服务器安全策略.docx

服务器安全策略.docx

《服务器安全策略.docx》由会员分享，可在线阅读，更多相关《服务器安全策略.docx（8页珍藏版）》请在冰豆网上搜索。

服务器安全策略

服务器安全策略

一.账号安全配置

1.重命名一个新帐号命名规则为unisoso与服务器上架日期组成如：

5月9上架的服务器，管理员帐号为ussadm0509，密码的设定规则为：

长度不少于12个字符，并且要有英文字符数字字符及特殊符号组成而且要间隔开。

2.并建一个假的administrator帐号，（用户不能更改密码、密码永不过期）密码用几百个中英文字，设为无任何权限

3.重命名来宾guest帐号重命名一个帐号ussguest

4.并建一个假的guest账号，（用户不能更改密码、密码永不过期、账号已禁用）密码用几百个中英文字，设为无任何权限

5.创建一个AdmPo组，并且设置该组无任何权限，把新建立假的administrator、Guest加入其中。

二.磁盘及文件安全配置

1.系统盘权限：

1.1.系统盘只保留给Administrators组和SYSTEM的完全控制权限，删除其他用户的权限，而且不能选择继承。

1.2.系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限，权限也不能继承下去。

1.3.系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限，并且权限不能继承下去。

2.其他盘权限：

2.1.进入权限高级，只保留给Administrators组和SYSTEM的完全控制权限，删除其他用户的权限，而且要继承下去。

3.文件权限设置

3.1.C:

\WINDOWS\system32下的文件权限只能允许administrator组访问at.exe、attrib.exe、cacls.exe、cmd.exe、net.exe、net1.exe、netstat.exe、regedt32.exe以及C:

\WINDOWS下的regedit.exe

3.2.并设置这两个文件只允许administrators和system访问C:

\WINDOWS\system32\wshom.ocxC:

\WINDOWS\system32\shell32.dll

4.特殊文件权限

4.1.windows2003服务器防止海洋木马的安全设置执行命令前必须关闭麦咖啡的访问保护

4.2.运行：

regsvr32/uC:

\WINDOWS\system32\wshom.ocx运行：

regsvr32/uC:

\WINDOWS\system32\shell32.dll

4.3.如果想恢复的话只需要去掉/U即可重新再注册以上相关ASP组件

三.本地安全策略设置

1.本地安全策略

开始菜单—>管理工具—>本地安全策略

1.1.本地策略——>审核策略

　　审核策略更改　　　成功　失败　　

　　审核登录事件　　　成功　失败

　　审核对象访问　　　　　　失败

　　审核过程跟踪　　　无审核

　　审核目录服务访问　　　　失败

　　审核特权使用　　　　　　失败

　　审核系统事件　　　成功　失败

　　审核账户登录事件　成功　失败

　　审核账户管理　　　成功　失败

1.2.本地策略——>用户权限分配

1.2.1.关闭系统：

只有Administrators组、其它全部删除

1.2.2.通过终端服务允许登陆：

只加入Administrators组，其他全部删除

1.3.本地策略——>安全选项

　　交互式登陆：

不显示上次的用户名　　　　　　　启用

　　网络访问：

不允许SAM帐号和共享的匿名枚举　启用

　　网络访问：

不允许为网络身份验证储存凭证　　　启用

　　网络访问：

可匿名访问的共享　　　　　　　　　全部删除

　　网络访问：

可匿名访问的命名管道　　　　　　　全部删除

　　网络访问：

可远程访问的注册表路径　　　　　　全部删除

网络访问：

可远程访问的注册表路径和子路径　　全部删除

1.4.账户策略——>账户锁定策略

1.4.1.组策略设置密码重复输入错误的账号锁定阀值5次，锁定30分钟

四.禁用并停止不必要的服务　　

1.开始菜单—>管理工具—>服务

　　ALERTER

　　COMPUTERBROWSER

　　DISTRIBUTEDFILESYSTEM

　　DISTRIBUTEDLINKTRACKINGCLIENT

　　INDEXINGSERVICE

　　INTERSITEMESSAGING

　　KERBEROSKEYDISTRIBUTIONCENTER

　　MESSENGER

　　PRINTSPOOLER

　　REMOTEREGISTRY

　　ROUTINGANDREMOTEACCESS

　　TCP/IPNETBIOSHELPER

　　TELNET

　　Workstation

以上是在WindowsServer2003系统上面默认启动的服务中禁用的，检查一次看是不是默认禁止并且停止了该服务，在运行的一律停止运行并且禁止。

默认禁用的服务如没特别需要的话不要启动

五.防火墙及端口安全

1.修改端口

桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>（选中）Internet连接防火墙—>设置服务器上面要用到的服务端口

1.1.把HTTPTCP80端口列入防火墙的例外

1.2.FTP（21）——建议改端口为11921并且把它列为例外

1.3.远程桌面（3389）-建议改端口11989并且把它列为例外

修改服务器端远程桌面端口设置,注册表有2个地方需要修改重启应用设置

1.3.1.第一个键值：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]PortNumber值，默认是3389，修改成所希望的端口，比如11989

1.3.2.第二个键值：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]PortNumber值，默认是3389，修改成所希望的端口，比如11989

六.禁用默认共享

1.共享资源

运行-cmd-输入netshare

2.删除共享（每次输入一个）

netshareipc$/delete、netshareadmin$/delete

netsharec$/delete、netshared$/delete

2.1.保存为delshare.bat，存放到系统所在文件夹下的system32/GroupPolicy/User/Scripts/Logon目录下。

然后在开始菜单→运行中输入gpedit.msc，点击用户配置→Windows设置→脚本（登录/注销）→登录

2.2.修改注册表删除共享运行regedit找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:

00000000。

2.3.如果上面所说的主键不存在，就新建（右击-新建-双字节值）一个主健再改键值。

3.server服务

3.1.暂时停止server服务netstopserver/y（重新启动后server服务会重新开启）

3.2.永久关闭ipc$和默认共享依赖的服务:

lanmanserver即server服务

3.2.1.控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用

3.3.连接属性中删除其他协议，

3.4.所有网卡都需要设置：

TCP/IP-》属性-》高级-》WINS，中禁用NetBIOS。

七.IIS安全配置

1.IIS的安全设置

1.1.创建IIS帐号：

建议按网站名来设定IIS账号名如：

，隶属于Guests组

1.2.禁用（删除）原先的IUSER_AAA为网站目录给IIS账号开权限。

只要修改权限，以及中间的删除子文件夹权限。

1.3.在IIS中删除所有默认站点

1.4.删除C盘：

Inetpub目录，如不能删除就先删除默认站点，重启一下系统再删除。

1.5.在IIS设置的网站上点击右键，设置目录安全性，参见下图。

1.6.站点尽量用不同用户权限，不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。

1.7.删除不必要的IIS扩展名映射：

右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。

主要为.shtml,.shtm,.stm

1.8.更改IIS日志的路径，设置日志记录“所用时间TIMETAKEN”右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性进行设置，并把它放在D:

\LogFiles文件夹

八.SQL2005安全设置

1.数据库设置

1.1.为应用数据库设置单独的帐号，切勿用sa账号作为应用数据库的使用账号；

1.2.指定定期备份机制

企业管理器：

管理→维护计划→点击右键→维护计划向导进行完全备份数据库

1.3.设置内存AWE

sp_configure'showadvancedoptions',1

RECONFIGUREGO

sp_configure'aweenabled',1—启动AWE内存映射

RECONFIGURE

GO

sp_configure'minservermemory',1024—设置最小内存值

RECONFIGURE

GO

sp_configure'maxservermemory',3072—设置最大内存值

RECONFIGURE

GO

重启sql2005

1.4.更改数据库端口

1.4.1.通过SQLServerConfigurationManager配置服务器端口和访问的客户端端口1433端口改为11933

1.4.2.MSSQLSERVER，客户端协议，TCPIP端口由1433改为11933

1.4.3.重启SQL服务

九.防病毒软件设置

1.360安全卫士设置：

1.1.开启360安全卫士所有的防火墙并设置为拦截不弹出提示窗口，根据需要开启ARP防火墙

1.2.用360安全卫士检查启动项、系统服务状态、系统进程状态、网络连接状态并且修复一下IE浏览器

1.3.修复系统漏洞、清理恶评插件、清理使用痕迹、关闭软件更新提示、开启自动升级查杀

1.4.用360安全卫士对电脑全面查杀木马

2.MCAFEE安全配置

2.1.访问保护属性最大保护，开启所有阻止和报告

2.2.按访问扫描属性，一定要设置SCRIPTSCAN保护，防止IE执行危险脚本

2.3.设置自动更新计划为每天凌晨4：

00

2.4.完全扫描计划为：

每周周一4：

00