Server2003服务器安全策略

情景说明

某公司现扩大业务规模,提高对外宣传力度,架设WEB服务器一台,操作系统为server2003,现需要对其进行一系列配置,来保障其安全性。

情况分析

根据其要求,需要对服务器进行以下方面的配置,来保障其安全:

1. 对管理员账户添加密码,并对其他账户的权限进行更改;

2. 关闭不必要的服务以及端口,防止产生后门;

3. 关闭默认共享,防止文件泄漏;

4. IIS进行配置,修改日志存放位置;

5. 注册表相关安全设置;

操作步骤

 

 

1.配置用户权限及密码:

在“控制面板—用户账户”中添加管理员账户密码,并删除无用账户;

C盘只给administratorssystem权限,其他的权限不给,其他的盘也可以这样设置。  Windows目录要加上给users的默认权限,否则ASPASPX等应用程序就无法运行。

 

 

2可通过“控制面板—管理工具—服务”来关闭下列不必要的服务:

·ComputerBrowser维护网络上计算机的最新列表以及提供这个列表

·Taskscheduler允许程序在指定时间运行

·RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务

·Removablestorage管理可移动媒体、驱动程序和库

·RemoteRegistryService允许远程注册表操作

·PrintSpooler将文件加载到内存中以便以后打印。

·IPSECPolicyAgent管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序

·DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知

·Com+EventSystem提供事件的自动发布到订阅COM组件

·Alerter通知选定的用户和计算机管理警报

·ErrorReportingService收集、存储和向Microsoft报告异常应用程序

·Messenger传输客户端和服务器之间的NETSEND和警报器服务消息

·Telnet允许远程用户登录到此计算机并运行程序

 

 

 

3. 首先编写如下内容的批处理文件:

@echo off

net share C$ /delete

net share D$ /delete

net share E$ /delete

net share F$ /delete

net share admin$ /delete

将其保存后放入“启动”文件夹中,便可实现开机时自动关闭默认共享。

 

 

4.IIS进行配置:

Ø 不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。

Ø 删除IIS默认创建的Inetpub目录(在安装系统的盘上)

Ø 删除系统盘下的虚拟目录,如:_vti_binIISSamplesScriptsIIShelpIISAdminIIShelpMSADC

Ø 右键单击默认Web站点属性主目录配置,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtmlshtmstm

Ø 右键单击默认Web站点属性-网站-在启用日志记录下点击属性,修改IIS的日志路径。

 

 

 

5对注册表进行配置:

隐藏重要文件/目录

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL”

鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

防止SYN洪水***

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名为SynAttackProtect,值为2

禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值,名为PerformRouterDiscovery 值为0

防止ICMP重定向报文的***

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

EnableICMPRedirects 值设为0

不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名为IGMPLevel 值为0