分享設(shè)置win2003防木馬權(quán)限經(jīng)驗(yàn)

　　“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。 由于這種病毒的厲害性，為此，網(wǎng)上出現(xiàn)很多關(guān)于防木馬病毒的文章，今天小編就整理了一些好的windows 2003下防木馬權(quán)限設(shè)置的方法。

　　一、系統(tǒng)的安裝

　　1、按照Windows2003安裝光盤的提示安裝，默認(rèn)情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。

　　2、IIS6.0的安裝

　　開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件

　　應(yīng)用程序 ———ASP.NET(可選)

　　|——啟用網(wǎng)絡(luò) COM+ 訪問(必選)

　　|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(必選)

　　|——公用文件(必選)

　　|——萬維網(wǎng)服務(wù)———Active Server pages(必選)

　　|——Internet 數(shù)據(jù)連接器(可選)

　　|——WebDAV 發(fā)布(可選)

　　|——萬維網(wǎng)服務(wù)(必選)

　　|——在服務(wù)器端的包含文件(可選)

　　然后點(diǎn)擊確定—>下一步安裝。(具體見本文附件1)

　　3、系統(tǒng)補(bǔ)丁的更新

　　點(diǎn)擊開始菜單—>所有程序—>Windows Update

　　按照提示進(jìn)行補(bǔ)丁的安裝。

　　4、備份系統(tǒng)

　　用Ghost備份系統(tǒng)。

　　5、安裝常用的軟件

　　例如：殺毒軟件、解壓縮軟件等;安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用Ghost再次備份系統(tǒng)。

　　6、先關(guān)閉不需要的端口 開啟防火墻 導(dǎo)入IPSEC策略

　　在”網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的 Internet協(xié)議(TCP/IP)，由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里--"NetBIOS"設(shè)置 "禁用tcp/IP上的NetBIOS(S)"。在高級(jí)選項(xiàng)里，使用"Internet連接防火墻"，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達(dá)到了一個(gè)IPSec的功能。

　　修改3389遠(yuǎn)程連接端口

　　修改注冊(cè)表.

　　開始--運(yùn)行--regedit

　　依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/

　　TERMINAL SERVER/WDS/RDPWD/TDS/TCP

　　右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 )

　　HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

　　WINSTATIONS/RDP-TCP/

　　右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 )

　　注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口

　　修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效.

　　二、用戶安全設(shè)置

　　1、禁用Guest賬號(hào)

　　在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長(zhǎng)字符串，然后把它作為Guest用戶的密碼拷進(jìn)去。

　　2、限制不必要的用戶

　　去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。 3、把系統(tǒng)Administrator賬號(hào)改名

　　大家都知道，windows 2003 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。

　　4、創(chuàng)建一個(gè)陷阱用戶

　　什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。

　　5、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶

　　任何時(shí)候都不要把共享文件的用戶設(shè)置成“Everyone”組，包括打印共享，默認(rèn)的屬性就是“Everyone”組的，一定不要忘了改。

　　6、開啟用戶策略

　　使用用戶策略，分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘，用戶鎖定時(shí)間為20分鐘，用戶鎖定閾值為3次。 (該項(xiàng)為可選)

　　7、不讓系統(tǒng)顯示上次登錄的用戶名

　　默認(rèn)情況下，登錄對(duì)話框中會(huì)顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶名。方法為：打開注冊(cè)表編輯器并找到注冊(cè)表“HKLM\Software\ Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的鍵值改成1。

　　密碼安全設(shè)置

　　1、使用安全密碼

　　一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名、計(jì)算機(jī)名做用戶名，然后又把這些用戶的密碼設(shè)置得太簡(jiǎn)單，比如“welcome”等等。因此，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼。

　　2、設(shè)置屏幕保護(hù)密碼

　　這是一個(gè)很簡(jiǎn)單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。

　　3、開啟密碼策略

　　注意應(yīng)用密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長(zhǎng)度最小值為6位 ，設(shè)置強(qiáng)制密碼歷史為5次，時(shí)間為42天。

　　4、考慮使用智能卡來代替密碼

　　對(duì)于密碼，總是使安全管理員進(jìn)退兩難，密碼設(shè)置簡(jiǎn)單容易受到黑客的攻擊，密碼設(shè)置復(fù)雜又容易忘記。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。