windows 2003安全配置问题

    指派和应用IPsec安全策略
    1、缺省情况下，任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派，在本地安全策略MMC中，右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略，选择"指派。

    2、立即刷新组策略，使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略。
    通过以上方法融会贯通可以关闭自己本机不需要的端口，至于哪些是高危，在这里就不用我说了吧。

   第三、检测服务器
    在这里服务器本身的安全设置基本完成一半了，大家可以使用流光或者X-SAN 等扫描软件在其他机器上对服务器进行扫描看看还有哪些方面有问题，正常来说2003本身安全性就比较高，应该是没问题了，如果条件不允许没有以上骇客软件的话也可登录天网防火墙的官方网站上面有在线端口扫描，可以帮助你检测下自己的服务器。

    第四、IIS方面
     WINDOWS2003的系统使用IIS 6.0的默认的安全已经很不错了，在安装IIS的时候不推荐开始--控制面板--安装删除程序-系统组件安装，不推荐以上，2003里面有一个管理你的服务器用那个安装相对比较好适用新手，因为你每安装一步都会有相应的说明，不需要的服务就别装，IIS的基本设置就不用说了吧应该都会吧网上的文章满天飞，不用的扩展删除。

    第五、WEB设置
    提到这个WEB就头痛哈，最容易出问题的地方，上传、注入，等等到处都是，面对众多的ASP 、PHP 、JSP等等后门木马我们怎么办，尤其大型网站诸多版块要是你去一个一个测试那可是长期的工作了，上传漏洞多数因为网站程序本身对后缀的过滤不严格，注入一般是因为网站程序的字符过滤问题，在这里笔者着重于说明的是如何配置安全服务器，对于网站程序本身的漏洞就不解释了，笔者也不专业，笔者用了一款比较流行的ASP后门做的测试，相对相对设置如下：

   首先设置：所有盘、windows、Documents and Settings、Program Files 等只允许系统管理员用户访问，其他删除，这样就可以防止ASP木马浏览你的系统盘了，（系统盘为NTFS）也可以单独建立一个用户，此用户设置权限为最低，然后指派给此用户专门就给WEB单独工作。

    一、禁用服务里面workstation 服务，可以防止列出用户和服务。

    二、使用WScript.Shell组件
    WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表，将此组件改名，来防止此类木马的危害。将注册表下的HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\ 改名为其它的名字，如：改为WScript.Shell_ChangeName或 WScript.Shell.1_ChangeName。自己以后调用的时候使用这个就可以正常调用此组件了，同时也要将clsid值也改动 HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 ，HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值，并禁止使用Guest用户使用shell32.dll来防止调用此组件。使用命令：regsvr32 WSHom.Ocx /u也可以将其删除，来防止此类木马的危害。   三、使用Shell.Application组件
    由于Shell.Application可以调用系统内核运行DOS基本命令 ，这里可以通过修改注册表HKEY_CLASSES_ROOT\Shell.Application\ 及 HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字，如：改为Shell.Application_ChangeName或 Shell.Application.1_ChangeName来防止此类木马的危害。同时要将也要将clsid值也改一下，即HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值，HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值，这里也可以将其删除，来防止此类木马的危害。并禁止Guest用户使用shell32.dll来防止调用此组件， 使用命令：cacls C:\WINNT\system32\shell32.dll /e /d  guests
    注：操作均需要重新启动WEB服务后才会生效。

    四、调用Cmd.exe
    禁用Guests组用户调用cmd.exe，命令为cacls C:\WINNT\system32\Cmd.exe /e /d guests， 最后设置上传存放上传文件的文件夹禁止运行ASP，例外：如果服务器安装S U FTP工具千万要安装6.0以上版本修改默认密码防止提权，FTP、SA、等密码一定要设得复杂些，目前很多人都设置为“默认”。

    由于我们设置该文件夹禁止运行ASP， 如果对方通过WBE漏洞想利用上传ASP文件进入的话，那是无用的，这里假设对方通过某种手段运行了ASP后门，那么管理人员也可以在了解一ASP后门的基本功后能，采用相对的应付方法即可防范，如下：

    1、查看系统盘符：设置了USERS组无法访问或使用的专门用户没有权限。
    2、查看Documents and Settings、Program Files 文件夹：设置无权限。
    3、列用户组与进程：禁用了workstation 服务。
    4、调用CMD：设置USERS用户组没有权限调用行为。
    5、调用WScript.Shell与Shell.Application ：删除或者进行修改。
    6、S U提权：改动密码。
    大体就这些以上几种我们都相对设置了应付方案，在WEB方面既可保证相对的服务器安全。

    总结：网络安全是不容忽视的，不要等到事情发生之后才去补救，同样网络安全是无极限的，技术的比拼就是一场没有硝烟的战争。有句话很经典：在网络中只有相对的安全没有绝对的安全，要想打好一场战争就要知己知彼，只有在了解了入侵手法后才能做的更好的防范。