windows2003 简单安全策略
Server2003服务器安全策略情景说明
某公司现扩大业务规模,提高对外宣传力度,架设WEB服务器一台,操作系统为server2003,现需要对其进行一系列配置,来保障其安全性。
情况分析
根据其要求,需要对服务器进行以下方面的配置,来保障其安全:
1. 对管理员账户添加密码,并对其他账户的权限进行更改;
2. 关闭不必要的服务以及端口,防止产生后门;
3. 关闭默认共享,防止文件泄漏;
4. 对IIS进行配置,修改日志存放位置;
5. 注册表相关安全设置;
操作步骤
1.配置用户权限及密码:
在“控制面板—用户账户”中添加管理员账户密码,并删除无用账户;
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置。 Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
2可通过“控制面板—管理工具—服务”来关闭下列不必要的服务:
·ComputerBrowser维护网络上计算机的最新列表以及提供这个列表
·Taskscheduler允许程序在指定时间运行
·RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务
·Removablestorage管理可移动媒体、驱动程序和库
·RemoteRegistryService允许远程注册表操作
·PrintSpooler将文件加载到内存中以便以后打印。
·IPSECPolicyAgent管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序
·DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知
·Com+EventSystem提供事件的自动发布到订阅COM组件
·Alerter通知选定的用户和计算机管理警报
·ErrorReportingService收集、存储和向Microsoft报告异常应用程序
·Messenger传输客户端和服务器之间的NETSEND和警报器服务消息
·Telnet允许远程用户登录到此计算机并运行程序
3. 首先编写如下内容的批处理文件:
@echo off
net share C$ /delete
net share D$ /delete
net share E$ /delete
net share F$ /delete
net share admin$ /delete
将其保存后放入“启动”文件夹中,便可实现开机时自动关闭默认共享。
4.对IIS进行配置:
Ø 不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
Ø 删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
Ø 删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
Ø 右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、shtm、stm。
Ø 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性,修改IIS的日志路径。
5对注册表进行配置:
隐藏重要文件/目录
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL”
鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
防止SYN洪水***
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0。
防止ICMP重定向报文的***
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0。
页:
[1]