初探WindowsServer2003操作系统安全配置.docVIP

初探WindowsServer2003操作系统安全配置 　　摘要：随着Internet的不断发展，各种网络应用层出不穷。应用服务器所使用的系统环境也比较多样化，如WindowsServer2003、Linux、Unix等。就本人对WindowsServer2003操作系统的应用经验，针对该系统的基本安全设置进行以下探讨。 　　关键词：WindowsServer2003；安全 　　中图分类号：TP309 文献标识码：A 文章编号：1007-9599 （2012） 20-0000-02 　　1 磁盘划分 　　将硬盘建立三个及以上分区，并分配不同的用途。如：第一系统分区，安装操作系统；第二系统分区，安装常用应用程序；第三及以后的系统分区，存储备份数据。文件系统类型通常有FAT、NTFS等。从安全角度考虑，文件系统类型应选择NTFS格式。 　　2 账户和安全策略设置 　　2.1 系统默认账户管理。固定的操作系统都有一个固定的超级管理员和来宾账户名称，有利于黑客利用此来进行远程攻击行为。因此要把administrator账户改为一个不容易被猜到的账户，同时设置一个虚假的超级管理员帐户并修改其描述。另外禁用gust账户，并给其加一个复杂的密码。 　　2.2 隐藏上次登录的用户名。默认情况下，windows操作系统都会记住上次登陆的用户名，给物理上可以接触到自己计算机的非法用户留下漏洞。要去掉此功能，设置如下：控制面板-管理设置-本地安全策略，在右边窗格中双击“交互式登录：不显示上次的用户名”，设置成“已启用”即可。 　　2.3 密码策略设置（见表1） 　　2.4 账户锁定策略设置。账户登录失败锁定的阀值设为6次，账户锁定的时长设为720分钟。 　　2.5 审核策略设置（见表2） 　　3 系统服务设置 　　2003操作系统一般使用时都不需要更改系统服务内容，不过有时候某些系统服务会成为服务器的隐患，所以除非特殊情况非开不可，下列系统服务要停止并禁用：Alerter（通知选定的用户和计算机管理报警）；ApplicationLayerGatewayService（为应用程序级协议插件提供支持并启用网络/协议连接）；BackgroundIntelligentTransferService（利用空闲的网络带宽在后台传输文件）；ComputerBrowser（维护网络上计算机的更新列表，并将列表提供给计算机指定浏览）；DistributedFileSystem（将分散的文件共享合并成一???逻辑名称空间并在局域网或广域网上管理这些逻辑卷）；HelpandSupport（启用在此计算机上运行帮助和支持中心）；Messenger（传输客户端和服务器之间的NETSEND和警报器服务消息）；PrintSpooler（管理所有本地和网络打印队列及控制所有打印工作）；RemoteRegistry（使远程用户能修改计算机上的注册表设置）；TaskScheduler（使用户能在此计算机上配置和计划自动任务）；TCP/IPNetBIOSHelper（提供TCP/IP服务上NetBIOS和网络上客户端的NetBIOS名称解析的支持）；Telnet（允许远程用户登录到此计算机并运行程序）；Workstation（创建和维护到远程服务的客户端网络连接）等等，可根据应用对服务器的要求进行选择。 　　4 关闭默认共享 　　在windowsserver2003系统中存在一些特定的默认共享，允许管理人员连接到驱动器根目录下的共享文件夹。可根据本地环境关闭不必要的共享，如： 　　4.1 关闭Windows硬盘默认共享。在注册表中展开“HKLM＼System＼CurrentControlSet＼Services＼LanmanServer＼Parameters＼”，增加REG_DWORD类型的AutoShareServer键，值为0；增加REG_DWORD类型的AutoShareWks键，值为0； 　　4.2 关闭IPC$默认共享。在注册表中展开“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Lsa”注册表项，双击“Restrictanonymous”将其键值设为“1”即可。 　　5 安装系统补丁 　　系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误。不法者通过网络植入木马、病毒等方式来窃取电脑中的重要资料和信息，甚至破坏系统。因此，我们应及时为系统安装补丁，填补漏洞。目前，大多数第三方杀毒软件或者防护软件中都带有漏洞修复功能，给我们带来很大方便。 　　6 防火墙、杀毒软件的安装 　　在windowsserver2003系统里，建议开启系统防火墙，根据需求关闭不必要的端口。