对企业网站建设的理念-Windows 2003网络服务器安全

2021-04-18 23:32 admin
--------

对企业网站建设的理念

------- 石家庄明尚互联互联网企业 公布于:2014-1⑾ 点一下:5679 字体样式:大 中 小

Windows 2003服务器安全性设定实例教程

1、系统软件盘和站点置放盘务必设定为NTFS文件格式,便捷设定管理权限。

2、系统软件盘和站点置放盘除administrators 和system的客户管理权限所有除去。

3、启用windows自带防火墙,只保存有效的端口号,例如远程控制和Web、Ftp(3389、80、21)等等,有电子邮件服务器的还要开启25和130端口号。

4、安裝好SQL落后入文件目录检索 xplog70 随后将找到的三个文档改名或删掉。

5、变更sa登陆密码为你都不知道道的较长登陆密码,在任何状况下都不要用sa这个账号。

6、改名系统软件默认设置账号名并新建一个Administrator账号做为圈套账号,设定较长登陆密码,并去掉全部客户组。(就是在客户组那里设定为空便可。让这个帐号不属于任何客户组—样)一样改名禁用掉Guest客户。

7、配备账号锁住对策(在运作中键入gpedit.msc回车,开启组对策编写器,挑选测算机配备-Windows设定-安全性设定-账户对策-账户锁住对策,将账户设为“三次登陆失效”,“锁住時间30分钟”,“复位锁住计数设为30分钟”。)

8、在安全性设定里当地对策-安全性选项将

互联网浏览:可密名浏览的共享资源;

互联网浏览:可密名浏览的取名管路;

互联网浏览:可远程控制浏览的申请注册表相对路径;

互联网浏览:可远程控制浏览的申请注册表相对路径和子相对路径;

以上四项清空。

9、在安全性设定里 当地对策-安全性选项 根据终端设备服务回绝登陆 添加


以下为引入的內容:
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger 

(****表明你的设备名,实际搜索能够点一下 加上客户或组  选  高級  选 马上搜索 在底以下出的客户目录里挑选. 留意不要加上进user组和administrators组 加上进去之后就沒有方法远程控制登陆了。)

10、去掉默认设置共享资源,将以下文档存为reg后缀,随后实行导入便可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareServer"=dword:

"AutoSharewks"=dword:

11、 禁用不需要的和风险的服务,以以下出服务都需要禁用。

Alerter  推送管理方法警报和通告

Computer Browser:维护保养互联网测算机升级

Distributed File System: 局域网管理方法共享资源文档

Distributed linktracking client  用于局域网升级联接信息内容

Error reporting service  推送不正确汇报

Remote Procedure Call (RPC) Locator  RpcNs*远程控制全过程启用 (RPC)

Remote Registry  远程控制改动申请注册表

Removable storage  管理方法可挪动新闻媒体、驱动器程序和库

Remote Desktop Help Session Manager  远程控制帮助

Routing and Remote Access 在局域网和广域网自然环境中为公司出示路由器服务

Messenger  信息文档传送服务

Net Logon  域操纵器安全通道管理方法

NTLMSecuritysupportprovide  telnet服务和Microsoft Serch用的

PrintSpooler  复印服务

<  telnet服务

Workstation  泄漏系统软件客户名目录

12、变更当地安全性对策的审批对策

账户管理方法  取得成功 不成功

登陆恶性事件  取得成功 不成功

目标浏览  不成功

对策变更  取得成功 不成功

权利应用  不成功

系统软件恶性事件  取得成功 不成功

文件目录服务浏览  不成功

账户登陆恶性事件  取得成功 不成功

13、变更有将会会被提支配权用的文档运作管理权限,找到以下文档,将其安全性设定里除administrators客户组所有删掉,关键的是连system也不要留。

net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

<

c.exe 独特文档 有将会在你的测算机上找不到此文档。

在检索框里键入

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","","c.exe"

点一下检索 随后全选 右键 特性 安全性

以上这点是最最关键的一点了,也是最最便捷降低被提权和被破坏的将会的防御力方式了。

14、改动3389端口号

变更远程控制联接端口号方式

刚开始-- 运作-- 键入regedit

搜索3389:

请按以下流程搜索:

1、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp下的PortNumber=3389改成自宝义的端口号号

2、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改成自宝义的端口号号

改动3389为你想要的数据(在十进制下)----再点16进制(系统软件会全自动变换)----最终明确!这样就ok了。

这样3389端口号早已改动了,但还要再次起动主机,这样3389端口号才算改动取得成功!假如不再次起动3389還是改动不了的!重起后下次便可以用新端口号进到了!

15、禁用TCP/IP上的NETBIOS

当地联接--特性--协议书(TCP/IP)--高級—WINS--禁用TCP/IP上的NETBIOS

关掉默认设置共享资源的空联接

最先编写以下內容的批解决文档:

@echo share C$ / share D$ / share E$ / share F$ / share admin$ /delete

以上文档的內容客户能够依据自身需要开展改动。储存为delshare.bat,储放到系统软件所属文档夹下的system32\GroupPolicy\User\Scripts\Logon文件目录下。随后在刚开始菜单→运作中键入gpedit.msc,回车便可开启组对策编写器。点一下客户配备→Windows设定→脚本制作(登陆/销户)→登陆.

在出現的“登陆 特性”对话框中点击“加上”,会出現“加上脚本制作”对话框,在该对话框的“脚本制作名”栏中键入delshare.bat,随后点击“明确”按钮便可。

再次起动测算机系统软件,便可以全自动将系统软件全部的掩藏共享资源文档夹所有撤销了,这样就可以将系统软件安全性隐患减少到最低限度。

16、储备工作中,将当今服务器的过程抓图或纪录下来,将其储存,便捷之后对比查询是不是有不明的程序。将当今对外开放的端口号抓图或纪录下来,储存,便捷之后对比查询是不是对外开放了不明的端口号。自然假如你能辨别每个过程,和端口号这一步能够省略。

---------

对企业网站建设的理念

------------