当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows2003网络服务器安全攻略

Windows服务器
Windows7启动apache失败
WIndows系统下安装mysql-noinstall版本
在Windows系统下搭建SVN服务器
Windows XP系统下安装Vmware6.0虚拟机
自定义MIME类型支持FLV的相关设置
不错的一篇3389使用相关技巧
Windows中IIS内FTP服务器高级配置图文教程
国内首款同时支持自定义404/505/rewrite的asp服务器(netbox制作,开放源代码)
不错的服务器变慢的两种非常规解决办法
重启无响应的IIS服务的方法
检查域名MX PTR(反向解析)记录的处理方法
顺利做好IP反向解析(PTR记录)的步骤分析
serv-u服务器的管理方法与功能分析
用Serv-U架设FTP服务器的方法与设置方法
WordPress在window2003 IIS ISAPI ReWrite下的URL规则
批处理自动解决Imail的Queuemgr服务挂起的方法
服务器完美设置,支持asp php cgi jsp asp.net mysql!
轻松架设Windows 2003用户隔离FTP站点的注意事项
在IIS6中新增可下载文件类型的方法
详解iis连接数与限制的问题

Windows服务器 中的 Windows2003网络服务器安全攻略


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 23 ::
收藏到网摘: n/a

    一、Windows Server2003的安装

  1、安装系统最少两需要个分区,分区格式都采用NTFS格式

  2、在断开网络的情况安装好2003系统

  3、安装IIS,仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,双击Internet信息服务(iis),勾选以下选项:

  Internet 信息服务管理器;

  公用文件;

  后台智能传输服务 (BITS) 服务器扩展;

  万维网服务。

  如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions

  4、安装MSSQL及其它所需要的软件然后进行Update。

  5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置,并标识缺少的修补程序和更新。下载地址:见页末的链接

    二、设置和管理账户

  1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。

  2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码

  3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。

  4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时渖栉?0分钟”,“复位锁定计数设为30分钟”。

  5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

  6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。

  7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。

    三、网络服务安全管理

  1、禁止C$、D$、ADMIN$一类的缺省共享

  打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0

  2、 解除NetBios与TCP/IP协议的绑定

  右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

  3、关闭不需要的服务,以下为建议选项

  Computer Browser:维护网络计算机更新,禁用

  Distributed File System: 局域网管理共享文件,不需要禁用

  Distributed linktracking client:用于局域网更新连接信息,不需要禁用

  Error reporting service:禁止发送错误报告

  Microsoft Serch:提供快速的单词搜索,不需要可禁用

  NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用

  PrintSpooler:如果没有打印机可禁用

  Remote Registry:禁止远程修改注册表

  Remote Desktop Help Session Manager:禁止远程协助

  四、打开相应的审核策略

  在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。

  推荐的要审核的项目是:

  登录事件 成功 失败

  账户登录事件 成功 失败

  系统事件 成功 失败

  策略更改 成功 失败

  对象访问 失败

  目录服务访问 失败

  特权使用 失败

    五、其它安全相关设置

  1、隐藏重要文件/目录

  可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0

  2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。

  3、防止SYN洪水攻击

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  新建DWORD值,名为SynAttackProtect,值为2

  4. 禁止响应ICMP路由通告报文

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface

  新建DWORD值,名为PerformR