由于近短asp木馬問題嚴重/很多主機租用朋友和主機管理員想我詢問WIN2003的一些安全配置措施����,現我做拉初步整理��。希望對大家有所幫助�。有不足之處請大家補上�����。
一�、系統的安裝
1�����、按照Windows2003安裝光盤的提示安裝�����,默認情況下2003沒有把IIS6.0安裝在系統里面�����。
2����、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應用程序 ———asp.net(可選)
|—啟用網絡 COM+ 訪問(必選)
|—Internet 信息服務(IIS)—Internet 信息服務管理器(必選)
|—公用文件(必選)
|—萬維網服務—Active Server pages(必選)
|——Internet 數據連接器(可選)
|——WebDAV 發布(可選)
|——萬維網服務(必選)
|——在服務器端的包含文件(可選)
然后點擊確定—>下一步安裝���。
3�����、系統補丁的更新
點擊開始菜單—>所有程序—>Windows Update
按照提示進行補丁的安裝���。
4�、備份系統
用Ghost備份系統�����。
5���、安裝常用的軟件
例如:殺毒軟件���、解壓縮軟件等���;安裝之后用GHOST再次備份系統。
二、系統權限的設置
1、磁盤權限
系統盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤/Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤/Documents and Settings/All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤/Inetpub 目錄及下面所有目錄�、文件只給 Administrators 組和 SYSTEM 的完全控制權限
系統盤/Windows/System32/cacls.exe���、cmd.exe�����、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權限
2、本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A�����、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權使用 失敗
審核系統事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B��、本地策略——>用戶權限分配
關閉系統:只有Administrators組�、其它全部刪除����。
通過終端服務拒絕登陸:加入Guests�����、User組
通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C�、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網絡訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網絡訪問:不允許為網絡身份驗證儲存憑證 啟用
網絡訪問:可匿名訪問的共享 全部刪除
網絡訪問:可匿名訪問的命 全部刪除
網絡訪問:可遠程訪問的注冊表路徑 全部刪除
網絡訪問:可遠程訪問的注冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統管理員帳戶 重命名一個帳戶
3����、禁用不必要的服務
開始菜單—>管理工具—>服務
PRint Spooler
Remote Registry
TCP/ip NetBIOS Helper
Server
以上是在Windows Server 2003 系統上面默認啟動的服務中禁用的��,默認禁用的服務如沒特別需要的話不要啟動�����。
4、啟用防火墻
桌面—>網上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>(選中)Internet 連接防火墻—>設置
把服務器上面要用到的服務端口選中
例如:一臺WEB服務器�,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)
在“FTP 服務器”、“WEB服務器(HTTP)”、“遠程桌面”前面打上對號
如果你要提供服務的端口不在里面�����,你也可以點擊“添加”銨鈕來添加����,具體參數可以參照系統里面原有的參數。
然后點擊確定��。注意:如果是遠程管理這臺服務器���,請先確定遠程管理的端口是否選中或添加���。
