windows server 全功能服务器环境配置方案.docx

windows server 全功能服务器环境配置方案.docx

《windows server 全功能服务器环境配置方案.docx》由会员分享，可在线阅读，更多相关《windows server 全功能服务器环境配置方案.docx（9页珍藏版）》请在冰豆网上搜索。

windowsserver全功能服务器环境配置方案

windowsserver2003全功能服务器环境配置方案

来源：

INTCEX发布时间：

2010年04月24日

服务器安全设置开始：

1.系统盘和站点放置盘（包括所以盘符）必须设置为NTFS格式,方便设置权限.

2.系统盘和站点放置盘除administrators和system的用户权限全部去除.

3.启用windows自带防火墙

暂只保留有用的端口,如：

远程（80）、Ftp（21）、远程桌面（3389）等。

开始--->设置--->控制面板--->windows自带防火墙

4.安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除.

5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.

6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.（就是在用户组那里设置为空即可.让这个帐号不属于任何用户组）同样改名禁用掉Guest用户.

7.配置帐户锁定策略（在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。

）

8.在安全设置里本地策略-安全选项将

网络访问:

可匿名访问的共享;

网络访问:

可匿名访问的命名管道;

网络访问:

可远程访问的注册表路径;

网络访问:

可远程访问的注册表路径和子路径;

以上四项清空.

9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入

ASPNET

Guest

IUSR_*****

IWAM_*****

NETWORKSERVICE

SQLDebugger

（****表示你的机器名,具体查找可以点击添加用户或组--选高级选立即查找在底下列出的用户列表里选择.注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了.）

10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareServer"=dword:

00000000

"AutoSharewks"=dword:

00000000

11.禁用不需要的和危险的服务,以下列出服务都需要禁用.

Alerter发送管理警报和通知

ComputerBrowser:

维护网络计算机更新

DistributedFileSystem:

局域网管理共享文件

Distributedlinktrackingclient用于局域网更新连接信息

Errorreportingservice发送错误报告

RemoteProcedureCall（RPC）LocatorRpcNs*远程过程调用（RPC）

RemoteRegistry远程修改注册表

Removablestorage管理可移动媒体、驱动程序和库

RemoteDesktopHelpSessionManager?

远程协助

RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务

Messenger消息文件传输服务

NetLogon域控制器通道管理

NTLMSecuritysupportprovidetelnet服务和MicrosoftSerch用的

PrintSpooler打印服务

telnettelnet服务

Workstation泄漏系统用户名列表

12.更改本地安全策略的审核策略

　　审核策略更改　　　成功　失败　　

　　审核登录事件　　　成功　失败

　　审核对象访问　　　　　　失败

　　审核过程跟踪　　　无审核

　　审核目录服务访问　　　　失败

　　审核特权使用　　　　　　失败

　　审核系统事件　　　成功　失败

　　审核账户登录事件　成功　失败

　　审核账户管理　　　成功　失败

13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.

net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

c.exe特殊文件有可能在你的计算机上找不到此文件.

在搜索框里输入

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","","c.exe"点击搜索然后全选右键属性安全

以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。

14.后备工作,将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序。

将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。

当然如果你能分辨每一个进程，和端口这一步可以省略。

以上是设置安全服务器必要的步骤。