Windows_Server_2003_安全加固设置

Windows Server 2003安全加固设置

一、用户账户安全

1.Administrator账户的安全性

a)重命名adminstrator，并将其禁用。

右击“我的电脑”，在单击“管理”，选择“本地用户和组”，选择“用户”，右侧窗口的“administrator”右击“重命名”

“administrator”右击“属性”

b)创建一个用户账户并将其加入管理员组，日常管理工作使用这个账户

完成。

操作步骤：在右侧窗口空白处右击鼠标，再单击“新用户”

a)即可以用创建的“test”用户名和密码，赋予“test”用户管理员的

权限，日常管理工作使用这个账户完成。

当我们再次登录时，administrator用户无法登陆

用“test”用户登录系统，才能成功，且“test”用户拥有管理员的权限。

思考：我们为什么要这么做？？

2.启用账户锁定策略

开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”

3.修改本地策略限制用户权限

开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”，限制从网络访问该服务器的账户。

二、服务器性能优化，稳定性优化

1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”

2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置

3.停止暂时未用到的服务

a)在开始“运行”中输入:services.msc

b)停止并禁用以下服务

puter Browser 计算机浏览

2.Distributed Link Tracking Client 如果此服务被停用，

这台计算机上的链接将不会维护或跟踪。

3.Print Spooler（如果没有打印需求可以停止该服务）

4.Remote Registry 远程注册表

5.Remote Registry（如果没有无线设备可以停止该服务）

6.TCP/IP NetBIOS Helper

三、系统安全及网络安全设置

1.开启自动更新

“我的电脑”右键“属性”——“自动更新”

Windows Server 2003会自动下载更新，无须人为打补丁。

2.关闭端口，减少受攻击面（此处以仅提供HTTP协议为例），尽量少安装不必要的组件。

a)开始运行中输入cmd，运行命令提示符

b)在命令提示符中输入netstat -an命令察看当前打开端口

图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。

c)禁用TCP/IP 上的NetBIOS

1.右键单击“我的电脑”，然后单击“属性”。

2.点选“硬件”选项卡后，单击“设备管理器”按钮。

3.右键单击“设备管理器”，指向“查看”，再选择“显示隐藏设备”。

4.展开“非即插即用驱动程序”。

5.右键单击“TCP/IP 上的NetBios”，然后单击“禁用”。

禁用后，再重启计算机，用命令查看只有135和1026端口开放了。

3.如何防止其他计算机对本地计算机进行ping测试

准备两台pc机，在配置windows server 2003计算机前，确认两台计算机可以ping通。

操作步骤：使用IPSEC策略阻止ping测试。

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP 安全策略”（如右图），于是弹出一个向导。

在向导中点击“下一步”按钮，为新的安全策略命名；。

再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略取

消下图红圈处的勾

1.添加第一个新IP安全规则，禁止ping测试。取消红圈1处的

勾，点击红圈2处的添加

选择“所有ICMP通讯”单击”添加”

2.添加新的筛选规则

取消下图红圈的勾，在红圈处填写新规则的名称”ruping”后，单击红圈处“添加”

在“地址”选项卡中，选择如下图所示：

在“协议”选项卡中，选择如下图所示后，点击确定

单击--确定“，选择---请求安全（可选）,再单击-应用，单击-确定。

指派

指派后，再用另一台计算机ping本地计算机时

从而防止了其他计算机的ping测试。