zhudiandian.com 因为热爱,所以关注!

win2003服务器安全设置的一些常见问题及权限配置

郑州SEO祝点点

  服务器安全设置

  1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。

  2、系统盘和站点放置盘除administrators和system的用户权限全部去除。

  3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。

 

 

 

 

 

 

 

  4、安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除。

  5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。

  6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。

  7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)

  8、在安全设置里本地策略-安全选项将

  网络访问:可匿名访问的共享;

  网络访问:可匿名访问的命名管道;

  网络访问:可远程访问的注册表路径;

  网络访问:可远程访问的注册表路径和子路径;

  以上四项清空。

  9、在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入

  以下为引用的内容:

  ASPNET

  Guest

  IUSR_*****

  IWAM_*****

  NETWORKSERVICE

  SQLDebugger

  (****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择.注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了。)

  10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。

  WindowsRegistryEditorVersion5.00

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

  "AutoShareServer"=dword:00000000

  "AutoSharewks"=dword:00000000

  11、禁用不需要的和危险的服务,以下列出服务都需要禁用。

  Alerter发送管理警报和通知

  ComputerBrowser:维护网络计算机更新

  DistributedFileSystem:局域网管理共享文件

  Distributedlinktrackingclient用于局域网更新连接信息

  Errorreportingservice发送错误报告

  RemoteProcedureCall(RPC)LocatorRpcNs*远程过程调用(RPC)

  RemoteRegistry远程修改注册表

  Removablestorage管理可移动媒体、驱动程序和库

  RemoteDesktopHelpSessionManager远程协助

  RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务

  Messenger消息文件传输服务

  NetLogon域控制器通道管理

  NTLMSecuritysupportprovidetelnet服务和MicrosoftSerch用的

  PrintSpooler打印服务

  telnettelnet服务

  Workstation泄漏系统用户名列表

  12、更改本地安全策略的审核策略

  账户管理成功失败

  登录事件成功失败

  对象访问失败

  策略更改成功失败

  特权使用失败

  系统事件成功失败

  目录服务访问失败

  账户登录事件成功失败

  13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。

  net.exe

  net1.exe

  cmd.exe

  tftp.exe

  netstat.exe

  regedit.exe

  at.exe

  attrib.exe

  cacls.exe

  format.com

  c.exe特殊文件有可能在你的计算机上找不到此文件。

  在搜索框里输入

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"

  点击搜索然后全选右键属性安全

  以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。

  14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。

服务器相关配置:

[【原创】服务器优化什么是Gzip,如何开启Gzip 开启有什么好处?]
[
win服务器asp死循环的处理方式 win2003asp死循环应该如何处理?]

标签:2003服务器安全win服务器安全配置服务器安全配置
分类:空间服务器| 发布:祝点点| 查看: | 发表时间:2012/4/6
原创文章如转载,请注明:转载自郑州SEO祝点点 http://zhudiandian.com/
本文链接:http://zhudiandian.com/fuwuqi/fuwuqiwin2003anquan.htm

相关文章

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

郑州SEO祝点点