当前位置 主页 > 服务器问题 > win服务器问题汇总 >

    windows2003 服务器安全配置的建议

    栏目:win服务器问题汇总 时间:2018-08-04 11:37

    好多朋友拿到服务器以后不知道具体应该怎么配置,下面是一些系统必要的配置基础。大家可以参考下。 一、操作系统配置

    1.安装操作系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。

    2.安装系统补丁。扫描漏洞全面杀毒

    3.删除Windows Server 2003默认共享
    首先编写如下内容的批处理文件:
    @echo off
    net share C$ /del
    net share D$ /del
    net share E$ /del
    net share F$ /del
    net share admin$ /del
    文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。

    4.禁用IPC连接
    打开CMD后输入如下命令即可进行连接:net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。

    5.删除"网络连接"里的协议和服务
    在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里–"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。

    6.启用windows连接防火墙,只开放web服务(80端口)。
    注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

    7.磁盘权限
    系统盘只给 Administrators 和 SYSTEM 权限
    系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限;
    系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM 权限;
    系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限;
    系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;
    系统盘\Windows\System32\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只给 Administrators 权限(如果觉得没用就删了它,比如我删了cmd.exe,command.exe,嘿嘿。);
    其它盘,有安装程序运行的(如:sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。

    8.本地安全策略设置
    开始菜单—>管理工具—>本地安全策略
    A、本地策略——>审核策略 (可选用)
    审核策略更改 成功 失败
    审核登录事件 成功 失败
    审核对象访问 失败
    审核过程跟踪 无审核
    审核目录服务访问 失败
    审核特权使用 失败
    审核系统事件 成功 失败
    审核账户登录事件 成功 失败
    审核账户管理 成功 失败

    B、本地策略——>用户权限分配
    关闭系统:只有Administrators组、其它全部删除。
    通过终端服务拒绝登陆:加入Guests、Users组
    通过终端服务允许登陆:只加入Administrators组,其他全部删除

    C、本地策略——>安全选项
    交互式登陆:不显示上次的用户名 启用
    网络访问:可匿名访问的共享 全部删除
    网络访问:可匿名访问的命名管道 全部删除
    **网络访问:可远程访问的注册表路径 全部删除
    **网络访问:可远程访问的注册表路径和子路径 全部删除