昨天晚上笔者在自己服务器上安装影子系统，不知道什么原因安装之后重启就无法进入系统，没办法只有从新做系统了，因为笔者现在管理的是一家游戏公司的服务器所以安全方面要格外注意。下面就是笔者本次安全配置过程。

首先第一步应该是给系统打最新补丁，因为笔者的WIINDOWS SERVER 2003 非正版，无法升级就去毒霸官方站下载了一个系统清理工具，里面含有补丁更新，（个人推荐使用蛮不错的）更新全部补丁之后开始我们的工作。

从内向外，配置服务器安全

第一 ：给CMD加密

主要是防止溢出方面，大家都知道微软的系统溢出漏洞到处可见，再者骇客们进入计算机的着重途径就是拿下CMD权限所以给CMD加密是第一步的窗户纸防御。

首先:写一段批处理文件

代码如下:

================================

@echo off??

color a????????????????????????????????????????????????????? /:改变颜色

cls

title???

set pass=0

set time=0

echo???

echo 队长别开枪是我啊/////要密码验证才可以哦! /:没什么意思嘿嘿

:start

set /p pass=请输入CMD密码:

if %pass%==123 goto ok?? 123 /:是我设置的密码,你也可以修改成自己的.

if %time%==0 goto end

set /A times=%time%-1

:end

exit

cls

:ok

title 密码正确！欢迎进入莫无名的DOS世界！ /:输入密码正确后进入的标题

===============================

代码结束，另存格式为.BAT格式放到XX盘下。随后进入注册表,找到如下位置：HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Command processor双击AutoRun，输入你批处理的绝对路径即可。之后用户要进入CMD时就需输入设置密码，密码正确进入，不正确将自动退出。

第二、关闭高危端口

首先创建IP筛选器和筛选器操作

1、"开始"->"程序"->"管理工具"->"本地安全策略"，微软建议使用本地安全策略进行IPsec的设置，因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的。

2、右击"Ip安全策略，在本地机器"，选择"管理 IP 筛选器表和筛选器操作"，启动管理 IP 筛选器表和筛选器操作对话框。只有创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.

3、在"管理 IP 筛选器表"中，按"添加"按钮建立新的IP筛选器：

1)、在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.单击右侧的"添加..."按钮,启动IP筛选器向导；

2)、跳过欢迎对话框，下一步；

3)、在IP通信源页面，源地址选"任何IP地址"，下一步；

4)、在IP通信目标页面，目标地址选"我的IP地址"，下一步；

5)、在IP协议类型页面，选择"TCP".下一步；

6)、在IP协议端口页面，选择"到此端口"并设置为"135",其它不变.下一步；

7)、完成后关闭IP筛选器列表对话框时会发现tcp135IP筛选器出现在IP筛选器列表中。

注：可接着增加端口号，方法同上，这里不在一一陈述。

4、选择"管理筛选器操作"标签,创建一个拒绝操作：

1)单击"添加"按钮，启动"筛选器操作向导"，下一步；

2)在筛选器操作名称页面，填写名称，这儿填写"拒绝"，下一步；

3)在筛选器操作常规选项页面，将行为设置为"阻止"，下一步；

4)完成，关闭"管理 IP 筛选器表和筛选器操作"对话框。

接着创建IP安全策略

1、右击"Ip安全策略，在本地机器"选择"创建IP安全策略"，启动IP安全策略向导，跳过欢迎页面，下一步；

2、在IP安全策略名称页面,填写合适的IP安全策略名称，这儿我们可以填写"拒绝对tcp135端口的访问"，描述可以随便填写，下一步；

3、在安全通信要求页面，不选择"激活默认响应规则"，下一步；

4.、在完成页面选择"编辑属性"，完成。

5、在"拒绝对tcp135端口的访问属性"对话框中进行设置，首先设置规则：

1)、单击下面的"添加..."按钮，启动安全规则向导，下一步；

2)、在隧道终结点页面选择默认的"此规则不指定隧道"，下一步；

3)、在网络类型页面选择默认的"所有网络连接"，下一步；

4)、在身份验证方法页面选择默认的"windows 2000默认值(Kerberos V5 协议)"，下一步；

5)、在IP筛选器列表页面选择刚建立的"tcp135"筛选器，下一步；

6)、在筛选器操作页面刚建立的"拒绝"操作，下一步；

7)、在完成页面中不选择"编辑属性"，随后确定完成，关闭"拒绝对tcp135端口的访问属性"对话框即可。

指派和应用IPsec安全策略

1、缺省情况下，任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派，在本地安全策略MMC中，右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略，选择"指派。

2、立即刷新组策略，使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略。

通过以上方法融会贯通可以关闭自己本机不需要的端口，至于哪些是高危，在这里就不用我说了吧。

第三、检测服务器

在这里服务器本身的安全设置基本完成一半了，大家可以使用流光或者X-SAN 等扫描软件在其他机器上对服务器进行扫描看看还有哪些方面有问题，正常来说2003本身安全性就比较高，应该是没问题了，如果条件不允许没有以上骇客软件的话也可登录天网防火墙的官方网站上面有在线端口扫描，可以帮助你检测下自己的服务器。

第四、IIS方面

WINDOWS2003的系统使用IIS 6.0的默认的安全已经很不错了，在安装IIS的时候不推荐开始--控制面板--安装删除程序-系统组件安装，不推荐以上，2003里面有一个管理你的服务器用那个安装相对比较好适用新手，因为你每安装一步都会有相应的说明，不需要的服务就别装，IIS的基本设置就不用说了吧应该都会吧网上的文章满天飞，不用的扩展删除。

第五、WEB设置

提到这个WEB就头痛哈，最容易出问题的地方，上传、注入，等等到处都是，面对众多的ASP 、PHP 、JSP等等后门木马我们怎么办，尤其大型网站诸多版块要是你去一个一个测试那可是长期的工作了，上传漏洞多数因为网站程序本身对后缀的过滤不严格，注入一般是因为网站程序的字符过滤问题，在这里笔者着重于说明的是如何配置安全服务器，对于网站程序本身的漏洞就不解释了，笔者也不专业，笔者用了一款比较流行的ASP后门做的测试，相对相对设置如下：

首先设置：所有盘、windows、Documents and Settings、Program Files 等只允许系统管理员用户访问，其他删除，这样就可以防止ASP木马浏览你的系统盘了，（系统盘为NTFS）也可以单独建立一个用户，此用户设置权限为最低，然后指派给此用户专门就给WEB单独工作。

一、禁用服务里面workstation 服务，可以防止列出用户和服务。

二、使用WScript.Shell组件

WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表，将此组件改名，来防止此类木马的危害。将注册表下的HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\ 改名为其它的名字，如：改为WScript.Shell_ChangeName或 WScript.Shell.1_ChangeName。自己以后调用的时候使用这个就可以正常调用此组件了，同时也要将clsid值也改动 HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 ，HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值，并禁止使用Guest用户使用shell32.dll来防止调用此组件。使用命令：regsvr32 WSHom.Ocx /u也可以将其删除，来防止此类木马的危害。

三、使用Shell.Application组件

由于Shell.Application可以调用系统内核运行DOS基本命令 ，这里可以通过修改注册表HKEY_CLASSES_ROOT\Shell.Application\ 及 HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字，如：改为Shell.Application_ChangeName或 Shell.Application.1_ChangeName来防止此类木马的危害。同时要将也要将clsid值也改一下，即HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值，HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值，这里也可以将其删除，来防止此类木马的危害。并禁止Guest用户使用shell32.dll来防止调用此组件， 使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests

注：操作均需要重新启动WEB服务后才会生效。

四、调用Cmd.exe

禁用Guests组用户调用cmd.exe，命令为cacls C:\WINNT\system32\Cmd.exe /e /d guests， 最后设置上传存放上传文件的文件夹禁止运行ASP，例外：如果服务器安装S U FTP工具千万要安装6.0以上版本修改默认密码防止提权，FTP、SA、等密码一定要设得复杂些，目前很多人都设置为“默认”。

由于我们设置该文件夹禁止运行ASP， 如果对方通过WBE漏洞想利用上传ASP文件进入的话，那是无用的，这里假设对方通过某种手段运行了ASP后门，那么管理人员也可以在了解一ASP后门的基本功后能，采用相对的应付方法即可防范，如下：

1、查看系统盘符：设置了USERS组无法访问或使用的专门用户没有权限。

2、查看Documents and Settings、Program Files 文件夹：设置无权限。

3、列用户组与进程：禁用了workstation 服务。

4、调用CMD：设置USERS用户组没有权限调用行为。

5、调用WScript.Shell与Shell.Application ：删除或者进行修改。

6、S U提权：改动密码。

大体就这些以上几种我们都相对设置了应付方案，在WEB方面既可保证相对的服务器安全。

总结：网络安全是不容忽视的，不要等到事情发生之后才去补救，同样网络安全是无极限的，技术的比拼就是一场没有硝烟的战争。有句话很经典：在网络中只有相对的安全没有绝对的安全，要想打好一场战争就要知己知彼，只有在了解了入侵手法后才能做的更好的防范。