Server2003服务器安全策略.docVIP

Server2003服务器安全策略 情景说明 某公司现扩大业务规模，提高对外宣传力度，架设WEB服务器一台，操作系统为server2003，现需要对其进行一系列配置，来保障其安全性。 情况分析 根据其要求，需要对服务器进行以下方面的配置，来保障其安全: 对管理员账户添加密码，并对其他账户的权限进行更改； 关闭不必要的服务以及端口，防止产生后门； 关闭默认共享，防止文件泄漏； 对IIS进行配置，修改日志存放位置； 注册表相关安全设置； 操作步骤 1.配置用户权限及密码： 在“控制面板—用户账户”中添加管理员账户密码，并删除无用账户； C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置。　　Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。 2可通过“控制面板—管理工具—服务”来关闭下列不必要的服务： ·ComputerBrowser维护网络上计算机的最新列表以及提供这个列表 ·Taskscheduler允许程序在指定时间运行 ·RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务 ·Removablestorage管理可移动媒体、驱动程序和库 ·RemoteRegistryService允许远程注册表操作 ·PrintSpooler将文件加载到内存中以便以后打印。 ·IPSECPolicyAgent管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序 ·DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知 ·Com+EventSystem提供事件的自动发布到订阅COM组件 ·Alerter通知选定的用户和计算机管理警报 ·ErrorReportingService收集、存储和向Microsoft报告异常应用程序 ·Messenger传输客户端和服务器之间的NETSEND和警报器服务消息 ·Telnet允许远程用户登录到此计算机并运行程序 3. 首先编写如下内容的批处理文件： @echo off net share C$ /delete net share D$ /delete net share E$ /delete net share F$ /delete net share admin$ /delete 将其保存后放入“启动”文件夹中，便可实现开机时自动关闭默认共享。 4.对IIS进行配置： 不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。 删除IIS默认创建的Inetpub目录(在安装系统的盘上)。 删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、shtm、stm。 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性，修改IIS的日志路径。 5对注册表进行配置： 隐藏重要文件/目录 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL” 鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。 防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值，名为SynAttackProtect，值为2 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值，名为PerformRouterDiscovery 值为0。 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0 不支持IGMP协议 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值，名为IGMPLevel 值为0。