服务器安全设置.docxVIP

服务器系统安全设置一 系统安全1、删除windows server 2003 默认共享①编写批处理文件，将其命名为delshare.bat，放至C盘@echo off net share C$ /delnet share D$ /delnet share E$ /delnet share admin$ /del②设置组策略（gpedit.msc）计算机配置-windows设置-脚本（启动/关机）-启动-添加脚本选定为delshare.bat，脚本参数为空，那么在每次开机时会自动删除共享。2、设置磁盘权限系统盘、系统盘\Documents and Settings、系统盘\Documents and Settings\All Users和系统盘\Documents and Settings\All Users\Application Data这4个目录只给予Administrators和SYSTEM权限；系统盘\Windows目录只给予Administrators、SYSTEM和users 权限；搜索系统盘中的Windows目录，搜索net.exe;net1.exe;cmd.exe;command.exe;ftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;tftp.exe;;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe文件只给予Administrators和SYSTEM权限其它盘的设置，有安装程序运行的（如SQL Server 2005），给予Administrators和SYSTEM权限，没安装的，只给予Administrators权限。3、修改远程连接3389端口可借助于远程端口修改小工具4、启用windows连接防火墙，只开放web服务（80端口）windows 2003 提供的防火墙称为internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在windows server 2003 standard edition和32位版本的windows server 2003 enterprise edition中。Internet连接防火墙的设置（1）启用防火墙①打开“网络连接”，右击要保护的连接-属性，出现“本地连接属性”对话框。②单击“高级”选项卡，设置“通过限制和防止从internet访问此计算机来保护计算机和网络”启用（2）防火墙服务设置Windows 2003 internet连接防火墙能够管理服务端口，例如http的80端口、FTP的21端口等，只要系统提供了这些服务商，internet连接防火墙就可以监视并管理这些端口。①开放win2003提供的标准web服务本地连接属性-高级-设置-服务设置-选中“web服务器（HTTP）”复选框，网络用户将无法访问web服务外本服务器所提供的其他网络服务②非标准服务的设置 以通过8000端口开放一非标准的Web服务为例。在 “服务设置”对话框中，单击[添加]按钮，出现“服务添加”对话框，在此对话框中，填入服务描述、IP地址、服务所使用的端口号，并选择所使用的协议（Web服务使用TCP协议，DNS查询使用UDP协议），最后单击[确定]。设置完成后，网络用户可以通过8000端口访问相应的服务，而对没有经过授权的TCP、UDP端口的访问均被隔离③设置防火墙安全日志设置在“高级设置”对话框中，选择“安全日志”选项卡，出现“安全日志设置”对话框，选择要记录的项目，防火墙将记录相应的数据。日志文件默认路径为C:\Windows\Pfirewall.log，用记事本可以打开。所生成的安全日志使用的格式为W3C扩展日志文件格式，可以用常用的日志分析工具进行查看分析。 5、禁止对外访问注册表运行gpedit.msc—计算机配置—Windows设置—安全设置—本地策略—安全选项，把允许匿名远程访问注册表的键值清空。二 数据库安全1、SQL Server需打上最新补丁2、删除sql server 上危险的存储过程运行以下脚本use?master? exec?sp_dropextendedproc?xp_cmdshell? exec?sp_dropextendedproc?xp_dirtree? exec?sp_dropextendedproc?xp_en