Windows Server 安全设置手册.docx

1、Windows Server 安全设置手册Windows Server 2003安全设置手册一、 用户账户安全1. Administrator账户的安全性a) 重命名adminstrator，并将其禁用b) 创建一个用户账户并将其加入管理员组，日常管理工作使用这个账户完成2. 启用账户锁定策略开始程序管理工具本地安全策略账户策略账户锁定策略设置“账户锁定阈值为3”3. 创建一个日常登录账户通过Runas或者鼠标右键“运行方式”切换管理员权限4. 修改本地策略限制用户权限开始程序管理工具本地安全策略本地策略用户权限分配设置“拒绝从网络访问这台计算机”，限制从网络访问该服务器的账户二、 服务器性能

2、优化，稳定性优化1. “我的电脑”右键属性高级性能设置设置为“性能最佳”2. “我的电脑”右键属性高级性能设置高级页面为如图设置3. 停止暂时未用到的服务a) 在开始运行中输入:services.mscb) 停止并禁用以下服务1. Computer Browser2. Distributed Link Tracking Client3. Print Spooler（如果没有打印需求可以停止该服务）4. Remote Registry5. Remote Registry（如果没有无线设备可以停止该服务）6. TCP/IP NetBIOS Helper三、 系统安全及网络安全设置1. 开启自动更新

3、我的电脑右键属性自动更新Windows Server 2003会自动下载更新，无须人为打补丁。2. 关闭端口，减少受攻击面（此处以仅提供HTTP协议为例）a) 开始运行中输入cmd，运行命令提示符b) 在命令提示符中输入netstat -an命令察看当前打开端口图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用 TCP/IP 上的 NetBIOS和禁用 SMB来关闭它们。c) 禁用 TCP/IP 上的 NetBIOS1. 从“开始”菜单，右键单击“我的电脑”，然后单击“属性”。2. 点选“硬件”选项卡后，单击“设备管理器”按钮。3. 右键单击“设备管理器”，指向“查看”

4、，再选择“显示隐藏设备”。4. 展开“非即插即用驱动程序”。5. 右键单击“TCP/IP 上的 NetBios”，然后单击“禁用”。d) 禁用 SMB1. “网上邻居”右键单击“属性”。2. “本地连接”右键单击“属性”。3. 选中“Microsoft Networks 客户端”复选框，然后单击“卸载”。4. 选择“Microsoft Networks 文件和打印机共享”，然后单击“卸载”。e) 再次在命令提示符中输入netstat -an命令察看当前打开端口发现只有TCP 135、1026处于开放状态。对于这个两个端口，这时我们可以通过WINDOWS自带防火墙，或者是IPSEC来阻塞这两个端

5、口。下面会把两种方法都作介绍。f) 方法一：启用Windows自带防火墙（配置简单，推荐使用）1. “网上邻居”右键单击“属性”。2. “本地连接”右键单击“属性”。3. 点选“高级选项卡”，单击“设置”按钮4. 在“常规”选项卡下，点选“启用”5. 在“高级”选项卡下，单击“设置”按钮6. 勾选“WEB服务”（以HTTP协议为例，仅开放TCP80端口）后点确定这里也可以通过“添加”按钮，开放指定的端口。g) 方法二：使用IPSEC阻塞端口（比较复杂，不推荐使用）1. 在开始运行中输入“MMC”，调出微软管理控制台2. 在“MMC”的“文件”菜单中选择“添加/删除管理单元”3. 添加管理单元“

6、IP安全策略管理”4. 添加“本地计算机”的IP安全策略5. 创建新的IP安全策略，名称随意取消下图红圈处的勾6. 添加第一个新IP安全规则，允许TCP 80端口的数据通过。取消红圈1处的勾，点击红圈2处的添加7. 添加新的筛选规则（本例仅允许TCP 80的流量）取消下图红圈1的勾，在红圈2处填写新规则的名称后，单击红圈3处“添加”在“地址”选项卡中，选择如下图所示：在“协议”选项卡中，选择如下图所示后，点击确定在筛选列表中，选择刚才创建“筛选规则”和满足规则后所做的操作点应用8. 添加第二条“安全规则”，拒绝其他流量。（步骤和7大同小异）先点添加：再选择筛选列表：最后选择筛选动作（此处添加一个新动作）：取消“使用添加向导”勾后点添加：选择阻止后点确定：选择筛选器操作为刚刚添加的操作（内容为阻止）后应用确定：9. 选择刚才添加的2条新规则后，应用确定：10. 指派刚才创建的新安全策略完