windows Server服务器系统自身安全防护措施

Windows Server系统自身安全防护措施

提示：

为慎重操作，可以先在测试机做关闭测试，最好通过与厂方工程师商定后再设置。

一、关闭服务器不必要端口

利用win2003自带防火墙关闭所有端口，如就留一个端口：80 。（设置有两种方法，一个使用windows自带防火墙设，一个实在TCP/IP属性里设。）

设置方法： 1、在“网络连接”属性里设置windows防火墙。

2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。

二、在服务中关闭不必要的服务

以下服务可以关闭：

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息

Telnet 允许远程用户登录到此计算机并运行程序

三、在”网络连接”里，把不需要的协议和服务都删掉。这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。在高级tcp/ip设置里--"NetBIOS"设置“禁用tcp/IP上的NetBIOS（S）”。

四、运行pgedit.msc，配置“用户权限分配”

>> 在安全设置里本地策略-安全选项

网络访问:可匿名访问的共享;

网络访问:可匿名访问的命名管道;

网络访问:可远程访问的注册表路径;

网络访问:可远程访问的注册表路径和子路径;

将以上四项全部删除

>> 不允许 SAM 账户的匿名枚举更改为"已启用"

>> 不允许 SAM 账户和共享的匿名枚举更改为"已启用" ;

>> 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为"已启用" ; >> 网络访问.限制匿名访问命名管道和共享,更改为"已启用" ;

将以上四项通通设为“已启用”

五、关闭每个硬盘的默认共享。在Windows 2000/XP/2003系统中，逻辑分区与Windows 目录默认为共享，这是为管理员管理服务器的方便而设，但却成为了别有用心之徒可趁的安全漏洞。

六、IIS (Internet信息服务器管理器)

1、在"主目录"选项设置以下：

读允许

写不允许

脚本源访问不允许

目录浏览建议关闭

记录访问建议关闭

索引资源建议关闭

执行权限推荐选择“纯脚本” 。

2、建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。

七、SQL数据库安全设置

1.System Administrators 角色最好不要超过两个。

2.如果是在本机最好将身份验证配置为Win登陆。

3.不要使用Sa账户，为其配置一个超级复杂的密码。