服務(wù)器安全(一)

步驟 ：
安裝和配置 Windows Server 2003
1. 將System32cmd.exe轉(zhuǎn)移到其他目錄或更名；
2. 系統(tǒng)帳號盡量少，更改默認帳戶名（如Administrator）和描述，密碼盡量復(fù)雜；
3. 拒絕通過網(wǎng)絡(luò)訪問該計算機（匿名登錄；內(nèi)置管理員帳戶；Support_388945a0；Guest；所有非操作系統(tǒng)服務(wù)帳戶）
4. 建議對一般用戶只給予讀取權(quán)限，而只給管理員和System以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成，這時需要對這些文件所在的文件夾權(quán)限進行更改，建議在做更改前先在測試機器上作測試，然后慎重更改。
5. NTFS文件權(quán)限設(shè)定（注意文件的權(quán)限優(yōu)先級別比文件夾的權(quán)限高）：
文件類型
建議的 NTFS 權(quán)限
CGI 文件（.exe、.dll、.cmd、.pl）
腳本文件 (.asp)
包含文件（.inc、.shtm、.shtml）
靜態(tài)內(nèi)容（.txt、.gif、.jpg、.htm、.html）
Everyone（執(zhí)行）
Administrators（完全控制）
System（完全控制）

6. 禁止C$、D$一類的缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareServer、REG_DWORD、0x0
7. 禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareWks、REG_DWORD、0x0
8. 限制IPC$缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2，否則可能會造成你的一些服務(wù)無法啟動，如SQL Server
9. 僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障
10. 在本地安全策略->審核策略中打開相應(yīng)的審核，推薦的審核是：
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發(fā)現(xiàn)沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統(tǒng)資源而且會導(dǎo)致你根本沒空去看，這樣就失去了審核的意義。 與之相關(guān)的是：
在賬戶策略->密碼策略中設(shè)定：
密碼復(fù)雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設(shè)定：
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復(fù)位鎖定計數(shù) 20分鐘
11. 在Terminal Service Configration（遠程服務(wù)配置）-權(quán)限-高級中配置安全審核，一般來說只要記錄登錄、注銷事件就可以了。
12. 解除NetBios與TCP/IP協(xié)議的綁定
控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用 2000：控制面版——網(wǎng)絡(luò)和撥號連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS
13. 在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選，僅開放必要的端口（如80）
14. 通過更改注冊表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止139空連接
15. 修改數(shù)據(jù)包的生存時間(TTL)值
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)
16. 防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
SynAttackProtect REG_DWORD 0x2(默認值為0x0)
17. 禁止響應(yīng)ICMP路由通告報文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
Interfacesinterface
PerformRouterDiscovery REG_DWORD 0x0(默認值為0x2)
18. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
EnableICMPRedirects REG_DWORD 0x0(默認值為0x1)
19. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
IGMPLevel REG_DWORD 0x0(默認值為0x2)
20. 設(shè)置arp緩存老化時間設(shè)置
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認值為600)
21. 禁止死網(wǎng)關(guān)監(jiān)測技術(shù)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1)
22. 不支持路由功能
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
IPEnableRouter REG_DWORD 0x0(默認值為0x0)

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]