Windows 2003 Server安全配置指南_落英缤纷.pdf

zs1308@163.com 周松 于2010/10/16整理 Windows2003Server Windows2003Server WWiinnddoowwsSeerrvveerr安全配置指南 如果你曾经配置过Windows NT Server或是Windows 2000 Server，你也许发现这些微 软的产品缺省并不是最安全的。虽然微软提供了很多安全机制，但是依然需要你来实现它们。 然而当微软发布Windows Server 2003的时候，改变了以往的哲学体系。新的理念是，服务 器缺省就应该是安全的。这的确是一个不错的理念，不过微软贯彻得还不够彻底。虽然缺省 的Windows 2003安装绝对比确省的Windows NT或 Windows 2000安装安全许多，但是它还 是存在着一些不足。 下面让我教大家如何让Windows Server2003更加安全。 一、Windows Server2003的安装 1、安装系统最少两需要个分区，分区格式都采用NTFS格式 2、在断开网络的情况安装好2003系统 3、安装IIS，仅安装必要的 IIS 组件（禁用不需要的如FTP 和 SMTP 服务）。默认情 况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详 细信息”，双击Internet信息服务(iis)，勾选以下选项： Internet 信息服务管理器； 公用文件； 后台智能传输服务 (BITS) 服务器扩展； 万维网服务。 如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions 4、安装MSSQL及其它所需要的软件然后进行Update。 5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分 析计算机的安全配置，并标识缺少的修补程序和更新。 二、设置和管理账户 修改管理员帐号和创建陷阱帐号 修改内建的用户账号多年以来，微软一直在强调最好重命名Administrator账号并禁用 Guest账号，从而实现更高的安全。在 Windows Server2003中，Guest 账号是缺省禁 用的，但是重命名Administrator账号仍然是必要的，因为黑客往往会从Administrator 账号入手开始进攻。 1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密 码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于 14 位。 zs1308@163.com 周松 于2010/10/16整理 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合 的最好不低于20位的密码 。这样可以让那些 Scripts s忙上一段时间了，并且可以借此发 现它们的入侵企图。或者在它的login scripts上面做点手脚。 3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个 DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。 4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置 -安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”， “复位锁定计数设为30分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet 来宾账户、启动IIS进程账户。如果你使用了A还要保留Aspnet账户。 7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。 三．服务与审核策略管理 先关闭不需要的端口 我比较小心，先关了端口。只开了21、80、1433、3389，有些人一直说什么默认的3389 不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设 置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet 协议（TCP/IP） --高级--选项--TC