浦东教育专网学校服务器安全配置建议doc.docVIP

浦东教育网学校服务器安全配置建议 一、 目前，浦东新区多数中小学都建立了学校门户网站，有些学校还建立了基于 Web的应用平台。随着应用的拓展和深化，学校门户网站功能逐渐完善，使用率越来越高，重要性越来越强，其安全性问题也日益凸显。 门户网站正常运行的基础保障。在浦东新区学校门户网站普遍采用自主维护方式的情况下，保障服务器的安全成为学校信息化中的一项重要工作。针对学校网络管理员大多由信息科技学科教师兼职担任、并非网络和操作系统方面专业人员的现状，特制定本建议，为学校网络管理员提供参考，设置服务器关键参数，提高学校门户网站服务器的安全性和稳定性。 二、应用范围 本建议中操作部分，适用于操作系统为Windows Server 2000和Windows Server 2003的学校门户网站（Web）服务器，其他版本的服务器与该操作稍有不同操作部分仅供参考。 三、安全配置建议 网络安全 （1）分的服器 建议为服务器划分单独的VLAN，与普通终端电脑进行网段的隔离，抑制网络风暴。可在交换机中设置网络访问控制策略 了解网站服务器处置网络拓扑的，网络基本配置，发现网络故障易于进行故障排查。 条件的学校为服务器区域单独配置网络防火墙网络隔离防止非授权访问抵御网络攻击。 （2）服务器网络配置不适用WINDOWS SERVER 2008） 通过对TCP/IP协议设置，指定并开发学校网站应用需要的端口，将其余端口关闭。设置方法如下： 本地连接”→“常规” →“属性” →“Internet协议(TCP/IP) ” →“属性” →“高级” →“选项” →“TCP/IP筛选” →“属性”，出现如下窗口，然后按图1操作，仅开放80, 135, 139, 445 等TCP端口，然后根据服务器其他需要增加如：3389, 8080, 88等TCP端口。 图1 TCP/IP端口配置 备注：WINDOWS SERVER 2008防火墙中可配置详细的安全策略。安装个人版防火墙进行控制。 （） 安装防火墙软件或启用Windows Server 2003自带的防火墙，并进行正确的配置，开放学校网站应用的必要服务。设置方法如： 图2 Windows防火墙配置 （4） 选择高级” →“本地连接” →“设置”，默认选择“Web服务器”，然后再根据服务器应用情况，启用或者增加其他相关应用，见图3。 图3 服务配置 2．系统安全 （1）定期更新系统补丁 更新， 具体操作： -自动更新（ 查看更新： -添加/删除程序SP补丁； （2）安装防病毒软件 开启病毒实施监控和报警定时更新病毒库，查杀病毒，及时处理病毒报警。 （3）提高帐户安全性 启用密码,设置如下策略： 1、密码必须符合复杂性要求 2、密 3、密 4、密 5、强制密 控制面板－管理工具－本地安全策略－帐户策略－密码策略 图4 设置密码安全 在用户账号安全方面，禁用Guest帐号，更改系统管理员(administrator)的用户名，并将系统管理员的密码设置符合复杂性要求（包含大小写和数字，长度大于8位）。 图5 禁用Guest账号配 图6 administrator改名（如wjzxweb） （4）禁用系统不必要的服务 通过开始”→“运行”→“services.msc”或“开始”→“控制面板”→“管理工具”→“服务”启动服务管理工具，禁用表1服务（默认为禁用）： 表1 建议禁用的服务列表 服务名称 描述与建议 TCP/IP NetBIOS Helper 提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络Server支持此计算机通过网络的文件、打印、和命名管道共享 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的NET SEND和警报器服务消息 Distributed File System 局域网管理共享文件，不需要可禁用 Distributed linktracking client 用于局域网更新连接信息，不需要可禁用 Error reporting service 禁止发送错误报告 （仅限Windows Server 2003） Microsoft Serch 提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的，不需要可禁用 PrintSpooler 如果没有打印机可禁用 Remote Registry 禁止远程修改注册表 Remote Desktop Help Se