windows2003的安全配置.docVIP

2003基本安全设置 windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法来提高我们服务器的安全性。 第一招：正确划分文件系统格式，选择稳定的操作系统安装盘 为了提高安全性，服务器的文件系统格式一定要划分成ntfs（新技术文件系统）格式，它比fat16、fat32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、eps文件加密等。如果你已经分成fat32的格式了，可以用convert 盘符 /fs：ntfs /v 来把fat32转换成ntfs格式。正确安装windows 2003 server,在网安联盟/soft/yyrj/bigsoft/200504/502.asp有windows 2003的企业可升级版，这个一个完全破解了的版本，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。 第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点： 1、系统盘权限设置 c:分区部分： c:\ administrators 全部(该文件夹，子文件夹及文件) creator owner 全部(只有子文件来及文件) system 全部(该文件夹，子文件夹及文件) iis_wpg 创建文件/写入数据(只有该文件夹) iis_wpg(该文件夹，子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:\documents and settings administrators 全部(该文件夹，子文件夹及文件) power users (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 system全部(该文件夹，子文件夹及文件) c:\program files administrators 全部(该文件夹，子文件夹及文件) creator owner全部(只有子文件来及文件) iis_wpg (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 power users(该文件夹，子文件夹及文件) 修改权限 system全部(该文件夹，子文件夹及文件) terminal server user (该文件夹，子文件夹及文件) 修改权限 2、网站及虚拟机权限设置(比如网站在e盘) 说明：我们假设网站全部在e盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1...vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理 e:\ administrators全部(该文件夹，子文件夹及文件) e:\wwwsite administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) service全部(该文件夹，子文件夹及文件) e:\wwwsite\vhost1 administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) vhost1全部(该文件夹，子文件夹及文件) 3、数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限 比如f盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限 4、其它地方的权限设置 请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许administrators访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe  5.删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述 第三招：禁用不必要的服务，提高安全性和系统效率 computer browser 维护网络上计算机的最新列表