萬盛學電腦網

 萬盛學電腦網 >> 系統工具 >> win2003服務器的相關安全策略的內容

win2003服務器的相關安全策略的內容

   策略一:關閉windows2003不必要的服務

  •computer browser 維護網絡上計算機的最新列表以及提供這個列表

  •task scheduler 允許程序在指定時間運行

  •routing and remote access 在局域網以及廣域網環境中為企業提供路由服務

  •removable storage 管理可移動媒體、驅動程序和庫

  •remote registry service 允許遠程注冊表操作

  •PRint spooler 將文件加載到內存中以便以後打印。

  •ipsec policy agent 管理ip安全策略及啟動isakmp/oakleyike)和ip安全驅動程序

  •distributed link tracking client 當文件在網絡域的ntfs卷中移動時發送通知

  •com+ event system 提供事件的自動發布到訂閱com組件

  •alerter 通知選定的用戶和計算機管理警報

  •error reporting service 收集、存儲和向 microsoft 報告異常應用程序

  •messenger 傳輸客戶端和服務器之間的 net send 和 警報器服務消息

  •telnet 允許遠程用戶登錄到此計算機並運行程序

  策略二:磁盤權限設置

  c盤只給administrators和system權限,其他的權限不給,其他的盤也可以這樣設置,這裡給的system權限也不一定需要給,只是由於某些第三方應用程序是以服務形式啟動的,需要加上這個用戶,否則造成啟動不了。

  windows目錄要加上給users的默認權限,否則asp和aspx等應用程序就無法運行。

  策略三:禁止 windows 系統進行空連接

  在注冊表中找到相應的鍵值hkey_local_machine/system/currentcontrolset/control/lsa,將dWord值restrictanonymous的鍵值改為1

  策略四:關閉不需要的端口

  本地連接--屬性--internet協議(tcp/ip)--高級--選項--tcp/ip篩選--屬性--把勾打上,然後添加你需要的端口即可。(如:3389、21、1433、3306、80)

  更改遠程連接端口方法

  開始-->運行-->輸入regedit

  查找3389:

  請按以下步驟查找:

  1、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwds dpwd ds cp下的portnumber=3389改為自寶義的端口號

  2、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwinstations dp-tcp下的portnumber=3389改為自寶義的端口號

  修改3389為你想要的數字(在十進制下)----再點16進制(系統會自動轉換)----最後確定!這樣就ok了。

  這樣3389端口已經修改了,但還要重新啟動主機,這樣3389端口才算修改成功!如果不重新啟動3389還

  是修改不了的!重起後下次就可以用新端口進入了!

  禁用tcp/ip上的netbios

  本地連接--屬性--internet協議(tcp/ip)--高級—wins--禁用tcp/ip上的netbios

  策略五:關閉默認共享的空連接

  首先編寫如下內容的批處理文件:

  @echo off

  net share c$ /delete

  net share d$ /delete

  net share e$ /delete

  net share f$ /delete

  net share admin$ /delete

  以上文件的內容用戶可以根據自己需要進行修改。保存為delshare.bat,存放到系統所在文件夾下的system32grouppolicyuserscriptslogon目錄下。然後在開始菜單→運行中輸入gpedit.msc,

  回車即可打開組策略編輯器。點擊用戶配置→windows設置→腳本(登錄/注銷)→登錄.

  在出現的“登錄 屬性”窗口中單擊“添加”,會出現“添加腳本”對話框,在該窗口的“腳本名”欄中輸入delshare.bat,然後單擊“確定”按鈕即可。

  重新啟動計算機系統,就可以自動將系統所有的隱藏共享文件夾全部取消了,這樣就能將系統安全隱患降低到最低限度。

  策略六:iis安全設置

  1、不使用默認的web站點,如果使用也要將iis目錄與系統磁盤分開。

  2、刪除iis默認創建的inetpub目錄(在安裝系統的盤上)。

  3、刪除系統盤下的虛擬目錄,如:_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。

  4、刪除不必要的iis擴展名映射。

  右鍵單擊“默認web站點→屬性→主目錄→配置”,打開應用程序窗口,去掉不必要的應用程序映射。主要為.shtml、shtm、stm。

  5、更改iis日志的路徑

  右鍵單擊“默認web站點→屬性-網站-在啟用日志記錄下點擊屬性

  策略七:注冊表相關安全設置

  1、隱藏重要文件/目錄

  hkey_local_machinesoftwaremicrosoftwindowscurrent-versionexploreradvancedfolderhiddenshowall”

  鼠標右擊 “checkedvalue”,選擇修改,把數值由1改為0。

  2、防止syn洪水攻擊

  hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

  新建dword值,名為synattackprotect,值為2

  3、禁止響應icmp路由通告報文

  hkey_local_machinesystem currentcontrolset services cpipparametersinterfacesinterface

  新建dword值,名為performrouterdiscovery 值為0。

  4、防止icmp重定向報文的攻擊

  hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

  將enableicmpredirects 值設為0

  5、不支持igmp協議

  hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

  新建dword值,名為igmplevel 值為0。

copyright © 萬盛學電腦網 all rights reserved