4.2 Window server 2003系统的安全管理.pdfVIP

实验4.2 Windows Server 2003 实施系统安全的配置和定义 实训目的 熟练掌握Windows Server 2003 的文件及目录权限设置，能够管理共享目录。 实训环境 WindowsServer 2003 Host （VMware7/Windows Server 2003/192RAM） 实训内容及步骤 一、 系统安全设置 系统安全设置是个全面、细致的配置，有效的安全配置可以提高系统的 安全防范。然而，网络服务的环境是复杂的，不能简单的认为下列操作可以 彻底的防范系统的入侵、攻击，但可以明显提高防范的等级。 1. 安装常用的软件  配置杀毒软件  扫描系统漏洞  备份系统。 2. 系统更新 点击开始菜单—所有程序—Windows Update,按照提示进行补丁的安装， 或使用第三 方工具安装补丁。 3. 开启防火墙，关闭不需要的端口 在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的 Internet 协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos 数据 包计划程序。在高级tcp/ip 设置里--NetBIOS设置禁用tcp/IP 上的 NetBIOS （S）。在高级选项里，使用Internet 连接防火墙，这是windows 2003 自带的防火墙。 4. 修改3389 远程连接默认端口 修改注册表 开始--运行--regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) 注意：在WINDOWS2003 自带的防火墙给+上10000 端口 修改完毕.重新启动服务器.设置生效. 步骤：打开 “开始→运行”，输入 “regedit”，打开注册表，进入以下路 径：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal 1 Server\Wds\rdpwd\Tds\tcp]，看见PortNamber 值，其默认值是3389，修改 成所希望的端口即可，例如1111。 再打开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp]，将PortNumber 的值（默认是3389）修改成 端口1111。修改完毕，重新启动电脑，以后远程登录的时候使用端口1111 就可以了。 二、 用户安全设置 1. 禁用Guest 账号 在计算机管理的用户里面把Guest 账号禁用。为了保险起见，最好给Guest 加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数 字、字母的长字符串，然后把它作为Guest 用户的密码拷进去。 2. 限制不必要的用户 去掉所有的Duplicate User 用户、测试用户、共享用户等等。用户组策略 设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些 用户很多时候都是黑客们入侵系统的突破口。 3. Administrator 账号改名 Windows 2003 的Administrator 用户是不能被停用的，这意味着别人可以 一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，方法是修改 用户名称。 4. 创建陷阱用户 即创建一个名为 “Administrator”的本地用户，把它的权限设置成最低， 并且加上