Cómo hacer que el sistema Windows 2003 sea más seguro

Windows Server 2003 es el último sistema operativo de servidor de Microsoft. En comparación con Windows 2000 /XP, todos los aspectos de la función se han mejorado, especialmente en términos de seguridad, la sensación general no es mala. Pero "el oro no es suficiente para el rojo", cualquier cosa no es perfecta, Microsoft Windows 2003 también es cierto, todavía existen vulnerabilidades en el sistema, ¡hay muchos riesgos de seguridad! Ya sea que use su computadora para disfrutar de la música, navegar por Internet, ejecutar juegos o escribir documentos, inevitablemente se verá amenazado por la proliferación de nuevos virus. Cómo hacer que Windows Server 2003 sea más seguro se ha convertido en una preocupación de los usuarios.

Primero, cancele el cuadro de diálogo del indicador de seguridad de IE

Microsoft ha trabajado arduamente para reducir los riesgos de seguridad de los productos, lo que es obvio para todos. El sistema operativo Windows Server 2003 de próxima generación de Microsoft se ha mejorado en términos de seguridad. Por ejemplo, cuando usa el navegador IE que viene con Windows Server 2003 para navegar por la página web, aparecerá un cuadro de aviso de seguridad cada vez que aparezca "Herramientas" para recordarnos si debemos agregar el sitio web visitado actualmente al que confiamos. Vaya al sitio; si no confía, solo puede hacer clic en el botón "Cerrar"; si desea navegar por el sitio, debe hacer clic en el botón "Agregar" para agregar la página a la lista de sitios de confianza. Sin embargo, cada vez que visita una página web, tiene que seguir estos pasos, lo que es realmente engorroso. De hecho, podemos usar los siguientes métodos para permitir que IE cancele la verificación de seguridad del sitio web:

1. Una vez que el sistema abre la página de aviso de seguridad, puede usar el mouse para continuar "Cuando el contenido del sitio web esté bloqueado" Solicite "Seleccione la opción;

2. En la interfaz de navegación, haga clic con el mouse en el elemento del menú" Herramientas "para ejecutar el comando" Opciones de Internet "en el menú desplegable abierto;

3. En la interfaz emergente de configuración de opciones, puede establecer el nivel de seguridad más alto en el estado predeterminado del sistema a nivel medio;

4. Al realizar la configuración, simplemente arrastre la diapositiva segura en la página de la pestaña "Seguridad". El bloqueo a la posición "media" está bien;

5. Después de completar la configuración, haga clic en el botón "Aceptar" para cancelar la página de solicitud automática de seguridad del navegador.

Después de modificar la configuración de nivel de seguridad predeterminada de IE, cuando se conecte, IE no verificará automáticamente la seguridad del sitio web y ¡el problema se solucionará!
Segundo, respalde el script ASP

mencione ASP (ActiveServerPage) que todos asociarán con Windows, se caracteriza por sus características poderosas, fáciles de aprender y por la mayoría de los desarrolladores WEB. Sin embargo, para minimizar los riesgos de seguridad del sistema, el sistema operativo Windows Server 2003 no es compatible con las secuencias de comandos ASP en el estado predeterminado; el sistema no realizará ninguna operación en el código ASP en el sitio web, pero ahora muchas páginas web Las funciones de servicio se implementan principalmente a través de scripts ASP. ¿Qué debo hacer? De hecho, podemos admitir completamente el script ASP bajo la premisa de que la seguridad del sistema está garantizada. El método de implementación específico es:

1. En el menú Inicio del sistema, haga clic en el comando "Herramientas administrativas" /"Administrador de servicios de información de Internet"
2. En las siguientes propiedades de Servicios de información de Internet En la ventana de configuración, use el mouse para seleccionar la opción "Web Server Extensions" en el área izquierda;

3. Luego, en el área a la derecha de la opción correspondiente, haga doble clic en la opción "Actives server pages" y luego Haga clic en el botón "Permitir" en el elemento de configuración de la "Barra de tareas", e IIS6 en el sistema puede volver a admitir el script ASP.
La pregunta más preocupada del usuario es si el componente ASP original todavía se puede usar. Puedo decirles que después de esta modificación, IIS6 en el sistema admite las secuencias de comandos ASP, ¡y todas las operaciones son muy simples!
Tercero, elimine el peligro oculto para compartir predeterminado

Los usuarios que usan Windows Server 2003 encontrarán un problema, es decir, el sistema generará la carpeta compartida predeterminada cuando se instale de manera predeterminada. Aunque el usuario no configura el uso compartido, Windows comparte automáticamente cada letra de unidad. El nombre compartido es la letra de unidad

seguido de un símbolo $ (los nombres compartidos son c $, d $, ipc $ respectivamente) Y admin $). En otras palabras, siempre que el atacante conozca la contraseña de administrador del sistema, es posible abrir la carpeta especificada del sistema a través del método "\\\\ nombre de estación de trabajo \\ nombre de recurso compartido", para que el usuario configure cuidadosamente la defensa de seguridad. ¿No es una pantalla? ¡Todavía seguro! Por este motivo, es necesario que eliminemos la vulnerabilidad compartida predeterminada del sistema Windows Server 2003 y la eliminemos inmediatamente del sistema.

1. Elimine el recurso compartido predeterminado de Windows Server 2003

Primero escriba el archivo por lotes del siguiente contenido:

@echo off

net share C $ /del

acción neta D $ /del

acción neta E $ /del

acción neta F $ /del

acción neta admin $ /del

El contenido de los archivos anteriores se puede modificar de acuerdo con sus necesidades. Guárdelo como delshare.bat y colóquelo en el directorio system32 \\ GroupPolicy \\ User \\ Scripts \\ Logon debajo de la carpeta del sistema. Luego escriba gpedit.msc en el menú Inicio → Ejecutar,

Ingrese para abrir el Editor de políticas de grupo. Haga clic en Configuración de usuario → Configuración de Windows → Script (Iniciar sesión /Cerrar sesión) → Iniciar sesión
Haga clic en “Agregar” en la ventana “Propiedades de inicio de sesión” que aparece, aparecerá el cuadro de diálogo “Agregar script” y aparecerá el “Nombre del script” en la ventana. Ingrese delshare.bat en la columna y luego haga clic en el botón "OK" para
reiniciar el sistema informático, puede cancelar automáticamente todas las carpetas compartidas ocultas del sistema, reduciendo así los riesgos de seguridad del sistema al mínimo. .

2, deshabilita la conexión IPC

IPC $ (Conexión de proceso de Internet) es un recurso compartido de "canalización con nombre", es una tubería con nombre abierta para la comunicación entre procesos, al proporcionar confianza El nombre de usuario y la contraseña se pueden usar para conectarse a ambas computadoras para establecer un canal seguro e intercambiar datos cifrados con este canal para lograr el acceso a la computadora remota. Es una característica exclusiva de Windows NT /2000 /XP /2003, pero tiene la característica de que solo se puede establecer una conexión entre dos IP al mismo tiempo. NT /2000 /XP /2003 proporciona la función ipc $ y también abre el recurso compartido predeterminado cuando se instala el sistema por primera vez, es decir, todos los recursos compartidos lógicos (c $, d $, e $ ...) y el directorio del sistema Windows o Windows.
(admin $) compartir. Todo esto, la intención original de Microsoft es facilitar la administración del administrador, pero también para el intruso de IPC para la provisión intencional o no intencional de condiciones convenientes, lo que resulta en una reducción en el rendimiento de seguridad del sistema. No necesita ninguna herramienta de piratería para establecer una conexión IPC. Simplemente escriba el comando apropiado en la línea de comandos, pero hay una condición previa que necesita saber el nombre de usuario y la contraseña del host remoto. Después de abrir CMD, ingrese el siguiente comando para conectarse: net use \\\\ ip \\ ipc $ " contraseña " /user: " usernqme " Podemos deshabilitar las conexiones IPC modificando el registro. Abra el Editor del Registro. Localice la subclave restringida anónima en el grupo HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa y cambie el valor a 1 para deshabilitar la conexión IPC. 4. Borre la ruta de acceso del registro accesible remotamente.

Tenga en cuenta que el sistema operativo Windows 2003 proporciona acceso remoto al registro, solo la ruta del registro accesible remotamente está configurada como vacía, para evitar que los piratas informáticos utilicen el escáner para leer la información del sistema y otra información de la computadora a través del registro remoto. .
Abra el Editor de directivas de grupo, expanda "Configuración del equipo → Configuración de Windows → Configuración de seguridad → Directivas locales → Opciones de seguridad", busque "Acceso a la red: Ruta del registro accesible remotamente" en la ventana derecha y luego abra En la ventana, configure la ruta de acceso de acceso remoto y el contenido de la subruta a todos vacíos.
V. Cierre los puertos innecesarios

Para usuarios individuales, algunos puertos predeterminados en la instalación son de hecho Nada es necesario, apagar el puerto significa apagar servicios inútiles. El puerto 139 es el puerto utilizado por el protocolo NetBIOS. NetBIOS también se instala como una configuración predeterminada en el sistema mientras el protocolo TCP /IP está instalado. La apertura del puerto 139 significa que el disco duro puede compartirse en la red, ¡los piratas informáticos en línea también pueden saber todo en su computadora a través de NetBIOS! En versiones anteriores de Windows, el puerto 139 podría cerrarse siempre que el archivo y el protocolo de intercambio de impresiones de la red de Microsoft no estuvieran instalados. Pero en Windows Server 2003, solo hacer esto no es suficiente. Si desea cerrar completamente el puerto 139, los pasos específicos son los siguientes:

Haga clic con el botón derecho en "Entorno de red", seleccione "Propiedades", ingrese "Conexión de red y de acceso telefónico" y luego haga clic con el botón derecho en "Conexión de área local". Seleccione "Propiedades", abra la página "Propiedades de conexión de área local"
y luego elimine "Microsoft Network File and Print Sharing" delante de "√"
Luego seleccione "Protocolo de Internet (TCP /IP)", haga clic en " Atributo "→" Avanzado "→" WINS ", seleccione" Deshabilitar NetBIOS sobre TCP /IP ", es decir, finalización de la tarea
Para usuarios individuales, puede configurarlo en" deshabilitar "en cada configuración de atributo de servicio para evitar El siguiente reinicio del servicio también se reinicia, y el puerto también está abierto.

Si tiene IIS instalado en su computadora, es mejor que reinicie el filtrado de puertos. Los pasos son los siguientes: Seleccione las propiedades de la tarjeta de red, luego haga doble clic en "Protocolo de Internet (TCP /IP)", haga clic en el botón "Avanzado" en la ventana que aparece, ingresará a la ventana "Configuración avanzada de TCP /IP", luego seleccione la pestaña "Opciones". En el elemento "Filtro TCP /IP", haga clic en el botón "Propiedades", aparecerá la ventana "Filtro TCP /IP", en la ventana "Activar filtro TCP /IP (todos los adaptadores)" frente a "√", y luego Necesito configurarlo. Si solo desea navegar por la web, solo puede abrir el puerto TCP 80, así que puede seleccionar "Permitir solo" sobre "Puerto TCP", luego hacer clic en el botón "Agregar", ingresar 80 y hacer clic en "Aceptar". BR> VI. Elimine el acceso ilegal a aplicaciones

Windows Server 2003 es un sistema operativo de servidor. Para evitar que los usuarios inicien sesión en él, puede iniciar la aplicación en el servidor a voluntad, lo que traerá una operación innecesaria al servidor. El problema, tenemos que estar limitados de acuerdo con los derechos de acceso de diferentes usuarios.

Llaman a la aplicación. De hecho, podemos usar el Editor de políticas de grupo para otras configuraciones, esto se puede lograr, los pasos específicos son los siguientes:

Abra el método "Editor de políticas de grupo": haga clic en "Inicio → Ejecutar" Puede abrir la ventana del Editor de políticas de grupo escribiendo el comando gpedit.msc en el cuadro de diálogo Ejecutar y presionando Entrar. Luego abra "Ejecutar solo aplicaciones de Windows con licencia" en "Consola de políticas de grupo → Configuración de usuario → Modo de administración

Placa → Sistema" y habilite esta política
luego haga clic en "Aplicaciones permitidas" a continuación El botón "Mostrar" en el lateral de la "Lista de programas" muestra un cuadro de diálogo "Mostrar contenido". Haga clic en el botón "Agregar" para agregar la aplicación que se puede ejecutar.
Después de que el usuario general solo pueda ejecutar la "Aplicación permitida" El programa en la lista.