Windows 2003 Server安全配置完整篇(2)

二、关闭不需要的服务 打开相应的审核策略

我关闭了以下的服务

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Distributed File System: 局域网管理共享文件,不需要禁用

Distributed linktracking client:用于局域网更新连接信息,不需要禁用

Error reporting service:禁止发送错误报告

Microsoft Serch:提供快速的单词搜索,不需要可禁用

NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用

PrintSpooler:如果没有打印机可禁用

Remote Registry:禁止远程修改注册表

Remote Desktop Help Session Manager:禁止远程协助

Workstation关闭的话远程NET命令列不出用户组

把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是:

登录事件

账户登录事件

系统事件

策略更改

对象访问

目录服务访问

特权使用

三、关闭默认共享的空连接

地球人都知道,我就不多说了!

时间: 2024-11-18 12:14:22

Windows 2003 Server安全配置完整篇(2)的相关文章

Windows 2003 Server安全配置完整篇(1)

一.先关闭不需要的端口 我比较小心,先关了端口.只开了3389.21.80.1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可.PS一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法: Windows Registry Edit

Windows 2003 Server安全配置完整篇

一.先关闭不需要的端口 我比较小心,先关了端口.只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可.PS一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法: Windows Registry Edito

Windows 2003 Server安全配置完整篇(3)

四.磁盘权限设置 C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了. Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行.以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的. 另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不

Windows 2003 Server安全配置完整篇(4)

3.隐藏重要文件/目录 可以修改注册表实现完全隐藏:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL",鼠标右击 "CheckedValue",选择修改,把数值由1改为0. 4.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器. 5.防止SYN洪水攻击. HKEY_LOCAL_MAC

Win2003 Server安全配置完整篇 端口关闭第1/3页_服务器

一.先关闭不需要的端口 我比较小心,先关了端口.只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可.PS一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法: Windows Registry Edito

Windows 2003 server R2 的IIS上配置Webdav

  通常,进行文件共享在局域网内一般会通过file协议,也就是普通的文件共享来进行;在internet上则通常利用ftp或者http协议进行.但是利用http一般只是单向的共享,不便于文件上传,传统地会使用ftp.但是windows server还可以利用webdav(web-based distributed authoring and versioning,基于web的分布式创作和版本控制)来进行文件共享. webdav是基于 http 1.1 的一个通信协议.它为 http 1.1 添加了

在windows 2003 server中编写asp代码需要注意的地方

server|window 在windows 2003 server中编写asp代码,你可能会碰到下面的错误提示"不允许的父路径",涉及到的代码有: Server.MapPath(../)<!--#include file="../"--> 等.可能是出于安全考虑吧,微软屏蔽了脚本中对父路径的访问,但这可能会给我们的编程带来麻烦,尤其是原有asp的代码升级的时候.幸好,这个设置是可以关闭的,具体在下面这个地方IIS管理器中,在你的虚拟路径上点右键,属性,

Windows 2003 Server 中DOTNET程序访问COM组件

server|window|程序|访问 今天挺高兴,项目终于上线使用.只是上线之前遇到的问题折磨得人精疲力尽...不过总算解决了..在这把问题说出来,希望对有需要的朋友提供些帮助~~ 项目:DOTNET项目,C#开发,主要功能是通过COM组件访问远程接口. 运行环境:Windows 2003 Server + IIS6.0 + .Net 1.1 问题:COM组件及系统在WINDOWS2000操作系统下都能正常使用,但迁移到WIN2003下,在程序调用组件时进程卡住了,有时会返回服务器出现意外情况

windows 2003 server技术专题(1)

server|window 对于全世界的人来说当今可以算得上是一个多事之秋,战争.疾病,每一样都牵动着我们的心,所以Windows Server 2003的问世就没有像以往微软推出新操作系统那么受到关注,但是即便如此,Windows Server 2003的饷⒃诘鼻坝械悴惶骼实奶炜障乱材岩员谎谧.阋蚕肟矗恳黄鹄窗伞? Windows Server 2003作为.Net架构提出以来最重要.最基础性的产品,它一经推出就吸引了业内人士关注的目光.让我们取下口罩,与Windows Server 20