服务器安全解决方案

系 统 组 件:
SQL Server 2000 IIS (asp.net) 诺顿10.0简体中文企业版
傲盾防火墙 Server-u6.0版 PCAnyWhere10.0版

本地安全策略设置:

　　开始菜单―>管理工具―>本地安全策略
　　A、本地策略――>审核策略
　　审核策略更改　　　成功　失败　　
　　审核登录事件　　　成功　失败
　　审核对象访问　　　　　　失败
　　审核过程跟踪　　　无审核
　　审核目录服务访问　　　　失败
　　审核特权使用　　　　　　失败
　　审核系统事件　　　成功　失败
　　审核账户登录事件　成功　失败
　　审核账户管理　　　成功　失败

　　B、本地策略――>用户权限分配
　　关闭系统：只有Administrators组、其它全部删除。
　　通过终端服务拒绝登陆：加入Guests、User组
　　通过终端服务允许登陆：只加入Administrators组，其他全部删除

　　C、本地策略――>安全选项
　　交互式登陆：不显示上次的用户名　　　　　　　启用
　　网络访问：不允许SAM帐户和共享的匿名枚举　　 启用
　　网络访问：不允许为网络身份验证储存凭证　　　启用
　　网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　网络访问：可远程访问的注册表路径　　　　　　全部删除
　　网络访问：可远程访问的注册表路径和子路径　　全部删除
　　帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户
　　帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户

修改3389默认端口:

运行 Regedt32 并转到此项：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp, 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。
禁用不必要的服务不但可以降低服务器的资源占用减轻负担，而且可以增强安全性。下面列出了

禁 用 服 务：

•Application Experience Lookup Service
•Automatic Updates
•BITS
•Computer Browser
•DHCP Client
•Error Reporting Service
•Help and Support
•Network Location Awareness
•Print Spooler
•Remote Registry
•Secondary Logon
•Server
•Smartcard
•TCP/IP NetBIOS Helper
•Workstation
•Windows Audio
•Windows Time
•Wireless Configuration

组策略配置:

在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators；
启用 不允许匿名访问SAM帐号和共享；
启用 不允许为网络验证存储凭据或Passport；
从文件共享中删除允许匿名登录的DFS$和COMCFG；
启用 交互登录：不显示上次的用户名；
启用 在下一次密码变更时不存储LANMAN哈希值；
禁止IIS匿名用户在本地登录；

目录权限的分配:

1． 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限.
2． 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

3． 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权.

4． 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

5． 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。