文档介绍:一份详细的服务器安全解决方案
2008-08-16 17:11:26 来源:互联网作者:编辑整理【大中小】评论:2 条
一、操作系统配置
(NTFS分区)后,装杀毒软件,我选用的是卡巴。
。扫描漏洞全面杀毒
Server 2003默认共享
首先编写如下内容的批处理文件:
***@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
,放到启动项中,每次开机时会自动删除共享。
use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
"网络连接"里的协议和服务
在"网络连接"里,把不需要的协议和服务都删掉,协议(TCP/IP),同时在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/BIOS(S)"。
,只开放web服务(80端口)。
注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放
21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略(可选用)
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名启用
网络访问:可匿名访问的共享全部删除
网络访问:可匿名访问的命名管道全部删除
**网络访问:可远程访问的注册表路径全部删除
**网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
(下面一项更改可能导致sqlserver不能使用)
帐户:重命名系统管理员帐户重命名一个帐户
二、iis配置(包括网站所在目录)
(*注意:在应用程序设置中执行权限设