自己动手做好Win2003服务器安全

1.将mysql运行在普通用户权限下，这是最重要的一点，大部分的入侵都是利用数据库的权限进行的。
　　MYSQL的降权运行

　　新建立一个用户比如mysqlstart

　　net user mysqlstart fuckmicrosoft /add

　　net localgroup users mysqlstart /del

　　不属于任何组

　　如果MYSQL装在d:mysql ，那么，给 mysqlstart 完全控制的权限

　　然后在系统服务中设置，MYSQL的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。

　　重新启动 MYSQL服务，然后MYSQL就运行在低权限下了。

2.使用附件里的IP策略关闭所有没用的端口

管理工具—–本地安全策略—–IP安全策略—-所有任务—导入策略 然后指派…

3.所有盘的根目录都不能有everyone,users 的读与运行权限。
C盘只给administrators 和system权限
其他的盘也可以这样设置
Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行
另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点

把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

4.加强PHP的安全
关闭危险函数
如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，
我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的
phpinfo()等函数，那么我们就可以禁止它们：
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
关闭PHP版本信息在http头中的泄漏

　　我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

　　expose_php = Off

　　比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。

　　(1) 关闭注册全局变量

　　在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，
　　这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：
　　register_globals = Off
　　当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，
　　那么就要用$_GET['var']来进行获取，这个php程序员要注意。

　　(2) 打开magic_quotes_gpc来防止SQL注入

　　SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，

　　所以一定要小心。php.ini中有一个设置：

　　magic_quotes_gpc = Off

　　这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，
　　比如把 ' 转为 '等，这对防止sql注射有重大作用。所以我们推荐设置为：

　　magic_quotes_gpc = On

　　(3) 错误信息控制

　　一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当
　　前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

　　display_errors = Off

　　如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

　　error_reporting = E_WARNING & E_ERROR

　　当然，我还是建议关闭错误提示。

　　(4) 错误日志

　　建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

　　log_errors = On

　　同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

　　error_log = D:/usr/local/apache2/logs/php_error.log

　　注意：给文件必须允许apache用户的和组具有写的权限。

　　如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，
　　这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

　　net user apache fuckmicrosoft /add

　　net localgroup users apache /del

　　ok.我们建立了一个不属于任何组的用户apche。

　　我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，
　　重启apache服务，ok，apache运行在低权限下了。

　　实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。
　　这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。

.不要装PCanywhere或Radmin因为它们本身就存在安全问题，可以直接用windows 2003自带的3389，它比任何远程控制软件都安全。

.不要在服务器上双击运行任何程序，不然你中了木马都不知道。

.不要在服务器上用IE打开用户的硬盘中的网页，这是危险的行为。

.不要在服务器上浏览图片，以前windows就出过GDI 的安全漏洞。

.确保你自己的电脑安全，如果你自己的电脑不安全，服务器也不可能安全。

.检查sytem32目录的net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe只能有adms,system的全权权限.

网站目录也要用普通用户运行，附件和头像目录不能有执行权限。。

在网上邻居 右键属性 把打印和共享卸载掉

打开组策略编辑器，依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空

为了防止登陆到其中的用户，随意启动服务器中的应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要根据不同用户的访问权限，来限制

　　他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置，即可实现这一目的，具体步骤如下：

　　打开“组策略编辑器”的方法为：依次点击“开始→运行”，在“运行”对话框中键入“gpedit.msc”命令并回车，即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Ｗｉｎｄｏｗｓ应用程序”并启用此策略

　然后点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加允许运行的应用程序即可，以后一般用户只能运行“允许的应用程序列表”中的程序

PS:关于ASP
目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。

开始 运行 regedit.exe 进行下面的操作

　　一、使用FileSystemObject组件

　　FileSystemObject可以对文件进行常规操作

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOTScripting.FileSystemObject

　　改名为其它的名字，如：改为FileSystemObject_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值

　　也可以将其删除，来防止此类木马的危害。

　　注销此组件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll

　　禁止Guest用户使用scrrun.dll来防止调用此组件。

　　使用命令：cacls C:WINDOWSsystem32scrrun.dll /e /d guests

　　二、使用WScript.Shell组件

　　WScript.Shell可以调用系统内核运行DOS基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOTWScript.Shell
　　及HKEY_CLASSES_ROOTWScript.Shell.1

　　改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值
　　HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值

　　也可以将其删除，来防止此类木马的危害。

　　三、使用Shell.Application组件

　　Shell.Application可以调用系统内核运行DOS基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOTShell.Application
　　及HKEY_CLASSES_ROOTShell.Application.1

　　改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
　　HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值

　　也可以将其删除，来防止此类木马的危害。

　　禁止Guest用户使用shell32.dll来防止调用此组件。

　　使用命令：cacls C:WINDOWSsystem32shell32.dll /e /d guests

　　注：操作均需要重新启动WEB服务后才会生效

摘自SIne安全小组 http://www.sinesafe.cn