windows2003 简单安全策略

23decxf

　　Server2003服务器安全策略
　　情景说明
　　某公司现扩大业务规模，提高对外宣传力度，架设WEB服务器一台，操作系统为server2003，现需要对其进行一系列配置，来保障其安全性。
　　情况分析
　　根据其要求，需要对服务器进行以下方面的配置，来保障其安全:
　　1. 对管理员账户添加密码，并对其他账户的权限进行更改；
　　2. 关闭不必要的服务以及端口，防止产生后门；
　　3. 关闭默认共享，防止文件泄漏；
　　4. 对IIS进行配置，修改日志存放位置；
　　5. 注册表相关安全设置；
　　操作步骤
　　1.配置用户权限及密码：
　　在“控制面板—用户账户”中添加管理员账户密码，并删除无用账户；
　　C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置。　　Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。
　　2可通过“控制面板—管理工具—服务”来关闭下列不必要的服务：
　　·ComputerBrowser维护网络上计算机的最新列表以及提供这个列表
　　·Taskscheduler允许程序在指定时间运行
　　·RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务
　　·Removablestorage管理可移动媒体、驱动程序和库
　　·RemoteRegistryService允许远程注册表操作
　　·PrintSpooler将文件加载到内存中以便以后打印。
　　·IPSECPolicyAgent管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序
　　·DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知
　　·Com+EventSystem提供事件的自动发布到订阅COM组件
　　·Alerter通知选定的用户和计算机管理警报
　　·ErrorReportingService收集、存储和向Microsoft报告异常应用程序
　　·Messenger传输客户端和服务器之间的NETSEND和警报器服务消息
　　·Telnet允许远程用户登录到此计算机并运行程序
　　3. 首先编写如下内容的批处理文件：
　　@echo off
　　net share C$ /delete
　　net share D$ /delete
　　net share E$ /delete
　　net share F$ /delete
　　net share admin$ /delete
　　将其保存后放入“启动”文件夹中，便可实现开机时自动关闭默认共享。
　　4.对IIS进行配置：
　　Ø 不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。
　　Ø 删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
　　Ø 删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
　　Ø 右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、shtm、stm。
　　Ø 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性，修改IIS的日志路径。
　　5对注册表进行配置：
　　隐藏重要文件/目录
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL”
　　鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。
　　防止SYN洪水***
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　新建DWORD值，名为SynAttackProtect，值为2
　　禁止响应ICMP路由通告报文
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
　　新建DWORD值，名为PerformRouterDiscovery 值为0。
　　防止ICMP重定向报文的***
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　将EnableICMPRedirects 值设为0
　　不支持IGMP协议
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　新建DWORD值，名为IGMPLevel 值为0。