如何在windows2003伺服器上實現安全配置

前幾天乙個朋友讓我幫忙把他的伺服器安全配置一下,作業系統是win2003,下面偶就說以下偶所作的一些工作,希望能對需要的朋友有幫助,如果有不正確的地方請指正!

伺服器是採用終端服務,放了n個**,web伺服器和資料庫伺服器（sqlserver2000）是同一臺伺服器!

下面是對伺服器的一些安全配置:

1 修改終端服務的埠,這個在登錄檔中修改,將key_local_machine/system/currentcontrolset/control/terminal server/wds/rdpwd/tds/tcp和hkey_local_machine/system/currentcontrolset/control/terminal server/winstations/rdp-tcp的下的portnumber值(預設是3389)修改為自己想要設定的埠

2 禁止預設共享,例如ipc$,c$等等,這個直接停掉server服務即可,不需要修改登錄檔

3 開啟管理工具-本地安全策略,在帳戶策略-密碼策略中,開啟"密碼必須符合複雜性要求",同時設定密碼長度最小值以及密碼最長使用期限;在帳戶策略-帳戶鎖定策略中,將帳戶鎖定閥值設為3次,計數器以及鎖定時間為30分鐘;

3 開啟管理工具-本地安全策略,在本地策略-安全選項中,開啟不顯示上次的登入使用者名稱

4 開啟管理工具-本地安全策略,在本地策略-使用者許可權分配中,從遠端系統強制關機、關閉系統、允許在本地登陸這三項都只允許administrators操作

5 禁用無用的服務,例如computer browser,distributed file system,distributed linktracking client,microsoft serch,ntlmsecuritysupportprovide,printspooler,remote registry,一般在伺服器上,這些服務根本用不到

6 為每個站點建立乙個使用者,隸屬於guests.步驟如下:建立乙個隸屬於guests使用者組的使用者,然後在iis中將其作為該站點的訪問使用者,然後將站點所在的資料夾分配許可權,administrators為完全控制,新建使用者只需要讀取/寫入即可;最後一步,開啟管理工具-本地安全策略,在本地策略-使用者許可權分配中,將從網路訪問次計算機的使用者只保留administrators以及剛才新建的使用者。其他站點也如此操作。

7 為各個資料夾分配許可權，例如系統盤只允許administrators。這裡要注意，如果站點需要用到第三方元件（dll）需要將該檔案的訪問許可權賦予該站點的iis使用者。另：如果站點出現「檢查許可權時，對 server.createobject 的呼叫失敗。拒絕對此物件的訪問」的錯誤，不要驚慌，只要將系統盤下的program files/common files/system賦予該iis站點使用者訪問許可權即可

8 禁用tcp/ip上的netbios

10 至於網上說的防止syn洪水攻擊、禁止響應icmp路由通告報文等，這個在win2003中都是預設配置，win2003的安全性較2000提公升了不少。

下面說說資料庫

1 資料庫打sp補丁

2 設定複雜的sa密碼

3 設定埠並隱藏伺服器，操作方法：開啟sqlserver的伺服器網路實用工具，檢視tcp/ip的屬性，然後修改埠並隱藏伺服器

4 刪除sqlserver的儲存過程。刪除xp_cmdshell、xp_regaddmultistring、xp_regdeletekey、xp_regdeletevalue、xp_regenumvalues、xp_regwrite、xp_regremovemultistring。開啟查詢分析其，選擇資料庫為master，執行exec sp_dropextendedproc '儲存過程名字'。刪除xpsql70.dll、xpstar.dll這兩個檔案，如果資料庫要執行作業的話，xpstar.dll就不要刪除了

如何在windows2003伺服器上實現安全配置

Windows 2003 架設Radius伺服器

開啟Windows 2003遠端桌面連線服務的方法

微軟停止Windows2003技術支援服務

如何在windows2003伺服器上實現安全配置

Windows 2003 架設Radius伺服器

開啟Windows 2003遠端桌面連線服務的方法

微軟停止Windows2003技術支援服務

相關推薦