《windowsServer服务器系统自身安全防护措施》由会员分享,可在线阅读,更多相关《windowsServer服务器系统自身安全防护措施(6页珍藏版)》请在金锄头文库上搜索。
1、Win dows Server系统自身安全防护措施提示:为慎重操作,可以先在测试机做关闭测试,最好通过与厂方工程师商定后再设一、关闭服务器不必要端口利用win2003自带防火墙关闭所有端口,如就留一个端口:80。(设置有两种方法,一个使用windows自带防火墙设,一个实在 TCP/IP属性里设。)设置方法:1、在“网络连接”属性里设置 wi ndows防火墙。2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面21|_Windows防火堆常规丨例外地址LKB 冋络连接设辻対下列选定的连接启用了1 外洁选择连接*然后单廿高皱设置服务ICUF回本地连接3选择Intt用户可以
2、访问的运行于您的网路一 矶).服奴FTP服等器安全日志记录您可以创淫用于段难解管由ICMF酒过Internet控制消息同 宜机可能共至错饯和状态fl Irktnet邮件访问协溟版本3 GltlAP33 Internet邮件访问协溟版本4 aitlAP4) Internal由田牛服务器(SMTFJTtLnet.服务器 斶服务器CHTTF 安全帘小服(HTTPS) 邮局协溟版本3(T0F3) 远程臬面00默认设置忝加匹)|编辑一|I要将所育Window 1防火墙* 诸单击还原为默认值”二、 在服务中关闭不必要的服务以下服务可以关闭:Computer Browser维护网络上计算机的最新列表以及提供
3、这个列表Task scheduler允许程序在指定时间运行Routi ng and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleylKE)和IP安全驱动程序 Distributed Link Tracking Client当文件在网络域的 NTFS卷中移动时发送通知Com+
4、Eve nt System 提供事件的自动发布到订阅 CO组件Alerter通知选定的用户和计算机管理警报Error Report ing Service收集、存储和向 Microsoft 报告异常应用程序Messenger传输客户端和服务器之间的NET SEND和 警报器服务消息Telnet允许远程用户登录到此计算机并运行程序三、在”网络连接”里,把不需要的协议和服务都删掉。这里只安装了基本的In ternet协议 (TCP/IP )和Microsoft网络客户端。在高级 tcp/ip设置里-NetBIOS设置“禁用tcp/IP上的 NetBIOS ( S)”。四、运行pgedit.msc,
5、配置“用户权限分配”在安全设置里 本地策略-安全选项网络访问:可匿名访问的共享;网络访问:可匿名访问的命名管道;网络访问:可远程访问的注册表路径;网络访问:可远程访问的注册表路径和子路径 ; 将以上四项全部删除不允许SAM账户的匿名枚举 更改为已启用不允许SAM账户和共享的匿名枚举更改为已启用;网络访问:不允许存储网络身份验证的凭据或.NET Passports 更改为”已启用网络访问限制匿名访问命名管道和共享,更改为已启用;将以上四项通通设为“已启用”五、关闭每个硬盘的默认共享。在Windows 2000/XP/2003系统中,逻辑分区与 Windows目录默认为共享,这是为管理员管理服务器
6、的方便而设,但却成为了别有用心之徒可趁的 安全漏洞。六、IIS (Internet信息服务器管理器)1、在主目录选项设置以下: 读允许写不允许建议关闭建议关闭建议关闭推荐选择纯脚本”。脚本源访问不允许 目录浏览 记录访问 索引资源 执行权限r文件操作直看边窗口帮助倒E1K厨常曲因* Internet信宜服务FEtUGFADFAK库甩计霍 3J应用程存池 白岡站1 祐默认网站 | S PnbVote 属性ig_commor+ PubVote + -Xj ReaderVo不-Reports lj -出 ReportSei S - _j aspne t_亡 A WebSetupl3H血西勞扩展.塩抱
7、目录|文档丨目录安全性丨肛TF头|目定文错馍1 ASF. HET 此费源的内容来自:金此计算枫上的目录虫C另一舍计算机上的共車r重矩向到UKLQJ)本地路径C).D1 wfibrootFulVoteWeti浏览)r脚本资源访问g) 读取 写入 目录浏览)17厂厂应用程序设置应用程序名W:|PubVote删除1开始位置:銀认闷站PubVcte配置执疔权隈世):|純脚本应用程序池堪):|PubvQite卸载1确定軀消1应用迦1帮助2、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允 许管理员和 system为Full Control)。七、SQL数据库安全设置I.System Admi ni strators角色最好不要超过两个。2.如果是在本机最好将身份验证配置为Win登陆。3. 不要使用Sa账户,为其配置一个超级复杂的密码
