Windows 2003系統權限與安全配置

Windows 2003系統權限與安全配置，系統權限設置與安全配置的實際操作階段

系統設置網上有一句話是“最小的權限+最少的服務=最大的安全”。此句基本上是個人都看過，但我好像

沒有看到過一篇講的比較詳細稍具全面的文章，下面就以我個人經驗作一次教學嘗試！

最小的權限如何實現？

NTFS系統權限設置 在使用之前將每個硬盤根加上 Administrators 用戶為全部權限(可選加入SYSTEM用戶)

刪除其它用戶，進入系統盤:權限如下

C:\WINDOWS Administrators SYSTEM用戶全部權限 Users 用戶默認權限不作修改

其它目錄刪除Everyone用戶，切記C:\Documents and Settings下All Users\Default User目錄及其子目錄

如C:\Documents and Settings\All Users\Application Data 目錄默認配置保留了Everyone用戶權限

C:\WINDOWS 目錄下面的權限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone權限.

刪除C:\WINDOWS\Web\printers目錄，此目錄的存在會造成IIS裡加入一個.printers的擴展名，可溢出攻擊

默認IIS錯誤頁面已基本上沒多少人使用了。建議刪除C:\WINDOWS\Help\iisHelp目錄

刪除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目錄為管理IIS密碼之用，如一些因密碼不同步造成500

錯誤的時候使用 OWA 或 Iisadmpwd 修改同步密碼，但在這裡可以刪掉，下面講到的設置將會杜絕因系統

設置造成的密碼不同步問題。

打開C:\Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;

regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;

ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

修改權限，刪除所有的用戶只保存Administrators 和SYSTEM為所有權限

關閉445端口

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

新建 “DWORD值”值名為 “SMBDeviceEnabled” 數據為默認值“0”

禁止建立空連接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建 “DWORD值”值名為 “RestrictAnonymous” 數據值為“1” [2003默認為1]

禁止系統自動啟動服務器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名為 “AutoShareServer” 數據值為“0”

禁止系統自動啟動管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名為 “AutoShareWks” 數據值為“0”

通過修改注冊表