服务器安全策略.docx

1、服务器安全策略服务器安全策略一.账号安全配置1.重命名一个新帐号命名规则为unisoso与服务器上架日期组成如：5月9上架的服务器，管理员帐号为ussadm0509，密码的设定规则为：长度不少于12个字符，并且要有英文字符数字字符及特殊符号组成而且要间隔开。2.并建一个假的 administrator 帐号，(用户不能更改密码、密码永不过期) 密码用几百个中英文字，设为无任何权限3.重命名来宾guest帐号 重命名一个帐号 ussguest4.并建一个假的 guest 账号，(用户不能更改密码、密码永不过期、账号已禁用)密码用几百个中英文字，设为无任何权限5.创建一个AdmPo组，并且设置该组

2、无任何权限，把新建立假的administrator、Guest加入其中。二.磁盘及文件安全配置1. 系统盘权限：1.1.系统盘只保留给 Administrators 组和 SYSTEM 的完全控制权限，删除其他用户的权限，而且不能选择继承。1.2.系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限，权限也不能继承下去。1.3.系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限，并且权限不能继承下去。2.其他盘权限：2.1.进入

3、权限高级，只保留给 Administrators 组和 SYSTEM 的完全控制权限，删除其他用户的权限，而且要继承下去。3.文件权限设置3.1.C:WINDOWSsystem32下的文件权限只能允许administrator组访问at.exe、attrib.exe、cacls.exe 、cmd.exe、 net.exe、net1.exe、netstat.exe、regedt32.exe以及C:WINDOWS下的regedit.exe3.2.并设置这两个文件只允许administrators和system访问C:WINDOWSsystem32wshom.ocx C:WINDOWSsystem3

4、2shell32.dll4.特殊文件权限4.1.windows 2003服务器防止海洋木马的安全设置执行命令前必须关闭麦咖啡的访问保护4.2.运行：regsvr32 /u C:WINDOWSsystem32wshom.ocx运行：regsvr32 /u C:WINDOWSsystem32shell32.dll4.3.如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件 三.本地安全策略设置1.本地安全策略开始菜单管理工具本地安全策略1.1.本地策略审核策略 审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪 无审核审核目录服务访问失败审核特权使用失败审核系统事件成

5、功失败审核账户登录事件成功失败审核账户管理成功失败1.2.本地策略用户权限分配1.2.1.关闭系统：只有Administrators组、其它全部删除1.2.2.通过终端服务允许登陆：只加入Administrators组，其他全部删除1.3.本地策略安全选项交互式登陆：不显示上次的用户名 启用网络访问：不允许SAM帐号和共享的匿名枚举 启用网络访问：不允许为网络身份验证储存凭证 启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命名管道全部删除网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 1.4.账户策略账户锁定策略1.4.1.组策略设置密

6、码重复输入错误的账号锁定阀值5次，锁定30分钟四.禁用并停止不必要的服务 1.开始菜单管理工具服务ALERTERCOMPUTER BROWSERDISTRIBUTED FILE SYSTEMDISTRIBUTED LINK TRACKING CLIENTINDEXING SERVICEINTERSITE MESSAGINGKERBEROS KEY DISTRIBUTION CENTERMESSENGERPRINT SPOOLERREMOTE REGISTRYROUTING AND REMOTE ACCESSTCP/IP NETBIOS HELPER TELNETWorkstation以上是在W

7、indows Server 2003 系统上面默认启动的服务中禁用的，检查一次看是不是默认禁止并且停止了该服务，在运行的一律停止运行并且禁止。默认禁用的服务如没特别需要的话不要启动五.防火墙及端口安全1.修改端口桌面网上邻居（右键）属性本地连接（右键）属性高级（选中）Internet 连接防火墙设置服务器上面要用到的服务端口1.1.把HTTP TCP 80端口列入防火墙的例外1.2.FTP（21）建议改端口为11921并且把它列为例外1.3.远程桌面（3389）- 建议改端口 11989并且把它列为例外 修改服务器端远程桌面端口设置,注册表有2个地方需要修改重启应用设置1.3.1.第一个键值：

8、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp PortNumber值，默认是3389，修改成所希望的端口，比如119891.3.2.第二个键值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber值，默认是3389，修改成所希望的端口，比如11989六.禁用默认共享1.共享资源 运行-cmd-输入net share 2.删除共享(每次输入一个） net sh

9、are ipc$ /delete 、net share admin$ /delete net share c$ /delete 、net share d$ /delete2.1.保存为 delshare.bat ，存放到系统所在文件夹下的system32/GroupPolicy/User/Scripts/Logon 目录下。然后在开始菜单运行中输入 gpedit.msc ， 点击用户配置 Windows 设置脚本 ( 登录 / 注销 ) 登录2.2.修改注册表删除共享运行regedit 找到如下主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService

10、sLanmanServerParameters 把AutoShareServer（DWORD）的键值改为:00000000。 2.3.如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。3.server服务3.1.暂时停止server服务 net stop server /y （重新启动后server服务会重新开启） 3.2.永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务 3.2.1.控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用 3.3.连接属性中删除其他协议，3.4.所有网卡都需要设置：TCP/I

11、P-属性-高级-WINS，中禁用NetBIOS。七.IIS安全配置1.IIS的安全设置1.1.创建IIS帐号：建议按网站名来设定IIS账号名如：，隶属于Guests组 1.2.禁用（删除）原先的IUSER_AAA为网站目录给IIS账号开权限。只要修改权限，以及中间的删除子文件夹权限。1.3.在IIS中删除所有默认站点1.4.删除C盘：Inetpub目录，如不能删除就先删除默认站点，重启一下系统再删除。1.5.在IIS设置的网站上点击右键，设置目录安全性，参见下图。1.6.站点尽量用不同用户权限，不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。1.7.删除不必要的IIS扩展名映

12、射：右键单击“默认Web站点属性主目录配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm1.8.更改IIS日志的路径，设置日志记录“所用时间TIME TAKEN”右键单击“默认Web站点属性-网站-在启用日志记录下点击属性进行设置，并把它放在D: LogFiles文件夹八.SQL2005 安全设置1.数据库设置1.1.为应用数据库设置单独的帐号，切勿用sa账号作为应用数据库的使用账号；1.2.指定定期备份机制企业管理器：管理维护计划点击右键维护计划向导进行完全备份数据库1.3.设置内存AWEsp_configure show advanced op

13、tions, 1RECONFIGUREGOsp_configure awe enabled, 1启动AWE内存映射RECONFIGUREGOsp_configure min server memory, 1024设置最小内存值RECONFIGUREGOsp_configure max server memory, 3072设置最大内存值RECONFIGUREGO重启sql20051.4.更改数据库端口1.4.1.通过SQL Server Configuration Manager配置服务器端口和访问的客户端端口1433端口改为119331.4.2.MSSQLSERVER，客户端协议，TCPIP

14、端口由1433改为119331.4.3.重启SQL服务九.防病毒软件设置1.360安全卫士设置：1.1.开启360安全卫士所有的防火墙并设置为拦截不弹出提示窗口，根据需要开启ARP防火墙1.2.用360安全卫士检查启动项、系统服务状态、系统进程状态、网络连接状态并且修复一下IE浏览器1.3.修复系统漏洞、清理恶评插件、清理使用痕迹、关闭软件更新提示、开启自动升级查杀1.4.用360安全卫士对电脑全面查杀木马2.MCAFEE安全配置2.1.访问保护属性最大保护，开启所有阻止和报告2.2.按访问扫描属性，一定要设置SCRIPTSCAN保护，防止IE执行危险脚本2.3.设置自动更新计划为每天凌晨4：002.4.完全扫描计划为：每周周一4：00