Windows 2003システムをより安全にする方法

Windows Server 2003は、マイクロソフトの最新のサーバーオペレーティングシステムですWindows 2000 /XPシステムと比較して、特にセキュリティに関して、機能のすべての側面が強化されています。悪くないです。しかし、「金は赤くするのに十分ではありません」何でも完璧ではありません、Microsoft Windows 2003も真実です、それでもシステムの脆弱性があります、多くのセキュリティリスクがあります！コンピュータを使って音楽を楽しんだり、インターネットを閲覧したり、ゲームを実行したり、文書を作成したりするかどうかにかかわらず、必然的に新しいウイルスの拡散に脅かされることになります。

まず、IEのセキュリティプロンプトダイアログボックスをキャンセルします。

ハッカー組織の悪意のあるプログラムに直面して、マイクロソフトは製品のセキュリティリスクを軽減するために全力を尽くして努力しています。マイクロソフトの次世代Windows Server 2003オペレーティングシステムは、セキュリティの面で強化されています。たとえば、Windows Server 2003に付属のIEブラウザを使用してWebページを閲覧すると、セキュリティプロンプトボックスが毎回ポップアップ表示され、現在アクセスしているWebサイトを信頼できるWebサイトに追加する必要があるかどうかを確認できます。信頼できない場合は[閉じる]ボタンをクリックするだけで、サイトを閲覧する場合は[追加]ボタンをクリックして信頼済みサイトのリストにページを追加する必要があります。ただし、Webページにアクセスするたびにそのような手順を踏む必要があり、これは非常に面倒です。実際には、次の方法を使用してIEにWebサイトのセキュリティチェックをキャンセルさせることができます。

1.システムがセキュリティプロンプトページを開いたら、マウスを使用して「Webサイトのコンテンツがブロックされたとき」を続行できます。オプションを選択します。

2.ナビゲーションインターフェイスで、[ツール]メニュー項目をマウスでクリックして、開くドロップダウンメニューから[インターネットオプション]コマンドを実行します。

ポップアップオプション設定インターフェイスでは、システムデフォルト状態の最高のセキュリティレベルを中レベルに設定することができます。

4.設定するときは、[セキュリティ]タブページで安全なスライドをドラッグするだけです。 「中」位置へのブロックはOKです;

5.設定が完了したら、「OK」ボタンをクリックして、ブラウザのセキュリティ自動プロンプトページをキャンセルすることができます。

IEのデフォルトのセキュリティレベル設定を変更した後、オンラインにすると、IEは自動的にWebサイトのセキュリティをチェックしなくなり、問題は解決します。
2番目に、ASPスクリプトを再サポートする。

ASP（ActiveServerPage）に関連するすべてのユーザーがWindowsに関連付けられます。これは、強力な機能、習得が容易なWeb開発者の大多数によって特徴付けられます。ただし、システムのセキュリティ上のリスクを最小限に抑えるために、Windows Server 2003オペレーティングシステムは、既定の状態ではASPスクリプトをサポートしていません - システムはWebサイトのASPコードに対して操作を実行しません。サービス機能は、ほとんどASPスクリプトを介して実装されています。実際、システムセキュリティが保証されているという前提の下で、ASPスクリプトを完全にサポートできます。具体的な実装方法は次のとおりです。

1.システムの[スタート]メニューで、[管理ツール] /[インターネットインフォメーションサービスマネージャ]コマンドをクリックします。
2.以降のインターネットインフォメーションサービスのプロパティ設定ウィンドウで、マウスを使用して左側の領域の "Web Server Extensions"オプションを選択します。

3.次に、対応するオプションの右側の領域で、[Actives server pages]オプションをダブルクリックし、 [タスクバー]設定項目の[許可]ボタンをクリックすると、システム内のIIS6がASPスクリプトを再サポートできます。
ユーザーの一番の関心事は、元のASPコンポーネントを引き続き使用できるかどうかです。この修正の後、システム内のIIS6がASPスクリプトを再サポートし、すべての操作が非常に簡単になることを私はあなたに言うことができます！
最後に、デフォルトの共有フォルダを隠す危険をクリアする。

Windows Server 2003を使用しているユーザーは問題が発生します。つまり、デフォルトでインストールするとシステムがデフォルトの共有フォルダを生成します。ユーザーは共有を設定しませんが、各ドライブ文字はWindowsによって自動的に共有されます共有名はドライブ文字

の後に記号$を付けたものです（共有名はそれぞれc $、d $、ipc $です）。そしてadmin $）。つまり、攻撃者がシステムの管理者パスワードを知っている限り、「\\\\ワークステーション名\\共有名」という方法でシステムの指定されたフォルダを開くことができるため、ユーザーは慎重にセキュリティ保護を設定できます。ディスプレイではありませんか？まだ安全です！このため、Windows Server 2003システムのデフォルトの共有脆弱性を削除し、ただちにシステムから削除する必要があります。

1. Windows Server 2003の既定の共有を削除します。

次の内容のバッチファイルを最初に書き込みます。

@echo off

ネット共有C $ /del

ネットシェアD $ /del

ネットシェアE $ /del

ネットシェアF $ /del

ネットシェアadmin $ /del

上記のファイルの内容は必要に応じて変更することができます。 delshare.batとして保存し、システムフォルダの下のsystem32 \\ GroupPolicy \\ User \\ Scripts \\ Logonディレクトリに配置します。次に、スタートメニューに「gpedit.msc」と入力し、[ファイル名を指定して実行]をクリックします。

Enterキーを押して、グループポリシーエディタを開きます。表示される[ログインのプロパティ]ウィンドウで[ユーザーの構成]→[Windowsの設定]→[スクリプト（ログイン/ログアウト）]→[ログイン]の順にクリックし、[スクリプトの追加]ダイアログボックスを表示します。列にdelshare.batと入力し、[OK]ボタンをクリックしてコンピュータシステムを再起動すると、システムのすべての隠し共有フォルダを自動的にキャンセルできるため、システムのセキュリティリスクを最小限に抑えることができます。 。

2、IPC接続を無効にする

IPC $（インターネットプロセス接続）は共有の "名前付きパイプ"リソースで、信頼性を提供することでプロセス間通信用に開いている名前付きパイプです。ユーザー名とパスワードを使用して両方のコンピュータに接続し、安全なチャネルを確立し、このチャネルと暗号化されたデータを交換してリモートコンピュータにアクセスできます。 Windows NT /2000 /XP /2003独自の機能ですが、同時に2つのIP間で確立できる接続は1つだけです。 NT /2000 /XP /2003はipc $機能を提供し、システムが最初にインストールされたときにデフォルトの共有、つまりすべての論理共有（c $、d $、e $ ...）とシステムディレクトリwinntまたはwindowsも開きます。 （admin $）共有これらすべての、マイクロソフトの当初の意図は、管理者の管理を容易にすることだけでなく、都合の良い条件の意図的または意図的でない提供に対するIPC侵入者のためでもあり、システムセキュリティパフォーマンスの低下をもたらします。 IPC接続を確立するためのハッキングツールは必要ありませんコマンドラインに適切なコマンドを入力するだけですが、リモートホストのユーザー名とパスワードを知っておく必要があります。 CMDを開いた後、次のコマンドを入力して接続します。net use \\\\ ip \\ ipc $" password" /user：" usernqme"レジストリを変更してIPC接続を無効にすることができます。レジストリエディタを開きます。 HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsaグループでrestrictanonymousサブキーを見つけて、値を1に変更してIPC接続を無効にします。4.リモートアクセス可能なレジストリパスをクリアします。

Windows 2003オペレーティングシステムはレジストリへのリモートアクセスを提供し、ハッカーがスキャナを使用してリモートレジストリを介してコンピュータのシステム情報やその他の情報を読み取ることを効果的に防ぐために、リモートアクセス可能なレジストリパスのみが空に設定されます。 。
グループポリシーエディタを開き、[コンピュータの構成]→[Windowsの設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティのオプション]の順に展開し、右側のウィンドウで[ネットワークアクセス：リモートアクセス可能なレジストリパス]を見つけて開きます。ウィンドウで、リモートからアクセス可能なレジストリパスとサブパスの内容をすべて空に設定します。
V.不要なポートを閉じる

個々のユーザにとって、インストール環境のデフォルトのポートは実際にはいくつかあります。何もする必要はありません。ポートをオフにすると、無駄なサービスがオフになります。ポート139はNetBIOSプロトコルで使用されるポートであり、NetBIOSもTCP /IPプロトコルのインストール中にシステムのデフォルト設定としてインストールされます。ポート139を開くことはハードディスクがネットワーク上で共有される可能性があることを意味します;オンラインハッカーはNetBIOSを通してあなたのコンピュータのすべてを知ることができます！以前のバージョンのWindowsでは、Microsoftネットワークのファイルとプリンタの共有プロトコルがインストールされていない限り、ポート139を閉じることができました。しかし、Windows Server 2003では、これを行うだけでは不十分です。ポート139を完全にシャットダウンする場合は、次の手順を実行します。

[ネットワークコンピュータ]を右クリックし、[プロパティ]を選択し、[ネットワークとダイヤルアップ接続]と入力して、[ローカルエリア接続]を右クリックします。 [プロパティ]を選択し、[ローカルエリア接続のプロパティ]ページ
を開いて、[√]の前にある[Microsoftネットワークファイルとプリンタの共有]を削除し、[インターネットプロトコル（TCP /IP）]をクリックします。属性 "→"詳細設定 "→" WINS "、" NetBIOS over TCP /IPを無効にする "、つまりタスクの完了を選択します。
個々のユーザーは、各サービス属性設定で"無効 "に設定できます。次回のサービス再起動も再開され、ポートも開かれます。

コンピュータにIISがインストールされている場合は、ポートフィルタリングをリセットすることをお勧めします。手順は次のとおりです。ネットワークカードのプロパティを選択し、[インターネットプロトコル（TCP /IP）]をダブルクリックして表示されるウィンドウで[詳細設定]ボタンをクリックし、[TCP /IP詳細設定]ウィンドウに入り、[オプション]タブを選択します。 「TCP /IPフィルタ」項目、「プロパティ」ボタンをクリックして、「√」の前にある「TCP /IPフィルタを有効にする（すべてのアダプタ）」ウィンドウで、「TCP /IPフィルタ」ウィンドウを開きます。それを設定する必要があります。ウェブを閲覧したいだけの場合は、TCPポート80しか開けませんので、「TCPポート」の上の「許可のみ」を選択し、「追加」ボタンをクリックし、80を入力して「OK」をクリックします。 BR> VI。アプリケーションへの不正アクセスの排除

Windows Server 2003はサーバーのオペレーティングシステムですが、ユーザーがログインしないようにするために、サーバー上でアプリケーションを自由に起動させることができます。問題は、異なるユーザーのアクセス権に応じて制限する必要があることです。

彼らはアプリケーションを呼び出します。実際には、グループポリシーエディタを使用して詳細設定を行うことができます。これは達成できます。具体的な手順は次のとおりです。

[グループポリシーエディタ]メソッドを開きます。[スタート]→[実行]の順にクリックします。 [実行]ダイアログにgpedit.mscコマンドを入力して[Enter]を押すと、[グループポリシーエディタ]ウィンドウを開くことができます。次に、[グループポリシーコンソール]→[ユーザーの構成]→[管理モード]→[ボード]→[システム]の[ライセンスされているWindowsアプリケーションのみを実行する]を開き、このポリシーを有効にします。 [プログラム一覧]の横にある[表示]ボタンをクリックすると、[コンテンツの表示]ダイアログボックスが表示されますので、ここで[追加]ボタンをクリックして、実行を許可するアプリケーションを追加してください。リスト内のプログラムzh-CN"],null,[1],zh-TW"]]]