服务器安全配置方案.pdfVIP

服务器安全配置方案

1.服务器硬件配置

1.1教务软件与数据库分别安装在两台服务器上°

教务软件服务器w（indowsserver2003系统）,开内网、外网。同时只开80、1433端

口。

数据库服务器s（qlserver2OO8数据库），不开外网，只允许教务软件服务器访问。同时只

开1433端口。

2WindowsServer2003月艮务器安全。

2.1安装网络杀毒软件和网络防火墙（建议：卡巴斯基）

2.2将VsystemrooA\System32\cmd.exe转移到其他目录或更名；

2.3系统帐号尽量少,更改默认帐户名（如Administrator）和描述,密码尽量复杂;

2.4拒绝通过网络访问该计算机（匿名登录；内置管理员帐户；Support388945a0：

Guest：所有非操作系统服务帐户）

2.5建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这

样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，

这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器

上作测试，然后慎重更改。

2.6禁止C$、D$一类的缺省共享

HKEYLOCALr4ACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\pa

rametersAutoShareServerREGDWORD.OxO

2.7禁止省共享

HKEYLOCALf4ACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\pa

rametersAutoShareWksREG.DWORD.OxO

2.8限制IPC$缺省共享

HKEYLOCALr4ACHINE\SYSTEM\CurrentControlSet\Control\Lsarestrictanony

mousREG.DWORD0x0缺省0x1匿名用户无法列举本机用户列表0x2匿名用

户无法连接本机IPC$共享说明:不建议使用2,否则可能会造成你的一些服务无

法启动，如SQLServer

2.9仅给用户真正需要的权限，权限的最小化原则是安全的重要保障

2.10在网络连接的协议里启用TCP/IP筛选，仅开必要的端口（如80）

2.11通过更改注册表

Local_Machine\System\CurrentControlSet\Control\LSA-estrictAnonymous=1

来禁止139空连接

2.12修改数据包的生存时间T（TL）值

2.13HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

2.14DefaultTTLEG.DWOD0-0xff（0-255十进制，默认值128）

2.15防止SYN洪水攻击

HKEY_L0CALJ4ACHINE\SYSTEM\CurrentControISet\Services\Tcpip\Parameter