Windows Server 2003 系統(tǒng)配置方案

Windows Server 2003 系統(tǒng)配置方案

由于近短ASP木馬問(wèn)題嚴(yán)重/很多主機(jī)租用朋友和主機(jī)管理員想我詢問(wèn)WIN2003的一些安全配置措施，現(xiàn)我做拉初步整理。希望對(duì)大家有所幫助。有不足之處請(qǐng)大家補(bǔ)上。

一、系統(tǒng)的安裝　　

１、按照Windows2003安裝光盤(pán)的提示安裝，默認(rèn)情況下2003沒(méi)有把IIS6.0安裝在系統(tǒng)里面。

２、IIS6.0的安裝
　　開(kāi)始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
　　應(yīng)用程序 ———ASP.NET（可選）
　　　　　　　|——啟用網(wǎng)絡(luò) COM+ 訪問(wèn)（必選）
　　　　　　　|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器（必選）　
　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必選）
　　　　　　　　　　　　　　　　　　　　　 |——萬(wàn)維網(wǎng)服務(wù)———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　|——Internet 數(shù)據(jù)連接器（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發(fā)布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——萬(wàn)維網(wǎng)服務(wù)（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服務(wù)器端的包含文件（可選）
　　然后點(diǎn)擊確定—>下一步安裝。

３、系統(tǒng)補(bǔ)丁的更新
　　點(diǎn)擊開(kāi)始菜單—>所有程序—>Windows Update
　　按照提示進(jìn)行補(bǔ)丁的安裝。

４、備份系統(tǒng)
　　用GHOST備份系統(tǒng)。

５、安裝常用的軟件
　　例如：殺毒軟件、解壓縮軟件等；安裝之后用GHOST再次備份系統(tǒng)。

二、系統(tǒng)權(quán)限的設(shè)置
１、磁盤(pán)權(quán)限
　　系統(tǒng)盤(pán)及所有磁盤(pán)只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤(pán)\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤(pán)\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤(pán)\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤(pán)\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　
２、本地安全策略設(shè)置
　　開(kāi)始菜單—>管理工具—>本地安全策略
　　A、本地策略——>審核策略
　　審核策略更改　　　成功　失敗　　
　　審核登錄事件　　　成功　失敗
　　審核對(duì)象訪問(wèn)　　　　　　失敗
　　審核過(guò)程跟蹤　　　無(wú)審核
　　審核目錄服務(wù)訪問(wèn)　　　　失敗
　　審核特權(quán)使用　　　　　　失敗
　　審核系統(tǒng)事件　　　成功　失敗
　　審核賬戶登錄事件　成功　失敗
　　審核賬戶管理　　　成功　失敗

　　B、 本地策略——>用戶權(quán)限分配
　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。
　　通過(guò)終端服務(wù)拒絕登陸：加入Guests、User組
　　通過(guò)終端服務(wù)允許登陸：只加入Administrators組，其他全部刪除

　　C、本地策略——>安全選項(xiàng)
　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用
　　網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶和共享的匿名枚舉　　 啟用
　　網(wǎng)絡(luò)訪問(wèn)：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證　　　啟用
　　網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享　　　　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命　　　　　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑　　全部刪除
　　帳戶：重命名來(lái)賓帳戶　　　　　　　　　　　　重命名一個(gè)帳戶
　　帳戶：重命名系統(tǒng)管理員帳戶　　　　　　　　　重命名一個(gè)帳戶

３、禁用不必要的服務(wù)
　　開(kāi)始菜單—>管理工具—>服務(wù)
　　Print Spooler
　　Remote Registry
　　TCP/IP NetBIOS Helper
　　Server
　　
　　以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒(méi)特別需要的話不要啟動(dòng)。

４、啟用防火墻
　　桌面—>網(wǎng)上鄰居—>（右鍵）屬性—>本地連接—>（右鍵）屬性—>高級(jí)—>（選中）Internet 連接防火墻—>設(shè)置
　　把服務(wù)器上面要用到的服務(wù)端口選中
　　例如：一臺(tái)WEB服務(wù)器，要提供WEB（80）、FTP（21）服務(wù)及遠(yuǎn)程桌面管理（3389）
　　　　在“FTP 服務(wù)器”、“WEB服務(wù)器（HTTP）”、“遠(yuǎn)程桌面”前面打上對(duì)號(hào)
　　如果你要提供服務(wù)的端口不在里面，你也可以點(diǎn)擊“添加”銨鈕來(lái)添加，具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。
　　然后點(diǎn)擊確定。注意：如果是遠(yuǎn)程管理這臺(tái)服務(wù)器，請(qǐng)先確定遠(yuǎn)程管理的端口是否選中或添加。
ASP虛擬主機(jī)安全檢測(cè)探針V1.5

走出Windows權(quán)限迷魂陣
在電腦應(yīng)用中經(jīng)常會(huì)看到"權(quán)限"這個(gè)詞，特別是Windows 2000/XP被越來(lái)越多的朋友裝進(jìn)電腦后，常常會(huì)有讀者問(wèn)，什么是權(quán)限呢?它到底有什么用?下面我們將用幾個(gè)典型實(shí)例為大家講解windows中的權(quán)限應(yīng)用，讓你不僅可以在不安裝任何軟件的情況下，限制別人訪問(wèn)你的文件夾、指定用戶不能使用的程序，而且還有來(lái)自微軟內(nèi)部的加強(qiáng)系統(tǒng)安全的絕招。