Windows Server 2003 服务器安全配置和web权限管理.docxVIP

Windows Server 2003 服务器安全配置和 Web 权限管理 一、Windows Server2003 的安装 1、安装系统最少两需要个分区，分区格式都采用NTFS 格式 2、在断开网络的情况安装好 2003 系统 3、安装 IIS，仅安装必要的 IIS 组件（禁用不需要的如 FTP 和 SMTP 服务）。默认情况下，IIS 服务没有安装，在添加/删除 Win 组件中选 择“应用程序服务器”，然后点击“详细信息”，双击 Internet 信息服务(iis)，勾选以下选项： Internet 信息服务管理器； 公用文件； 后台智能传输服务 (BITS) 服务器扩展； 万维网服务。 如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions 4、安装 MSSQL 及其它所需要的软件然后进行 Update。 5、使用 Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分析计算机的安全配置，并标识缺少的修补程序和更新 二、设置和管理账户 1、系统管理员账户最好少建，更改默认的管理员帐户名（ Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合 ，长度最好不少于 14 位。 2、新建一个名为 Administrator 的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于 20 位的密码 3、将 Guest 账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个 DelGuest 的工具，也许你也可以利用它来删除Guest 账户，但我没有试过。 4、在运行中输入gpedit.msc 回车，打开组策略编辑器，选择计算机配置-Windows 设置 -安全设置-账户策略-账户锁定策略，将账户设为“ 三次登陆无效”，“锁定时间为 30 分钟”，“复位锁定计数设为 30 分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留 Internet 来宾账户、启动 IIS 进程账户。如果你使用了A 还要保留 Aspnet 账户。 7、创建一个 User 账户，运行系统，如果要运行特权命令使用Runas 命令。三、网络服务安全管理 1、禁止 C$、D$、ADMIN$一类的缺省共享 打 开 注 册 表 ， HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters，在右边的窗口中新建 Dword 值，名称 设为 AutoShareServer 值设为 0 2、 解除 NetBios 与 TCP/IP 协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击 Internet 协议-高级-Wins-禁用 TCP/IP 上的 NETBIOS 3、关闭不需要的服务，以下为建议选项Computer Browser:维护网络计算机更新，禁用 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide：telnet 服务和 Microsoft Serch 用的，不需要禁用PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助四、打开相应的审核策略 在运行中输入 gpedit.msc 回车，打开组策略编辑器，选择计算机配置-Windows 设置-安全设置-审核策略在创建审核项目时需要注意的是如 果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况 在这二者之间做出选择。 推荐的要审核的项目是： 登录事件成功失败 账户登录事件成功失败系统事件成功失败 策略更改成功失败对象访问失败 目录服务访问失败特权使用失败 五、其它安全相关设置 1、隐藏重要文件/目录 可以修改注册表实现完全隐藏： “ HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Adv anced/Folder/Hi -dden/SHOWAL