服务器系统安全配置,Windows-Server-2003-服务器系统系统安全配置方案

《Windows-Server-2003-服务器系统系统安全配置方案》由会员分享，可在线阅读，更多相关《Windows-Server-2003-服务器系统系统安全配置方案(16页珍藏版)》请在人人文库网上搜索。

1、Windows Server 2003服务器系统安全配置方案一、系统安装1.按照窗口2003安装光盘中的说明进行操作。默认情况下，2003年系统中未安装IIS6.0。2.IIS6.0的安装开始菜单-控制面板-添加或删除程序-添加/删除窗口组件-ASP.NET应用程序(可选)|启用网络组件访问(必需)| 互联网信息服务(IIS)-互联网信息服务管理器(必需)|公共文件(必需)|万维网服务活动服务器页面(必需)| 互联网数据连接器(可选)| 电子广播发布(可选)|万维网服务(必需)|服务器端包含文件(可选)然后单击确定-下一次安装。3.系统补丁的更新单击开始菜单-所有程序-窗口更新按照提示安装补丁。

2、。4.备用系统用GHOST备份系统。5.安装常用软件例如：杀毒软件、解压缩软件等。安装后，使用GHOST再次备份系统。二、系统权限设置1.磁盘权限系统磁盘和所有磁盘仅向管理员组和系统提供完全控制系统磁盘文档和设置目录仅将完全控制权交给管理员组和系统系统磁盘文档和设置所有用户目录仅向管理员组和系统提供完全控制系统磁盘Inetpub目录和下面的所有目录和文件仅授予管理员组和系统完全控制权系统磁盘、cacls.exe、net.exe和net1.exe文件仅授予管理员组和系统完全控制权2.本地安全策略设置开始菜单-管理工具-本地安全策略A.本地策略审核策略审核策略更改成功失败审核登录事件成功失败审核对。

3、象访问失败审计流程跟踪无审计审核目录服务访问失败审核权限使用失败审核系统事件成功失败审核帐户登录事件成功失败审核帐户管理成功失败B.本地策略用户权限分配关闭系统：仅删除管理员组和其他人。拒绝通过终端服务登录：加入来宾和用户组允许通过终端服务登录：仅加入管理员组，并删除所有其他人C.本地策略安全选项交互式登录：不显示最后启用的用户名网络访问：不允许启用SAM帐户和共享的匿名枚举网络访问：不允许为网络身份验证启用存储凭据网络访问：所有可以匿名访问的共享都被删除网络访问：所有可以匿名访问的生命都被删除网络访问：删除所有可远程访问的注册表路径网络访问：删除所有可远程访问的注册表路径和子路径帐户：重命名。

4、来宾帐户重命名帐户帐户：重命名系统管理员帐户重命名帐户3.禁用不必要的服务开始菜单-管理工具-服务打印假脱机程序远程注册表网络辅助程序服务器在默认情况下在Windows Server 2003系统上启动的服务中，上述功能被禁用。除非有特殊需要，否则不应启动默认禁用的服务。4.启用防火墙桌面-网络邻居-(右键单击)属性-本地连接-(右键单击)属性-高级-(选定)互联网连接防火墙-设置选择要在服务器上使用的服务端口例如，网络服务器应该提供网络(80)、文件传输协议(21)服务和远程桌面管理(3389)用复选标记标记“FTP服务器”、“WEB服务器”和“远程桌面”如果您要提供服务的端口不在其中，您也。

5、可以单击“添加”按钮来添加它。具体参数可参照系统中的原始参数。然后单击确定。注意：如果此服务器是远程管理的，首先要确定是否选择或添加了远程管理的端口。ASP虚拟主机安全检测探测器1.5版窗外特权结界“许可”这个词在计算机应用程序中经常出现，尤其是在越来越多的朋友将视窗2000/XP加载到计算机中之后，读者经常会问，什么是许可？它有什么用？下面我们将使用几个典型的例子来解释权限在windows中的应用，这样您不仅可以限制其他人访问您的文件夹并指定用户在没有安装任何软件的情况下不能使用的程序，还可以拥有来自Microsoft内部的独特技能来加强系统安全性。-首次了解视窗权限首先，为了充分利用win。

6、dows权限的所有功能，请确保应用权限的分区是NTFS文件系统。本文将以SP2视窗XP简体中文专业版为例来说明。1.什么是权威？例如，窗口就像一个有导师甲和导师乙的实验室；学生a和b都可以在实验室完成实验。然而，这里有不同的等级。两位导师可以指定学生可以使用哪些实验工具以及他们不能接触哪些工具，这样实验室就不会因为学生误用实验工具而出现问题。同时，两位教师可以限制对方使用实验工具。因此，权威在。windows是分配和限制某个用户或同一级别用户权限的方法。就其外观而言，windows用户必须遵循这种“不平等”的系统，正是这种系统使windows能够更好地为多用户创建一个良好而稳定的操作环境。2.。

7、权限是什么？在基于NT内核的Windows 2000/XP中，权限主要分为七类：完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限(见图1)。其中，完全控制包括另外六个权限。只要您拥有它，您就拥有另外六个权限，其余的复选框将被自动选中。它属于“最高级别”权限。但是，其他权限的级别是：特殊权限读取和运行修改写入读取。默认情况下，Windows XP将启用“简单文件共享”，这意味着“安全”选项卡和权限的高级选项都不可用。因此，本文中描述的权限应用程序操作无法执行。现在右键单击任何文件或文件夹。选择属性。如果看不到“安全”选项卡，可以通过以下方法打开它。打开“我的电脑”，单击“工具文件。

8、夹选项查看”，然后单击“取消”使用简单文件共享(推荐)复选框。实战权威积极应用以下应用程序的前提是受限用户不在管理员组中，否则可能会发生未经授权的访问，这将在后面的“反向应用程序”中讨论。执行权限设置的用户必须至少是超级用户组的成员，才能拥有足够的权限进行设置。示例1:不要查看我的文档-保护您的文件或文件夹假设计算机a中有三个用户，用户名分别是用户1、用户2和用户3。用户1不希望用户2和用户3查看和操作他们自己的测试文件夹。步骤1:右键单击“测试”文件夹，选择“属性”进入“安全性”标签。您将在“组或用户名”列中看到管理员(管理员)、创建者所有者、系统用户(用户)、用户1(用户1)。它们分别代表。

9、名为计算机a的文件夹的管理员组、创建组、所有者组、系统组、用户组和用户1权限设置。当然，对于不同的计算机设置和软件安装，此列中用户或用户组的信息可能与我所描述的不同。但是，在正常情况下，至少包括三个项目中的一个：管理员、系统、用户或所有人(见图2)。步骤2:依次选择和删除管理员、创建者所有者、系统、用户，并且只保留您使用的用户帐户。您可能会遇到如图3所示的提示框。事实上，只需单击“高级”按钮，在“权限”选项卡中，取消“从父对象继承可应用于子对象的权限项目，包括在此明确定义的权限项目”复选框，然后单击弹出对话框中的“删除”。此操作使此文件夹清除从上一个目录继承的权限设置，并且血糖仪保留您使用的用。

10、户1帐户。这是如此简单，你可以达到的目的，其他用户，甚至系统权限，不能访问测试文件夹。需要注意的是，如果需要在此文件夹中安装软件，请不要删除“系统”，否则可能会导致系统访问错误。管理员不是最高指挥官：你可能会问，为什么这里有一个“系统”账户？同时，许多朋友认为windows2000/XP中的管理员是拥有最高权限的用户。事实上，否则，这个“系统”拥有最高的权威，因为它“作为操作系统的一部分工作”。任何通过某种方法获得此权限的用户都可以覆盖所有内容。-例2:工作时间不要聊天禁止用户使用程序步骤1:在安装目录下找到聊天程序的主程序，如QQ，其主程序是QQ.exe，打开其属性对话框，进入“安全”选项卡。

11、，选择或添加您要限制的用户，如用户3。步骤2:选择“完全控制”作为“拒绝”，选择“读取并运行”以及“拒绝”。步骤3:单击“高级”按钮输入高级权限。选择用户3，然后单击“编辑”按钮输入权限项目。选中此处“拒绝”列中的“更改权限”和“取得所有权”复选框。组策略编辑器也可以用来实现这个功能，但是安全性不如上述方法高。单击“开始运行”，输入“gpedit.msc”，进入并打开组策略编辑器，输入“计算机设置窗口设置安全设置软件限制策略其他规则”，右键单击，选择“所有任务新路径规则”，然后根据提示设置要限制的软件的主程序路径，然后设置所需的安全级别，无论是“不允许”还是“限制”。-示例3:新来者是访客微软。

12、增强系统安全性的内部秘密这个实战内容需要管理员权限。所谓的入侵无非是用某种方法获取管理员级权限或系统级权限，以便进行下一步操作，比如添加自己的用户。如果你想让入侵者“进来”而什么也不做呢？始终只能是来宾权限或低于此权限，即使本地登录，甚至不能关机。然后，他将不能进行任何破坏性的活动。注意：这种方法有很高的风险。建议根本不知道以下程序目的的读者不要尝试，以免因误操作导致系统故障或许多错误。步骤1:确定要设置的程序在系统目录中搜索危险的程序，这些程序可以用来创建用户来获取和提升低权限用户的权限，格式化硬盘，恶意操作如计算机崩溃：cmd.exe，regedit.exe，regsvr32.exe，re。

13、gedt32.exe，gpedit.msc，format.com，compmgmt.msc，mmc.exe，telnet.exe，ftp.exe，ftp.exe，XCOPY.EXE，at.exe，cacls.exe，edlin.exe，rsh.exe，finger.exe，runas.exe，net.exe，tracert.exe，netsh步骤2:根据系统调用的可能性对设置进行分组分组如下。设置这些程序权限。完成一个组后，建议重新启动计算机以确认系统是否正常运行，并检查事件查看器是否有错误消息(“控制面板管理工具事件查看器”)。(1)net.exetelnet.execommand.com(。

14、只保留您自己的用户，系统也会被删除)(2)mmc.exe、tftp.exe、ftp.exe、XCOPY。EXE、comsdupd.exe(只保留您自己的用户，系统也会被删除)(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe(保留你自己的用户和系统)(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issyn。