Windows Server 安全设置手册.docx
《Windows Server 安全设置手册.docx》由会员分享,可在线阅读,更多相关《Windows Server 安全设置手册.docx(14页珍藏版)》请在冰豆网上搜索。
WindowsServer安全设置手册
WindowsServer2003安全设置手册
一、用户账户安全
1.Administrator账户的安全性
a)重命名adminstrator,并将其禁用
b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成
2.启用账户锁定策略
开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”
3.创建一个日常登录账户
通过Runas或者鼠标右键“运行方式”切换管理员权限
4.修改本地策略限制用户权限
开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”,限制从网络访问该服务器的账户
二、服务器性能优化,稳定性优化
1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”
2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置
3.停止暂时未用到的服务
a)在开始运行中输入:
services.msc
b)停止并禁用以下服务
1.ComputerBrowser
2.DistributedLinkTrackingClient
3.PrintSpooler(如果没有打印需求可以停止该服务)
4.RemoteRegistry
5.RemoteRegistry(如果没有无线设备可以停止该服务)
6.TCP/IPNetBIOSHelper
三、系统安全及网络安全设置
1.开启自动更新
我的电脑右键属性——自动更新
WindowsServer2003会自动下载更新,无须人为打补丁。
2.关闭端口,减少受攻击面(此处以仅提供HTTP协议为例)
a)开始运行中输入cmd,运行命令提示符
b)在命令提示符中输入netstat-an命令察看当前打开端口
图片中开放了TCP135,139,445,1026四个端口,可以通过禁用TCP/IP上的NetBIOS和禁用SMB来关闭它们。
c)禁用TCP/IP上的NetBIOS
1.从“开始”菜单,右键单击“我的电脑”,然后单击“属性”。
2.点选“硬件”选项卡后,单击“设备管理器”按钮。
3.右键单击“设备管理器”,指向“查看”,再选择“显示隐藏设备”。
4.展开“非即插即用驱动程序”。
5.右键单击“TCP/IP上的NetBios”,然后单击“禁用”。
d)禁用SMB
1.“网上邻居”右键单击“属性”。
2.“本地连接”右键单击“属性”。
3.选中“MicrosoftNetworks客户端”复选框,然后单击“卸载”。
4.选择“MicrosoftNetworks文件和打印机共享”,然后单击“卸载”。
e)再次在命令提示符中输入netstat-an命令察看当前打开端口
发现只有TCP135、1026处于开放状态。
对于这个两个端口,这时我们可以通过WINDOWS自带防火墙,或者是IPSEC来阻塞这两个端口。
下面会把两种方法都作介绍。
f)方法一:
启用Windows自带防火墙(配置简单,推荐使用)
1.“网上邻居”右键单击“属性”。
2.“本地连接”右键单击“属性”。
3.点选“高级选项卡”,单击“设置”按钮
4.在“常规”选项卡下,点选“启用”
5.在“高级”选项卡下,单击“设置”按钮
6.勾选“WEB服务”(以HTTP协议为例,仅开放TCP80端口)后点确定
这里也可以通过“添加”按钮,开放指定的端口。
g)方法二:
使用IPSEC阻塞端口(比较复杂,不推荐使用)
1.在开始运行中输入“MMC”,调出微软管理控制台
2.在“MMC”的“文件”菜单中选择“添加/删除管理单元”
3.添加管理单元“IP安全策略管理”
4.添加“本地计算机”的IP安全策略
5.创建新的IP安全策略,名称随意
取消下图红圈处的勾
6.添加第一个新IP安全规则,允许TCP80端口的数据通过。
取消红圈1处的勾,点击红圈2处的添加
7.添加新的筛选规则(本例仅允许TCP80的流量)
取消下图红圈1的勾,在红圈2处填写新规则的名称后,单击红圈3处“添加”
在“地址”选项卡中,选择如下图所示:
在“协议”选项卡中,选择如下图所示后,点击确定
在筛选列表中,选择刚才创建“筛选规则”和满足规则后所做的操作点应用
8.添加第二条“安全规则”,拒绝其他流量。
(步骤和7大同小异)
先点添加:
再选择筛选列表:
最后选择筛选动作(此处添加一个新动作):
取消“使用添加向导”勾后点添加:
选择阻止后点确定:
选择筛选器操作为刚刚添加的操作(内容为阻止)后应用确定:
9.选择刚才添加的2条新规则后,应用确定:
10.指派刚才创建的新安全策略
完
升级会员 