《windows-Server服务器系统自身安全防护措施.docx》由会员分享,可在线阅读,更多相关《windows-Server服务器系统自身安全防护措施.docx(5页珍藏版)》请在三一办公上搜索。
1、常规验证T 0 成搜索地址网路理接斗本地莲接3新建连搂向导tfijidcwE防火墙Windows Server系统自身安全防护措施提示:为慎重操作,可以先在测试机做关闭测试,最好通过与厂方工程师商定后再设 置。一、关闭服务器不必要端口利用win2003自带防火墙关闭所有端口,如就留一个端口 :80。(设置有两种方法, 一个使用windows自带防火墙设,一个实在TCP/IP属性里设。)设置方法:1、在“网络连接”属性里设Swindows防火墙。勘连接文件 编辑如 苞看俚)收以TfllT)高级如韧助2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。甯规I垃证添加(J)编
2、瑁H).IH确定 |HF服碧器通过阳制或防U 算航景俱护汁驾iRtcrMt3 CMM3)iRternst联件访问KI浪版本4 QMAF4)iRUrntt哪怦服备器(5MTF)lelnet服亳器内下列疆定南遮接JB用了 注,蔺医择连接,黑借单日L安全帆服案器OfHFS)邮局协议牍本3 CFOF30远程臬面ICMfif褊瞿琴咨鬻诋择Intent用户可以访向的运行于您的网寄一 务(1%服务:Wind-Otos惭f火婚默队设置蓦将所有W&g时堵 清单击“还原为驮认酒”.安全曰瑟怛录您可以创建隹干雎理麝答虏二、在服务中关闭不必要的服务以下服务可以关闭:Computer Browser维护网络上计算机的最
3、新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client当文件在网络域的NTFS卷中移动时发送通知 C
4、om+ Event System提供事件的自动发布到订阅COM组件Alerter通知选定的用户和计算机管理警报Error Reporting Service收集、存储和向Microsoft报告异常应用程序Messenger传输客户端和服务器之间的NET SEND和 警报器服务消息Telnet允许远程用户登录到此计算机并运行程序三、在”网络连接”里,把不需要的协议和服务都删掉。这里只安装了基本舫ternet协议 (TCP/IP)和Microsoft网络客户端。在高级t cp/ip设置里-NetBIOS”设置“禁用t cp/IP上的 NetBIOS(S)。四、运行pgedit.msc,配置用户权限
5、分配在安全设置里 本地策略-安全选项网络访问:可匿名访问的共享;网络访问:可匿名访问的命名管道;网络访问:可远程访问的注册表路径;网络访问:可远程访问的注册表路径和子路径;将以上四项全部删除不允许SAM账户的匿名枚举更改为已启用不允许SAM账户和共享的匿名枚举更改为已启用;网络访问:不允许存储网络身份验证的凭据或.NET Passports更改为已启用; 网络访问.限制匿名访问命名管道和共享,更改为已启用; 将以上四项通通设为“已启用”五、关闭每个硬盘的默认共享。在Windows 2000/XP/2003系统中,逻辑分区与Windows目录默认为共享,这是为管理员管理服务器的方便而设,但却成为
6、了别有用心之 徒可趁的安全漏洞。六、IIS (Internet信息服务器管理器1、在”主目录”选项设置以下:读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭 索引资源建议关闭执行权限推荐选择“纯脚本”。2、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法, URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只 允许管理员和system为Full Control)0七、SQL 数据安全设置l.System Administrators角色最好不要超过两个。2. 如果是在本机最好将身份验证配置为Win登陆。3. 不要使用Sa账户,为其配置一个超级复杂的密码。
