十個步驟打造安全的Windows網站服務器
一、Windows Server2003的安裝
1、安裝系統最少兩需要個分區,分區格式都采用NTFS格式
2、在斷開網絡的情況安裝好2003系統
3、安裝IIS,僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP 服務)。默認情況下,IIS服務沒有安裝,在添加/刪除Win組件中選擇“應用程序服務器”,然后點擊“詳細信息”,雙擊Internet信息服務(iis),勾選以下選項:
Internet 信息服務管理器;
公用文件;
后臺智能傳輸服務 (BITS) 服務器擴展;
萬維網服務。
如果你使用 FrontPage 擴展的 Web 站點再勾選:FrontPage 2002 Server Extensions
4、安裝MSSQL及其它所需要的軟件然后進行Update。
5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析計算機的安全配置,并標識缺少的修補程序和更新。
二、設置和管理賬戶
1、系統管理員賬戶最好少建,更改默認的管理員帳戶名(Administrator)和描述,密碼最好采用數字加大小寫字母加數字的上檔鍵組合,長度最好不少于14位。
2、新建一個名為Administrator的陷阱帳號,為其設置最小的權限,然后隨便輸入組合的最好不低于20位的密碼。
3、將Guest賬戶禁用并更改名稱和描述,然后輸入一個復雜的密碼,當然現在也有一個DelGuest的工具,也許你也可以利用它來刪除Guest賬戶。
4、在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設為“三次登陸無效”,“鎖定時間為30分鐘”,“復位鎖定計數設為30分鐘”。
5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用。
6、在安全設置-本地策略-用戶權利分配中將“從網絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。
7、創建一個User賬戶,運行系統,如果要運行特權命令使用Runas命令。
三、網絡服務安全管理
1、禁止C$、D$、ADMIN$一類的缺省共享
打開注冊表,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右邊的窗口中新建Dword值,名稱設為AutoShareServer值設為0
2、 解除NetBios與TCP/IP協議的綁定
右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的NETBIOS
3、關閉不需要的服務,以下為建議選項:
Computer Browser:維護網絡計算機更新,禁用
Distributed File System: 局域網管理共享文件,不需要禁用
Distributed linktracking client:用于局域網更新連接信息,不需要禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
PrintSpooler:如果沒有打印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協助
四、打開相應的審核策略
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那么要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件,你需要根據情況在這二者之間做出選擇。
推薦的要審核的項目是:
登錄事件 成功 失敗
賬戶登錄事件 成功 失敗
系統事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗
特權使用 失敗
五、其它安全相關設置
1、隱藏重要文件/目錄
可以修改注冊表實現完全隱藏:“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠標右擊 “CheckedValue”,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連接防火墻,在設置服務選項中勾選Web服務器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名為SynAttackProtect,值為2
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHIN
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解