Windows Server系统自身安全防护措施
提示:
为慎重操作,可以先在测试机做关闭测试,最好通过与厂方工程师商定后再设置。
一、 关闭服务器不必要端口
利用win2003自带防火墙关闭所有端口,如就留一个端口:80 。(设置有两种方法,一个使用windows自带防火墙设,一个实在TCP/IP属性里设。) 设置方法: 1、在“网络连接”属性里设置windows防火墙。
2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。
二、 在服务中关闭不必要的服务
以下服务可以关闭:
Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序
三、在”网络连接”里,把不需要的协议和服务都删掉。这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。在高级tcp/ip设置里--\设置“禁用tcp/IP上的NetBIOS(S)”。
四、运行pgedit.msc,配置“用户权限分配”
>> 在安全设置里 本地策略-安全选项 网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径; 将以上四项全部删除
>> 不允许 SAM 账户的匿名枚举 更改为\已启用\
>> 不允许 SAM 账户和共享的匿名枚举 更改为\已启用\
>> 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为\已启用\>> 网络访问.限制匿名访问命名管道和共享,更改为\已启用\将以上四项通通设为“已启用”
windows Server服务器系统自身安全防护措施
