一份詳細的服務(wù)器安全解決方案

一、操作系統(tǒng)配置

1.安裝操作系統(tǒng)(NTFS分區(qū))后，裝殺毒軟件，我選用的是卡巴。

2.安裝系統(tǒng)補丁。掃描漏洞全面殺毒

3.刪除Windows Server 2003默認共享

首先編寫如下內(nèi)容的批處理文件：

@echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del

文件名為delshare.bat，放到啟動項中，每次開機時會自動刪除共享。

4.禁用IPC連接

打開CMD后輸入如下命令即可進行連接：net use\\ip\ipc$ "password" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接。

5.刪除"網(wǎng)絡(luò)連接"里的協(xié)議和服務(wù)

在"網(wǎng)絡(luò)連接"里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），同時在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS（S）"。

6.啟用windows連接防火墻，只開放web服務(wù)(80端口)。

注：在2003系統(tǒng)里，不推薦用TCP/IP篩選里的端口過濾功能，譬如在使用FTP服務(wù)器的時候，如果僅僅只開放21端口，由于FTP協(xié)議的特殊性，在進行FTP傳輸?shù)臅r候，由于FTP 特有的Port模式和Passive模式，在進行數(shù)據(jù)傳輸?shù)臅r候，需要動態(tài)的打開高端口，所以在使用TCP/IP過濾的情況下，經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題，所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]