学校校园网站服务器安全配置建议.docxVIP

学校门户网站（WEB）服务器安全配置建议 一、 简介 在浦东新区学校教育信息化推进的过程中， 各校都建立了自己的学校网站。 随着应用的 加强，学校网站的功能逐渐完善， 使用率也越来越高， 学校网站的重要性也愈发突显。 学校 网站服务器的安全、稳定是学校网站正常运行的基础保障。 浦东新区的学校网站基本都是采 用自主维护的方式，保障服务器的安全也成为了学校信息化应用过程中的一项重要工作。 然 而，学校的网络管理员大多是计算机教师等兼职担任， 并非网络技术和操作系统方面的专业 人员，本建议的设计，旨在让学校的网络管理员可以参考其中的做法进行设置， 提高学校网 站服务器的安全性和稳定性。 二、 应用范围 基于 Windows Server 2000和 Windows Server 2003为操作系统的学校网站（ WEB）服务 器。 三、安全配置建议主要内容 网络安全 （1） 物理网络安全 在保障网络线路畅通的基础上，建议为服务器划分单独的 VLAN,与普通客户端电脑进 行网段的隔离，有利于抑制网络风暴等对服务器的破坏。 （2） 服务器网络配置 通过对TCP/IP协议设置，指定并开发学校网站应用需要的端口，将其余端口关闭。设 置方法如下： “本地连接”- “常规”- “属性” - “ In ternet协议（TCP/IP）- “属性”- “高级”- “选 项” - “TCP/IP筛选”- “属性”，出现如下窗口，然后按图操作，仅开放 80,135,139,445TCP 端口，然后根据服务器其他需要增加如 ：3389,8080,88等TCP端口 . 安装防火墙软件或启用 Windows Server 2003自带的防火墙，并进行正确的配置，开放 学校网站应用的必要服务。设置方法如下： A、启用防火墙 B、选择”高级”-”本地连接”-”设置”，默认选择”Web服务器”，然后再根据服务器应用情 况，启用或者增加其他相关应用。 系统安全 （1） 每月定期更新系统补丁。 （2） 安装防病毒软件，并及时更新。 3）提高帐户安全性。 在用户账号安全方面，禁用Guest帐号，更改系统管理员（administrator）的用户名，并将 8位）。系统管理员的密码设置符合复杂性要求（包含大小写和数字，长度大于 8位）。 系统管理员的密码设置符合复杂性要求（包含大小写和数字，长度大于 （4）禁用系统不必要的服务 通过“开始”-“运行” services.msc或“开始”-“控制面板”-“管理工具”-“服务” 启动服务管理工具，禁用以下服务（默认为禁用） ： TCP/IP NetBIOS Helper 提供 TCP/IP服务上的 NetBIOS和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 Server支持此计算机通过网络 的文件、打印、和命名管道共享Computer BrowserTask schedulerMessenger息Distributed File System:Distributed linktracking clientError reporting service 的文件、打印、和命名管道共享 Computer Browser Task scheduler Messenger 息 Distributed File System: Distributed linktracking client Error reporting service Microsoft Serch telnet 服务和 Microsoft Serch 用的，不需要可禁用 如果没有打印机可禁用 禁止远程修改注册表 禁止远程协助 关闭的话远程 NET 命令列不出用户组 NTLMSecuritysupportprovidePrintSpoolerRemote RegistryRemote Desktop Help Session ManagerWorkstation（ 5）其他几项安全设置重要提醒 NTLMSecuritysupportprovide PrintSpooler Remote Registry Remote Desktop Help Session Manager Workstation （ 5）其他几项安全设置 重要提醒 :修改注册表之前请先做好备份！ ） 删除默认共享 默认共享是为管理用途设置得，如果不使用，可以将其关闭。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters ： AutoShareServer类型是 REG DWORD把值改为0即可 禁止建立空连接 默认情况下， 任何用户通过通过空连接连上服务器，