首页 > 系统 > Windows > 正文

windows2003 服务器安全配置的建议

2019-11-02 16:32:29
字体:
来源:转载
供稿:网友
一、操作系统配置

1.安装操作系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。

2.安装系统补丁。扫描漏洞全面杀毒

3.删除Windows Server 2003默认共享

首先编写如下内容的批处理文件:

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share F$ /del

net share admin$ /del

文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。

4.禁用IPC连接

打开CMD后输入如下命令即可进行连接:net use//ip/ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。

5.删除"网络连接"里的协议和服务

在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。

6.启用windows连接防火墙,只开放web服务(80端口)。

注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

7.磁盘权限

系统盘只给 Administrators 和 SYSTEM 权限

系统盘/Documents and Settings 目录只给 Administrators 和 SYSTEM 权限;

系统盘/Documents and Settings/All Users 目录只给 Administrators 和 SYSTEM 权限;

系统盘/Documents and Settings/All Users/Application Data目录只给 Administrators 和 SYSTEM 权限;

系统盘/Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;

系统盘/Windows/System32/net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只给 Administrators 权限(如果觉得没用就删了它,比如我删了cmd.exe,command.exe,嘿嘿。);

其它盘,有安装程序运行的(如:sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。

8.本地安全策略设置

开始菜单―>管理工具―>本地安全策略

A、本地策略――>审核策略 (可选用)

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问 失败

审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

B、本地策略――>用户权限分配

关闭系统:只有Administrators组、其它全部删除。

通过终端服务拒绝登陆:加入Guests、Users组

通过终端服务允许登陆:只加入Administrators组,其他全部删除

C、本地策略――>安全选项

交互式登陆:不显示上次的用户名 启用

网络访问:可匿名访问的共享 全部删除

网络访问:可匿名访问的命名管道 全部删除

**网络访问:可远程访问的注册表路径 全部删除

**网络访问:可远程访问的注册表路径和子路径 全部删除
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表