windowsServer服務(wù)器系統(tǒng)自身安全防護(hù)措施

1、Windows Server系統(tǒng)自身安全防護(hù)措施提示：為慎重操作，可以先在測試機做關(guān)閉測試，最好通過與廠方工程師商定后再設(shè)置。一、 關(guān)閉服務(wù)器不必要端口利用win2003自帶防火墻關(guān)閉所有端口，如就留一個端口：80 。（設(shè)置有兩種方法，一個使用windows自帶防火墻設(shè)，一個實在TCP/IP屬性里設(shè)。） 設(shè)置方法： 1、在“網(wǎng)絡(luò)連接”屬性里設(shè)置windows防火墻。2、將需要打開的端口添加進(jìn)去。建議大家盡可能少打開端口。盡量不要開遠(yuǎn)程桌面。二、 在服務(wù)中關(guān)閉不必要的服務(wù)以下服務(wù)可以關(guān)閉：Computer Browser 維護(hù)網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表Task scheduler 允

2、許程序在指定時間運行Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removable storage 管理可移動媒體、驅(qū)動程序和庫Remote Registry Service 允許遠(yuǎn)程注冊表操作Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機的朋友不能禁用這項IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE）和IP安全驅(qū)動程序Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知Com+ Event System 提供事件的

3、自動發(fā)布到訂閱COM組件Alerter 通知選定的用戶和計算機管理警報Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息Telnet 允許遠(yuǎn)程用戶登錄到此計算機并運行程序三、在”網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉。這里只安裝了基本的Internet協(xié)議（TCP/IP）和Microsoft網(wǎng)絡(luò)客戶端。在高級tcp/ip設(shè)置里-"NetBIOS"設(shè)置“禁用tcp/IP上的NetBIOS（S）”。四、運行pgedit.msc，配置“用戶權(quán)限分配

4、”>> 在安全設(shè)置里 本地策略-安全選項網(wǎng)絡(luò)訪問:可匿名訪問的共享; 網(wǎng)絡(luò)訪問:可匿名訪問的命名管道; 網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑; 網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑; 將以上四項全部刪除 >> 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用" >> 不允許 SAM 賬戶和共享的匿名枚舉 更改為"已啟用" ;>> 網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或 .NET Passports 更改為"已啟用" ;>> 網(wǎng)絡(luò)訪問.限制匿名訪問命名管道和共享,更改為&qu

5、ot;已啟用" ;將以上四項通通設(shè)為“已啟用”五、關(guān)閉每個硬盤的默認(rèn)共享。在Windows 2000/XP/2003系統(tǒng)中，邏輯分區(qū)與Windows目錄默認(rèn)為共享，這是為管理員管理服務(wù)器的方便而設(shè)，但卻成為了別有用心之徒可趁的安全漏洞。六、IIS (Internet信息服務(wù)器管理器) 1、在"主目錄"選項設(shè)置以下：讀 允許寫 不允許腳本源訪問 不允許目錄瀏覽 建議關(guān)閉記錄訪問 建議關(guān)閉索引資源 建議關(guān)閉執(zhí)行權(quán)限 推薦選擇 “純腳本” 。2、建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。(最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設(shè)置日志的訪問權(quán)限，只允許管理員和system為Full Control)。七、 SQL數(shù)據(jù)庫安全設(shè)置1