2003 IP安全策略

Windows下搭建Subversion 服务器一、准备工作1、获取Subversion 服务器程序到官方网站（/）下载最新的服务器安装程序。

目前最新的是1.5版本，具体下载地址在：/servlets/ProjectDocumentList?folderID=8100&expandFolder=8100&f olderID=912、获取TortoiseSVN 客户端程序从官方网站/downloads 获取最新的TortoiseSVN 。

TortoiseSVN 是一个客户端程序，用来与subvers 服务器端通讯。

Subversion 自带一个客户端程序svn.exe ,但TortoiseSVN 更好操作，提高效率。

二、安装服务器端和客户端安装Subversion（以下简称SVN）的服务器端和客户端。

下载下来的服务器端是个zip 压缩包，直接解压缩即可，比如我解压到E:\subversion 。

客户端安装文件是个exe 可执行文件，直接运行按提示安装即可，客户端安装完成后提示重启。

三、建立版本库（Repository）运行Subversion服务器需要首先要建立一个版本库（Repository）。

版本库可以看作是服务器上集中存放和管理数据的地方。

开始建立版本库。

首先建立e:\svn 空文件夹作为所有版本库的根目录。

然后，进入命令行并切换到subversion的bin目录。

输入如下命令：svnadmin create E:\svn\repos1此命令在E:\svn 下建立一个版本库repos1 。

repos1 下面会自动生成一些文件夹和文件。

我们也可以使用TortoiseSVN 图形化的完成这一步：先建立空目录E:\svn\repos1 ，注意一定是要空的。

然后在repos1 文件夹上“右键->TortoiseSVN->Create Repository here...”，然后可以选择版本库模式，这里使用默认的FSFS 即可，然后就创建了一系列文件夹和文件，同命令行建立的一样。

通过Windows2003的IPSEC安全策略来实现对访问IP的限制。

操作步骤如下：1、在Windows2003的开始->运行中输入mmc2、点击文件->添加/删除管理单元3、点击添加4、选择IP安全策略管理，点击添加5、选择本地计算机，点击完成6、点击关闭7、点击确定8、右键点击IP安全策略，本地计算机9、选择“创建IP安全策略”10、点击“下一步”12、全部采用默认值，直到完成。

13、右键点击IP安全策略14、选择“管理IP筛选器表盒筛选器操作”15、在“管理IP筛选器列表”标签中，点击添加16、点击添加17、点击“下一步”点击“下一步”19、源地址选择“任何IP地址”，点击“下一步”20、目标地址选择“我的IP地址”，点击“下一步”21、协议类型选择“任意”，点击“下一步”22、点击完成，完成配置23、点击添加，再添加一条策略24、设置名称，点击“添加”25、点击“下一步”服务器的IP地址。

点击下一步。

27、目标地址选择“我的IP地址”，点击下一步。

28、协议类型选择“任意”，点击下一步。

完成配置。

29、点击“确定”。

30、选择“管理筛选操作”31、点击“添加”32、点击“下一步”32、填写名称“允许”，点击“下一步”33、选择“许可”，点击“下一步”34、点击“完成”，完成配置。

35、点击“添加”，再添加拒绝策略36、点击“下一步”37、选择“阻止”，点击“下一步”38、点击“完成”，完成配置39、点击关闭。

40、右键点击IP过滤策略41、选择属性。

42、点击“添加”，下一步43、选择“此规则不指定隧道”，点击“下一步”44、选择“局域网”，点击“下一步”45、选择“全部阻止”，点击“下一步”46、选择“拒绝”，点击下一步47、点击“完成”，完成配置48、点击“添加”，增加允许IP规则49、点击“下一步”50、选择“局域网”，点击“下一步”51、选择“允许IP”，点击“下一步”52、选择“允许”，点击“下一步”53、点击“完成”，完成配置54、点击“确定”55、右键“IP过滤策略”通过上述动作，完成对IP访问的限制。

windows Server 2003使用ip安全策略禁止某ip访问服务器的方法修改浏览权限|删除
windows Server 2003使用ip安全策略禁止某ip访问服务器的方法下面有文字与图片，请耐心观看......
控制面板—管理工具—本地安全策略或者命令 gpedit.msc
选择创建 IP 安全策略
点选下一步
我们就是要禁止他,不和他说话,那么,取消勾选
直接按完成.那个勾选是默认的
注意右下的”添加向导”,如果勾选了,取消他,然后点击”添加”
选中刚刚建立的禁止ip 点编辑
(@添加ip)
把”添加向导”的勾选取消 , 然后点添加
地址和目标别写反了,把自己给封了
// 然后切换到“协议” 面板
我这里是选择 tcp 到80端口 ,直接按确定,回到上层界面,继续确定,回到新规则属性面板
选择“筛选器操作”面板
这里的阻止是我先前做的添加的, 操作步骤为: 取消“添加向导” 的勾选点添加
在常规里面重命名为阻止就ok了
一路确定,回到
注意要禁止ip 前面的勾选
确定,完成此策略
最后需要指派策略
到此,刚才显示的ip 116.164.68.6 地址的用户就不能访问服务器了添加多ip 从 (@添加ip) 开始
--------------------------------------------
如果允许访问，也同样这样操作就可以，很简单！
有错误请及时提出,谢谢!
来
自:/mxf521/blog/item/9328da5439930f49d109069e.html。

WIN2003 使用IP 安全策略只允许指定IP 远程桌面连接2012-10-29 11:31:53 来源:天翼高清作者:s2******* 阅读:558 【大中小】新买的VPS网站才收录就有人惦记上了，为此我如此设置了一番才解决了这个问题，现在只有我自己可以登录VPS, 2003服务器同样适用，同时其他端口的服务比如FTP等连接软件同样可以这样限制，只是3389 换成21 即可，这种限制比复杂密码更安全。

一，新建IP 安全策略WIN+R 打开运行对话框，输入gpedit.msc 进入组策略编辑器。

依次打开“本地计算机”策略--计算机配置--Windows 设置--安全设置--IP 安全策略,在本地计算机上。

或是控制面板--管理工具--本地安全策略--IP 安全策略,在本地计算机上。

在右面的空白处右击，选择第一个菜单：创建IP安全策略，弹出的IP安全策略向导对话框。

点击下一步。

在名称里输入3389 过虑，下一步。

取消激活默认响应规则，下一步。

选中编辑属性，下一步。

二，新建IP筛选器在弹出的新IP安全策略属性对话框里取消使用“添加向导”，点击添加。

在弹出的新规则属性对话框里点击添加。

起个名称：放行指定IP的3389连接，点击添加。

在弹出的对话框里选择地址选项卡，源地址选择一个特定的IP 地址，目标地址选择我的IP。

取消镜像。

再选择协议选项卡，协议类型选择TCP,设置IP协议端口为从任何端口到此端口3389。

单击确定关闭IP筛选器属性，再确定关闭IP筛选器列表。

在新规则属性对话框里再点击添加，依照上面的再添加一个IP 筛选器，名称为：阻止3389 连接；源地址为任意IP，目标地址为我的IP。

协议：TCP端口3389。

三，给新建的IP筛选器加上筛选器操作在新规则属性对话框上选择筛选器操作选项卡。

点击添加。

选择阻止，在常规选项卡里的名称改为：阻止。

点击确定。

点击新规则属性对话框中的IP 筛选列表，选中放行指定IP 的3389 连接（一定要让它前面的那个圈子是选中状态），然后再选择筛选器操作选项卡，选中许可。

Windows 2003服务器安全策略-第一版一、注册表安全策略配置 (1)二、本地安全策略配置 (2)三、组策略编辑器 (3)四、用户管理 (4)五、在每台服务器上实现最少的服务 (4)一、注册表安全策略配置关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous”数据值为“1” [2003默认为1]禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareServer”数据值为“0”禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建“DWORD值”值名为“AutoShareWks”数据值为“0”通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”值名为“SynAttackProtect”数据值为“1”禁止dump file的产生dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。

然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。

控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。

一、Windows Server2003的安装1、安装系统最少两需要个分区，分区格式都采用NTFS格式2、在断开网络的情况安装好2003系统3、安装IIS，仅安装必要的IIS 组件(禁用不需要的如FTP 和SMTP 服务)。

默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：Internet 信息服务管理器；公用文件；后台智能传输服务(BITS) 服务器扩展；万维网服务。

如果你使用FrontPage 扩展的Web 站点再勾选：FrontPage 2002 Server Extensions4、安装MSSQL及其它所需要的软件然后进行Update。

5、使用Microsoft 提供的MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置，并标识缺少的修补程序和更新。

下载地址：见页末的链接二、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时渖栉?0分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。

Win 2003安全检测让入侵者无处遁形Windows Server 2003是服务器版的系统，个人用户时有使用，但其多被用来做服务器的系统平台。

攻击者更愿意获取其控制权，因此它面临的安全威胁也最大。

【IT专家网独家】Windows Server 2003是服务器版的系统，个人用户时有使用，但其多被用来做服务器的系统平台。

攻击者更愿意获取其控制权，因此它面临的安全威胁也最大。

往往的情况是，我们的系统遭到攻击甚至被入侵而我们不为所知。

可见，除了安全部署，做好系统的入侵检测也是非常重要的。

那应该从哪些方面进行检测，如何检测呢?一、常规检查1.查看系统中的“陌生人”攻击者在入侵系统后，为了长期控制系统往往要创建系统帐户，这帐户往往是管理员组的。

比如敲入命令“net user lw "test168" /add & net localgroup administrators lw /add”(不含引号)就创建了一个用户名为lw，密码为test168的管理员用户。

这就是系统中的“陌生人”，我们必须要清除出去。

对于这样的用户，我们可以在命令提示符(cmd.exe)下敲入“net user”或者打开“计算机管理”，展开“本地用户和组”查看administrators组是否有陌生帐户添加以确定入侵。

当然，一个狡猾的入侵者不会这么做，他们会通过各种方法进行帐户的隐藏。

其常用的伎俩不外乎四种：(1).激活Server 2003的Guest用户，并把其加入管理员组。

对此，管理员一定要查看在administrators组中是否有个guest用户。

如果存在，几乎可以肯定Server 2003被入侵了。

(2).创建隐藏帐户。

入侵者在帐户的后面加“$”，比如把上面的命令改为“net user lw$ "test168" /add & net localgroup administrators lw$ /add”，就创建了一个lw$用户，该用户在命令提示符(cmd.exe)下输入“net user”命令是看不到的，但在“本地用户和组”中可以看到。

WINDOWS2003安全策略设置在windows2003下进行安全策略设置，是很有必要的，可以阻挡大部分初级黑客的入侵和破坏。

一．本地安全策略设置开始菜单—>管理工具—>本地安全策略本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪失败审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性调整日至文件大小：1048576KB=1G 覆盖时间超过30天的事件帐户策略——>帐户锁定策略设置为3次无效登陆本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组用户权利分配：将“从网络访问此计算机”中只保留(Administrators)、使用还要保留Aspnet账户。

(ASPNET)、启动IIS进程账户(IUSR)、(IWAM)(Everyone) (Administrators)(ASPNET)(IUSR)(IW AM)(Everyone)本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命名通道全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户（例如Gu2#edst@1）请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限下列这些文件只允许Administrators和SYSTEM访问net.exenet1.execmd.exeftp.exetftp.exetelnet.exenetstat.exeregedit.exeat.exeattrib.execacls.exe另外将系统盘C:\WINDOWS\system32下cmd.exe、、ftp.exe转移到其他目录或更名快捷方式：在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.ex e","","c.exe"点击搜索然后全选右键属性安全磁盘权限磁盘（C、D、E、F盘全部）Administrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件C:\WINDOWSAdministrators和SYSTEM完全控制权限Users （用户默认权限不作修改“读取和运行、列出文件夹目录、读取”）<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制<不是继承的>只有子文件夹及文件C:\Program FilesAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制权限<不是继承的>只有子文件夹及文件Users读取和运行<不是继承的>该文件夹，子文件夹及文件C:\Documents and SettingsAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件C:\Documents and Settings\All UsersAdministrators和SYSTEM 完全控制权限<不是继承的>该文件夹，子文件夹及文件Users组的权限仅仅限制于读取和运行，绝对不能加上写入权限（默认为“读取和运行、列出文件夹目录、读取”）C:\Documents and Settings\All Users\Application DataAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制<不是继承的>只有子文件夹及文件Users读取和运行<不是继承的>该文件夹，子文件夹及文件Users写入<不是继承的>该文件夹及子文件夹两个并列权限同用户组需要在高级里分开添加，分开列权限Users读取和运行的权限：选择2345项和倒数第3项Users写入的权限：选择6789项C:\Program Files\Microsoft SQL Server\MSSQL(程序部分默认装在C：盘)D:\Program Files\Microsoft SQL Server\MSSQL(本人的在D盘)Administrators完全控制权限<不是继承的>该文件夹，子文件夹及文件D:\Program Files\Microsoft SQL Server (数据库部分装在D：盘的情况) Administrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制权限<不是继承的>只有子文件夹及文件C:\Program Files\Internet Explorer\iexplore.exeAdministrators完全控制权限<不是继承的>该文件夹，子文件夹及文件C:\Program Files\Serv-U (如果装了Serv-U服务器的话)D:\Program Files\Serv-U (本人的在D盘)这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是C:\Program Files\\Serv-UAdministrators和SYSTEM完全控制权限<不是继承的>该文件夹，子文件夹及文件CREA TOR OWNER完全控制权限<不是继承的>只有子文件夹及文件删除c:\inetpub目录如果服务器上有.NET网站运行，aspnet_client文件夹的权限设置为Administrators、SYSTEM<完全控制><不是继承的><该文件夹，子文件夹及文件>Users <读取><不是继承的><该文件夹，子文件夹及文件>最后：C\WINDOWS\TEMP设置添加Everyone的读写属性，NetWork Service完全控制属性。

Windows2003用IP安全策略限制udpflood发包脚本WEB安全-电脑资料之前有介绍Linux下通过iptables限制UDP发包，这次记录下Windows 2003的实现方法，。

新建bat脚本，添加以下内容，然后点击运行。

:DROP UDP Flood@echo offcls:获取DNS地址for /f "delims=: tokens=1,2" %%a in ('ipconfig /all ^|findstr /i "DNS Server"') do (set DNSIP=%%b):新建IP安装策略禁止UDPnetsh ipsec static add policy name=禁止UDP description=允许DNS，拒绝其它UDP外出:新建IP安全规则netsh ipsec static add filterlist name=允许UDPnetsh ipsec static add filterlist name=拒绝UDP:新建IP筛选器netsh ipsec static add filter filterlist=允许UDP srcaddr=me dstaddr=%DNSIP% description=允许DNS查询protocol=udp mirrored=yes dstport=53netsh ipsec static add filter filterlist=拒绝UDP srcaddr=me dstaddr=any description=禁止UDP外出protocol=udp mirrored=yes:新建IP筛选器操作netsh ipsec static add filteraction name=允许DNS查询action=permitnetsh ipsec static add filteraction name=拒绝UDP外出action=block:封装策略netsh ipsec static add rule name=允许规则policy=禁止UDP filterlist=允许UDP filteraction=允许DNS查询netsh ipsec static add rule name=拒绝规则policy=禁止UDP filterlist=拒绝UDP filteraction=拒绝UDP外出:应用IP安全策略netsh ipsec static set policy name=禁止UDP assign=y。

Windows 2003 服务器六条安全策略策略一：关闭windows2003不必要的服务·computer browser 维护网络上计算机的最新列表以及提供这个列表·task scheduler 允许程序在指定时间运行·routing and remote access 在局域网以及广域网环境中为企业提供路由服务·removable storage 管理可移动媒体、驱动程序和库·remote registry service 允许远程注册表操作·print spooler 将文件加载到内存中以便以后打印。

·ipsec policy agent 管理ip安全策略及启动isakmp/oakleyike)和ip安全驱动程序·distributed link tracking client 当文件在网络域的ntfs卷中移动时发送通知·com+ event system 提供事件的自动发布到订阅com组件·alerter 通知选定的用户和计算机管理警报·error reporting service 收集、存储和向microsoft 报告异常应用程序·messenger 传输客户端和服务器之间的net send 和警报器服务消息·telnet 允许远程用户登录到此计算机并运行程序策略二：磁盘权限设置c盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

windows目录要加上给users的默认权限，否则asp和aspx等应用程序就无法运行。

策略三：关闭不需要的端口本地连接--属性--internet协议(tcp/ip)--高级--选项--tcp/ip筛选--属性--把勾打上，然后添加你需要的端口即可。