4.配置防火墙.docVIP

本文来自百度文库版权为作者所有 第 PAGE 17页（共 NUMPAGES 18页） 暴露于Internet中的服务器安全配置步骤 目录 TOC \o "2-2" \h \z \t "标题 1,1" 1. 配置 Windows 2000 Server 3 2. 配置防火墙 3 2.1 天网防火墙个人版（自定义 IP 规则） 3 3. 修改本地用户 5 4. 设置本地安全策略 6 4.1 账户锁定策略 6 4.2 审核策略 7 4.3 用户权利指派 7 4.4 安全选项 8 5. 配置路由和远程访问 9 6. 配置 VPN 14 7. 日常例行检查 14 请在任何时候都记住：再好的安全措施、防火墙，也无法抵御来自内部的攻击，特别是具有管理员权限内部人员的恶意攻击。 配置 Windows 2000 Server 必须安装直到目前的所有补丁：sp1、sp2、sp3。 经常使用“开始”“Windows Updata”功能进行安全更新。 配置应用程序 如果系统中的应用程序有补丁，必须全部打上补丁，特别是SQL SERVER2000,必须依次打到SP3以上。 IIS的处理 在一般情况下，请去掉IIS服务。 请将C:\INTEPUB这个文件夹改名。 配置防火墙 我们一般建议使用诺顿网络特警2003（请见《诺顿网络特警2003操作手册》） 修改本地用户 打开“开始－程序－管理工具－计算机管理”，展开“计算机管理（本地）－系统工具－本地用户和组”。 设置所有属于“administrator”组的用户密码必须在18位以上。 双击“组”，建立组 VPN。 双击“用户” 新建“sql”帐号，专用于SQL SERVER2000服务启动使用。并加入administrator 组。密码至少 18 位长并且必须包含字母和数字，并修改其拨入属性为“拒绝访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。 设置 administrator 密码至少 18 位长并且必须包含字母和数字，并修改其拨入属性为“拒绝访问”。 禁用 guest 账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。 禁用 SQLDebugger 账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。 禁用 IUSR_xx 和IWAM_xx账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。 禁用 TsInternetUser 账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。 建立用户 hxxddialin，密码至少 18 位长并且必须包含字母和数字，属于本机 VPN 组和 users 组，拨入属性为“允许访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。 设置本地安全策略 设置密码策略 打开“开始－程序－管理工具－本地安全策略”，展开“安全设置－账户策略－密码策略”。 “密码必须符合复杂性要求”-设置为“启用”。 “密码长度最小值”为：10位。 账户锁定策略 “复位帐号锁定计数器”定义为：30分钟； “帐号锁定时间”定义为：0分钟（特别重要）； “帐号锁定阀值”定义为2次。 本项设置好5分钟之后，在另外一台机器上的“我的电脑”的“地址栏”上输入\\VPNserver（VPNserver为VPN服务器名称），电脑会提示用户名、密码连接，用户名依次输入“guest”、“TsInternetUser”、“IUSR_xx ”、“IWAM_xx”等，并故意5次输入错误密码，以使这些帐号被“锁定”，以保证这些帐号不仅被“禁用”，同时也被“锁定”，彻底保证安全。 EMBED PBrush 审核策略 打开“开始－程序－管理工具－本地安全策略”，展开“安全设置－本地策略－审核策略”。修改为与下图相同。 用户权利指派 打开“开始－程序－管理工具－本地安全策略”，展开“安全设置－本地策略－用户权利指派”。 双击“从网络访问此计算机”策略，按“添加”按钮，只保留如下两个项目 双击“拒绝从网络访问这台计算机”策略，按“添加”按钮，增加如下项目 安全选项 打开“开始－程序－管理工具－本地安全策略”，展开“安全设置－本地策略－安全选项”。 双击“重命名系统管理员账户”和“重命名来宾帐户”策略，进行如下修改 配置路由和远程访问 打开“开始－程序－管理工具－路由和远程访问”，展开“路由和远程访问－XXX（本地）－远程访问策略”。 右键“新建远程访问策略”，显示 策略名称为“如果启用拨入许可，就允许访问”，按“下一步”，显示 按