windows2003 服務器安全配置的建議
2024-09-10 00:05:42
供稿:網友
一���、操作系統配置
1.安裝操作系統(NTFS分區)后���,裝殺毒軟件,我選用的是卡巴���。
2.安裝系統補丁���。掃描漏洞全面殺毒
3.刪除Windows Server 2003默認共享
首先編寫如下內容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名為delshare.bat���,放到啟動項中���,每次開機時會自動刪除共享。
4.禁用IPC連接
打開CMD后輸入如下命令即可進行連接:net use//ip/ipc$ "password" /user:"usernqme"���。我們可以通過修改注冊表來禁用IPC連接���。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa中的restrictanonymous子鍵���,將其值改為1即可禁用IPC連接。
5.刪除"網絡連接"里的協議和服務
在"網絡連接"里���,把不需要的協議和服務都刪掉���,這里只安裝了基本的Internet協議(TCP/IP)���,同時在高級tcp/ip設置里–"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"���。
6.啟用windows連接防火墻,只開放web服務(80端口)���。
注:在2003系統里���,不推薦用TCP/IP篩選里的端口過濾功能,譬如在使用FTP服務器的時候���,如果僅僅只開放21端口,由于FTP協議的特殊性���,在進行FTP傳輸的時候���,由于FTP 特有的Port模式和Passive模式,在進行數據傳輸的時候���,需要動態的打開高端口���,所以在使用TCP/IP過濾的情況下���,經常會出現連接上后無法列出目錄和數據傳輸的問題���。所以在2003系統上增加的windows連接防火墻能很好的解決這個問題,所以都不推薦使用網卡的TCP/IP過濾功能���。
7.磁盤權限
系統盤只給 Administrators 和 SYSTEM 權限
系統盤/Documents and Settings 目錄只給 Administrators 和 SYSTEM 權限���;
系統盤/Documents and Settings/All Users 目錄只給 Administrators 和 SYSTEM 權限;
系統盤/Documents and Settings/All Users/Application Data目錄只給 Administrators 和 SYSTEM 權限���;
系統盤/Windows 目錄只給 Administrators 、 SYSTEM 和 users 權限���;
系統盤/Windows/System32/net.exe���,net1.exe,cmd.exe���,command.exe���,ftp.exe,netstat.exe,regedit.exe���,at.exe���,attrib.exe,cacls.exe 文件只給 Administrators 權限(如果覺得沒用就刪了它���,比如我刪了cmd.exe,command.exe���,嘿嘿���。);
其它盤���,有安裝程序運行的(如:sql server 2000 在D盤)給 Administrators 和 SYSTEM 權限,無只給 Administrators 權限���。
8.本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A���、本地策略——>審核策略 (可選用)
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權使用 失敗
審核系統事件 成功 失敗
審核賬戶登錄事件 成功 失敗
