable Media Serial Number 禁用
Print Spooler 禁用
Protected Storage 自动
QoS RSVP 禁用
Remote Access Auto Connection Manager 手动
Remote Access Connection Manager 手动
Remote Desktop Help Session Manager 禁用
Remote Procedure Call (RPC) 自动
Remote Procedure Call (RPC) Locator 禁用
Remote Registry 禁用
Removable Storage 手动
Resultant Set of Policy Provider 手动
Routing and Remote Access 禁用
Secondary Logon 禁用
Security Accounts Manager 手动
Server 禁用
Shell Hardware Detection 手动
Smart Card 禁用
Smart Card Helper 禁用
Special Administration Console Helper 禁用
SSDP Discovery Service 禁用
System Event Notification 自动
System Restore Service 禁用
Task Scheduler 禁用
TCP/IP NetBIOS Helper 禁用
Telephony 手动
Telnet 禁用
Terminal Services 自动
Themes 自动
Uninterruptible Power Supply 禁用
Universal Plug and Play Device Host 禁用
Upload Mandger 手动
Virtual Disk Service 手动
Volume Shadow Copy 禁用
WebClient 禁用
Windows Audio 自动
Windows Image Acquisition(WIA) 禁用
Windows Installer 手动
Windows Management Instrumentation(WMI) 自动
Windows Management Instrumentation Driver Extensions 手动
Windows Time 禁用
WinHTTP Web Proxy Auto-Discovery Service 手动
Wireless Configuration 禁用
Wireless Zero Configuration 禁用
WMI Performance Adapter 禁用
Workstation 禁用