windows2003服务器安全配置.doc

一、操作系统配置 1.安装操作系统(NTFS分区)后，装杀毒软件2.安装系统补丁。扫描漏洞全面杀毒 3.删除Windows Server 2003默认共享 首先编写如下内容的批处理文件： @echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del 文件名为delshare.bat，放到启动项中，每次开机时会自动删除共享。 4.禁用IPC连接 打开CMD后输入如下命令即可进行连接：net use\\ip\ipc$ password /user:usernqme。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。 5.删除网络连接里的协议和服务 在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），同时在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。 6.启用windows连接防火墙，只开放web服务(80端口)。 注：在2003系统里，不推荐用TCP/IP筛选里的端口过滤功能，譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。 7.磁盘权限 系统盘只给 Administrators 和 SYSTEM 权限 系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限； 系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM 权限； 系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限； 系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限； 系统盘\Windows\System32\net.exe，net1.exe，cmd.exe，command.exe，ftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe 文件只给 Administrators 权限(如果觉得没用就删了它，比如我删了cmd.exe，command.exe，嘿嘿。)； 其它盘，有安装程序运行的(我的sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限，无只给 Administrators 权限。 8.本地安全策略设置 开始菜单—管理工具—本地安全策略 A、本地策略——审核策略 (可选用) 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 B、本地策略——用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、Users组 通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——安全选项 交互式登陆：不显示上次的用户名 启用 网络访问：可匿名访问的共享 全部删除 网络访问：可匿名访问的命名管道 全部删除 **网络访问：可远程访问的注册表路径 全部删除 **网络访问：可远程访问的注册表路径和子路径 全部删除 帐户：重命名来宾帐户 重命名一个帐户 (下面一项更改可能导致sqlserver不能使用) 帐户：重命名系统管理员帐户 重命名一个帐户 二、iis配置(包括网站所在目录) 1.新建自己的网站(*注意：在应用程序设置中执行权限设为无，在需要的目录里再更改)，目录不在系统盘 注：为支持,将系统盘\Inetp