windows2003 服务器安全配置的建议

下面是一些系统必要的配置基础。大家可以参考下。 一、操作系统配置

1.安装操作系统(NTFS分区)后,装杀毒软件,我选用的是卡巴。

2.安装系统补丁。扫描漏洞全面杀毒

3.删除Windows Server 2003默认共享

首先编写如下内容的批处理文件:

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share F$ /del

net share admin$ /del

文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。

4.禁用IPC连接

打开CMD后输入如下命令即可进行连接:net use\ip\ipc$ “password” /user:“usernqme”。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa婴儿起名http://www.bbqmw.net/qm_yeqm中的restrictanonymous子键,将其值改为1即可禁用IPC连接。

5.删除"网络连接"里的协议和服务

在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里–“NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)”。

6.启用windows连接防火墙,只开放web服务(80端口)。

注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

7.磁盘权限

系统盘只给 Administrators 和 SYSTEM 权限

系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限;

系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM 权限;

系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限;

系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;

系统盘\Windows\System32\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只给 Administrators 权限(如果觉得没用就删了它,比如我删了cmd.exe,command.exe,嘿嘿。);

其它盘,有安装程序运行的(如:sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,无只给 Administrators 权限。

8.本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略 (可选用)

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问 失败

审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

B、本地策略——>用户权限分配

关闭系统:只有Administrators组、其它全部删除。

通过终端服务拒绝登陆:加入Guests、Users组

通过终端服务允许登陆:只加入Administrators组,其他全部删除

C、本地策略——>安全选项

交互式登陆:不显示上次的用户名 启用

网络访问:可匿名访问的共享 全部删除

网络访问:可匿名访问的命名管道 全部删除

**网络访问:可远程访问的注册表路径 全部删除

**网络访问:可远程访问的注册表路径和子路径 全部删除

你可能感兴趣的:(windows2003 服务器安全配置的建议)