windows2003 服務器安全配置的建議
2024-09-10 00:05:42
供稿:網友
一、操作系統配置
1.安裝操作系統(NTFS分區)后,裝殺毒軟件,我選用的是卡巴。
2.安裝系統補丁。掃描漏洞全面殺毒
3.刪除Windows Server 2003默認共享
首先編寫如下內容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名為delshare.bat,放到啟動項中,每次開機時會自動刪除共享。
4.禁用IPC連接
打開CMD后輸入如下命令即可進行連接:net use//ip/ipc$ "password" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連接。
5.刪除"網絡連接"里的協議和服務
在"網絡連接"里,把不需要的協議和服務都刪掉,這里只安裝了基本的Internet協議(TCP/IP),同時在高級tcp/ip設置里–"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。
6.啟用windows連接防火墻,只開放web服務(80端口)。
注:在2003系統里,不推薦用TCP/IP篩選里的端口過濾功能,譬如在使用FTP服務器的時候,如果僅僅只開放21端口,由于FTP協議的特殊性,在進行FTP傳輸的時候,由于FTP 特有的Port模式和Passive模式,在進行數據傳輸的時候,需要動態的打開高端口,所以在使用TCP/IP過濾的情況下,經常會出現連接上后無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火墻能很好的解決這個問題,所以都不推薦使用網卡的TCP/IP過濾功能。
7.磁盤權限
系統盤只給 Administrators 和 SYSTEM 權限
系統盤/Documents and Settings 目錄只給 Administrators 和 SYSTEM 權限;
系統盤/Documents and Settings/All Users 目錄只給 Administrators 和 SYSTEM 權限;
系統盤/Documents and Settings/All Users/Application Data目錄只給 Administrators 和 SYSTEM 權限;
系統盤/Windows 目錄只給 Administrators 、 SYSTEM 和 users 權限;
系統盤/Windows/System32/net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只給 Administrators 權限(如果覺得沒用就刪了它,比如我刪了cmd.exe,command.exe,嘿嘿。);
其它盤,有安裝程序運行的(如:sql server 2000 在D盤)給 Administrators 和 SYSTEM 權限,無只給 Administrators 權限。
8.本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略 (可選用)
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權使用 失敗
審核系統事件 成功 失敗
審核賬戶登錄事件 成功 失敗
