windows Server服务器系统自身安全防护措施.docxVIP

windows Server服务器系统自身安全防护措施 Windows Server系统自身平安防护措施提示：为慎重操作，可以先在测试机做关闭测试，最好通过与厂方工程师商定后再设置。一、关闭效劳器不必要端口利用win2003自带防火墙关闭全部端口，如就留一个端口：80 。〔设置有两种方法，一个用法windows自带防火墙设，一个实在TCP/IP属性里设。〕设置方法： 1、在“网络连接〞属性里设置windows防火墙。2、将需要翻开的端口添加进去。建议大家尽可能少翻开端口。尽量不要开远程桌面。二、在效劳中关闭不必要的效劳以下效劳可以关闭：Computer Browser 维护网络上计算机的最新列表以及供应这个列表Task scheduler 允许程序在指定时间运行Routing and Remote Access 在局域网以及广域网环境中为企业供应路由效劳Removable storage 管理可挪动媒体、驱动程序和库Remote Registry Service 允许远程注册表操作Print Spooler 将文件加载到内存中以便以后打印。要用打印机的伴侣不能禁用这项IPSEC Policy Agent 管理IP平安策略以及启动ISAKMP/OakleyIKE〕和IP平安驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中挪动时发送通知Com+ Event System 供应大事的自动发布到订阅COM组件Alerter 通知选定的用户和计算机管理警报Error Reporting Service 搜集、存储和向 Microsoft 报告异样应用程序Messenger 传输客户端和效劳器之间的 NET SEND 和警报器效劳消息Telnet 允许远程用户登录到此计算机并运行程序三、在〞网络连接〞里，把不需要的协议和效劳都删掉。这里只安装了根本的Internet协议〔TCP/IP〕和Microsoft网络客户端。在高级tcp/ip设置里--NetBIOS设置“禁用tcp/IP上的NetBIOS〔S〕〞。四、运行pgedit.msc，配置“用户权限安排〞 在平安设置里本地策略-平安选项网络访问:可匿名访问的共享;网络访问:可匿名访问的命名管道;网络访问:可远程访问的注册表途径;网络访问:可远程访问的注册表途径和子途径;将以上四项全部删除 不允许 SAM 账户的匿名枚举更改为已启用 不允许 SAM 账户和共享的匿名枚举更改为已启用 ; 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为已启用 ; 网络访问.限制匿名访问命名管道和共享,更改为已启用 ;将以上四项统统设为“已启用〞五、关闭每个硬盘的默认共享。在Windows 2000/XP/2003系统中，规律分区与Windows 名目默认为共享，这是为管理员管理效劳器的便利而设，但却成为了别有专心之徒可趁的平安破绽。六、IIS (Internet信息效劳器管理器)1、在主名目选项设置以下：读允许写不允许脚根源访问不允许名目扫瞄建议关闭记录访问建议关闭索引资源建议关闭执行权限推举选择“纯脚本〞 。2、建议用法W3C扩大日志文件格式，每天记录客户IP地址，用户名，效劳器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要用法缺省的名目，建议更换一个记日志的途径，同时设置日志的访问权限，只允许管理员和system为Full Control)。七、SQL数据库平安设置1.System Administrators 角色最好不要超过两个。2.假如是在本机最好将身份验证配置为Win登陆。3.不要用法Sa账户，为其配置一个超级冗杂的密码。