Windows2003服务器安全设置.docVIP

Windows2003服务器安全设置 一、基本策略设置 1.所有分区必须设置为NTFS格式,方便设置权限； 2.所有分区除administrators 和system的用户完全控制外，其他的全部去除 （C盘除外，C盘权限将另作详细讲解） 3.启用windows自带防火墙,只保留有用的端口，比如WEB端口（80），SQL端口（1433）等，另外除80端口外，我们可根据我们的实际需要来更改端口号； 4.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在隶属于那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户 2010-3-19 15:11 5.配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“6次登陆无效”，“锁定时间10分钟”，“复位锁定计数设为10分钟” 6.在安全设置里 本地策略-安全选项 将 网络访问:可匿名访问的共享 网络访问:可匿名访问的命名管道 网络访问:可远程访问的注册表路径 网络访问:可远程访问的注册表路径和子路径 以上四项清空 7. 禁用不需要的和危险的服务,以下列出服务都需要禁用. Alerter 发送管理警报和通知 Computer Browser:维护网络计算机更新 Distributed File System: 局域网管理共享文件 Distributed linktracking client 用于局域网更新连接信息 Error reporting service 发送错误报告 Fast User Switching Compatibility 为在多用户下需要协助的应用程序提供管理 Help and Support 在计算机上运行帮助和支持中心 NetMeeting Remote Desktop Sharing 使授权用户能够使用 NetMeeting远程访问此计算机 Print Spooler 将文件加载到内存中以便迟后打印 Remote Registry 远程修改注册表 Removable storage 管理可移动媒体、驱动程序和库 Remote Desktop Help Session Manager 远程协助 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Messenger 消息文件传输服务 Net Logon 域控制器通道管理 NT LM Security Support Provider telnet服务和Microsoft Search用的 telnet telnet服务 Server 支持此计算机通过网络的文件、打印、和命名管道共享 Shell Hardware Detection 为自动播放硬件事件提供通知 Task Scheduler 计划任务 TCP/IP NetBIOS Helper 允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持 Themes 为用户提供使用主题管理的经验 Windows Audio Windows 程序的音频设备 WebClient 使基于 Windows 的程序能创建、访问和修改基于 Internet 的文件 Workstation 创建和维护到远程服务的客户端网络连接 8.更改本地安全策略的审核策略 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 Win2003 WEB服务器安全设置 1.系统文件权限设置： 更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组外，全部删除,重要的是连system也不要留 net.exe net1.exe cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe 在搜索框里输入 net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe, 点击搜索 然后全选 右键 属性 安全 以上这点是非常重要的一点,也是能够有效减少被提权和被破坏的可能的防御方法了 2.删除c:\inetpub目录或者将此目录设置为无任何用户可访问； 3.IIS安全设置： 在计算机管理中设定一个新的用户组，如test组，来将我们的站点使用的用户归类.方便管理。 新建一个用户，设置一个自己都记不