Windows Server系统自身安全防护措施
提示:
为慎重操作,可以先在测试机做关闭测试,最好通过与厂方工程师商定后再设置。
一?¢ 关闭服务器不必要端口
利用win2003自带防火墙关闭所有端口,如就留一个端口:80 。(设置有两种方法,一个使用windows自带防火墙设,一个实在TCP/IP属性里设。) 设置方法: 1、在“网络连接”属性里设置windows防火墙。
2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。
二?¢ 在服务中关闭不必要的服务
以下服务可以关闭:
Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序
三、在”网络连接”里,把不需要的协议和服务都删掉。这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。在高级tcp/ip设置里--\设置“禁用tcp/IP上的NetBIOS(S)”。
四、运行pgedit.msc,配置“用户权限分配”
>> 在安全设置里 本地策略-安全选项 网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径; 将以上四项全部删除
>> 不允许 SAM 账户的匿名枚举 更改为\已启用\
>> 不允许 SAM 账户和共享的匿名枚举 更改为\已启用\
>> 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为\已启用\>> 网络访问.限制匿名访问命名管道和共享,更改为\已启用\将以上四项通通设为“已启用”
五、关闭每个硬盘的默认共享。在Windows 2000/XP/2003系统中,逻辑分区与Windows
目录默认为共享,这是为管理员管理服务器的方便而设,但却成为了别有用心之徒可趁的安全漏洞。
六、IIS (Internet信息服务器管理器)
1、在\主目录\选项设置以下: 读 允许 写 不允许
脚本源访问 不允许 目录浏览 建议关闭 记录访问 建议关闭 索引资源 建议关闭
执行权限 推荐选择 “纯脚本” 。
2、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。
(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
七?¢ SQL数据库安全设置
1.System Administrators 角色最好不要超过两个。 2.如果是在本机最好将身份验证配置为Win登陆。 3.不要使用Sa账户,为其配置一个超级复杂的密码。
windows-Server服务器系统自身安全防护措施精品资料
