WindowsServer2003服务器安全设置

一、安装WindowsServer20031、系统安装至少需要两个分区,且分区格式均为NTFS格式2、在断网状态下安装系统20033、安装IIS,只安装必要的IIS组件(禁用不需要的如FTP和SMTP服务)。
默认情况下,未安装IIS服务。
在“添加/删除Win组件”中选择“应用程序服务器”,然后单击“详细信息”,双击Internet信息服务(iis)并选择以下选项:Internet信息服务管理器公共;文件;BITS(后台智能传输服务)服务器扩展;如果您使用的是FrontPage扩展网站,请选中:FrontPage2002ServerExtensions4,安装MSSQL和其他所需软件,然后升级。
5.使用Microsoft提供的MicrosoftBaselineSecurityAnalyzer(MBSA)工具来分析您计算机的安全配置并识别缺失的补丁和更新。
下载地址:见页面底部链接2.设置和管理帐户1.最好少创建系统管理员帐户最好使用默认的管理员帐户名(Administrator)。
数字加大写字母和小写字母加数字。
Shift组合键的长度最好不少于14位数字。
2.新建一个名为Administrator的trap帐户,设置其最低权限,然后输入密码组合,最好不少于20个字符。
3.禁用Guest帐户并更改名称和描述,然后输入强密码。
当然还有一个DelGuest工具,也许你也可以用它来删除Guest帐户,但我没有尝试过。
4、操作过程中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-帐户策略-帐户锁定策略并将帐户设置为“三次登录后无效”和“锁定时间”是30分钟”,“重置锁定计数设置为30分钟”。
5.在安全设置-本地策略-安全选项中,将“不显示最后的用户名”设置为启用。
6.在安全设置-本地策略-用户权限分配中,将“从网络访问这台计算机”设置为“单独”。
Internet”Guest帐户,启动IIS进程的帐户。
如果使用Asp.net,还必须维护一个Aspnet帐户。
7.创建用户帐户并运行系统如果要执行特权命令,请使用Runas命令。
3网络服务安全管理1.禁止C$、D$、ADMIN$等默认共享打开注册表,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters,在右侧窗口中新建一个Dword值并将名称设置为AutoShareServer值为02,断开NetBios与TCP/IP协议的连接,右键单击网络转到Neighbors-属性-右键网络连接本地-属性-双击Internet协议-高级-Wins-禁用NETBIOS3overTCP/IP,禁用不必要的服务,以下是推荐选项ComputerBrowser:保持网络计算机更新,禁用DistributedFileSystem:管理局域网文件共享,无需禁用Distributedlinktrackingclient:用于更新局域网上的连接信息,不需要Errorreporting服务禁用:禁止发送错误报告MicrosoftSerch:提供快速单词搜索,无需禁用NTLMSecuritysupportprovide:用于telnet和MicrosoftSerch服务,无需禁用PrintSpooler:如果没有打印机则禁用RemoteRegistry:禁止远程注册表编辑远程桌面opHelpSessionManager:禁用远程协助4.打开相应的审核策略。
操作过程中输入gpedit.msc并回车。
打开组策略编辑器,选择计算机配置-安全设置-审核策略,需要注意如果审核的项目太多,会产生更多的事件,检测严重事件会更加困难。
当然,如果你审查的项目太少,也会影响你发现严重事件的能力,你需要根据情况在两者之间做出决定。
建议查看的项目有:成功和失败的登录事件成功和失败的帐户登录事件成功和失败的系统事件成功和失败的策略更改对象访问失败目录服务登录失败权限的使用失败5.其他安全相关设置1.隐藏的重要文件/目录可以修改注册表完全隐藏:“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”,右键“CheckedValue”,选择编辑,将值从1改为02,启动自带的Internet连接防火墙与系统并在服务选项中检查Web服务器3.防止SYNFlood攻击HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/。
在Tcpip/Parameters中创建一个新的DWORD值,名为SynAttackProtect,值为24。
禁用对ICMP路由公告消息的响应HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface创建一个名为PerformRouterDiscovery的新DWORD值,其中值05.防止攻击ICMP重定向消息数HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/P参数将EnableICMPRedirects值设置为06。
不支持IGMP协议HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters创建一个名为IGMPLevel的新DWORD值它的值07.禁用DCOM:运行时输入Dc​​omcnfg.exe按回车键,单击“控制台根节点”下的“组件服务”,打开“计算机”子文件夹,然后选择属性。
选择默认属性选项卡。
取消选中在此计算机上启用分布式COM复选框注意:3-这6项我使用了Server2000设置,尚未测试它们是否可以在2003上运行。
但有一点是肯定的:使用后我没有遇到任何其他副作用一会儿'。
6.配置IIS服务:1.不要使用默认设置。
如果您使用的是网站,还需要将IIS目录与系统盘分开2.删除IIS默认创建的Inetpub目录。
(在系统安装盘上。
)3.删除系统盘中的虚拟目录,例如:_vti_bin、IISSamples、Script、IIShelp、IISAdmin、IIShelp、MSADC4.右键单击​​“默认网站→属性→主目录→配置”,打开Window应用程序,删除不必要的应用程序映射主要是.shtml、.shtm、.stm5编辑IIS日志的路径右键“默认网站→属性-网站-点击启用日志记录下的属性6.如果使用Yes,2000就可以。
使用iislockdown来保护IIS,但运行的IE6.0版本是2003不是他需要它。
7.使用UrlScanUrlScan是一个ISAPI过滤器,它扫描传入的HTTP数据包并可以拒绝任何可疑流量。
最新版本是2.5。
如果是2000Server,需要先安装1.0或2.0版本。
下载地址见页面底部链接。
如果没有特殊要求,只需使用默认的UrlScan配置即可。
但是,如果您在服务器上运行ASP.NET程序并想要对其进行调试,则需要打开%WINDIR%/System32/Inetsrv/URLscan文件夹中的URLScan.ini文件,然后在UserAllowVerbs部分中添加调试谓词。
请注意,本节中区分了大写和小写。
如果您的网页是.asp网页,则需要删除DenyExtensions中的.asp相关内容。
如果您的网页使用非ASCII代码,则需要在Option部分将EnableHighBitCharacters的值设置为1。
更改URLScan.ini文件后,必须重新启动IIS服务才能使快速方法生效。
如果安装后出现问题,您可以通过“添加/删除程序”删除UrlScan。
8、使用WIS(WebInjectionScanner)工具扫描整个网站是否存在SQLInjection漏洞下载地址:[http://www.fanvb.net/websample/othersample.aspx]VB.NET爱好者[/url]7、配置SQL。
服务器1,系统管理最好不要超过两个Tors角色。
2.如果是在本地计算机,最好将身份验证设置为Win登录。
3.不要使用Sa帐户。
设置一个超级强的密码。
4、删除如下扩展存储过程格式:usemastersp_dropextendedproc'扩展存储过程名称'xp_cmdshell:是访问操作系统的最佳快捷方式,删除访问注册表的存储过程,删除您需要删除Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5。
隐藏SQLServer并更改默认端口1433。
右键该实例,选择属性-常规-网络配置,选择TCP/IP协议属性,选择隐藏SQLServer实例,更改默认端口1433。
8.如果您只是使用服务器而不执行任何其他操作,请使用IPSec1,管理工具-本地安全策略-右键单击IP安全策略-管理IP过滤表和过滤操作-单击管理IP过滤表下的添加选项—将名称设置为Web过滤器—单击添加—在描述中插入Web服务器—将源地址设置为任意IP地址—将目标地址设置为我的IP地址——设置协议类型为Tcp——设置IP协议端口第一项为Fromanyport,第二项为该端口80——点击完成——点击确定。
2.单击管理IP过滤器表选项下的添加—将名称设置为所有入站过滤器—单击添加—在描述中输入所有入站过滤器—将源地址设置为任意IP地址—将目标地址设置为我的IP地址—设置将协议类型设置为Any:单击“下一步”—“完成”—单击“确定”。
3.点击管理过滤操作选项下的添加-下一步-在名称中输入块-下一步-选择块-下一步-完成-关闭管理IP过滤表表格和过滤操作窗口4、右键单击IP安全策略-创建IP安全策略-下一步-输入数据包过滤器名称-下一步-取消默认触发响应原理-下一步-完成5、打开新的IP安全在策略属性窗口中,选择添加-下一步-不指定隧道-下一步-整个链路网络-下一步-在I中在过滤器列表中选择新创建的Web过滤器P-下一步-在过滤器操作中选择授权-下一步-完成-选择在IP过滤器列表中新建块过滤器-下一步--在过滤器操作中选择块--下一步--完成--确认6.在右侧策略窗口IPSecurity中右键单击新创建的数据包过滤器,单击分配IPSec即可生效,无需9.如果您遵循本文,您可能希望在每次进行更改时测试您的服务器。
如果您遇到任何问题,可以立即撤消更改。
而如果在发现问题之前改变了大量的元素,就很难确定问题出现在哪个阶段。
十、运行服务器记录当前程序和开放端口1、捕获或记录当前服务器进程并保存以备将来参考,看看是否有未知程序。
2.捕获或记录当前打开的端口并保存它们,以便您稍后检查是否有任何未知端口打开。
当然,如果每个进程和端口都能识别的话,这一步可以省略。

服务器安装windowsserver操作系统哪个版本好用?

WindowsServer是微软在服务器领域提供的功能强大的操作系统,适合各种规模的企业。
选择版本时,考虑服务器性能和稳定性,以确保服务器高效运行并降低总体拥有成本。
本文将深入研究最适合您特定需求的不同版本的WindowsServer。
在WindowsServer版本概述中,微软的基础版;支持从企业版到数据中心版的多个版本;每个版本都有其特定的功能和优点。
选择正确的版本可以保证服务器具有所需的性能和稳定性,同时节省成本。
比较不同版本;WindowsServer2012是划时代的版本之一,引入了新的用户界面;提供云技术;强大的性能和可扩展性。
然而,较旧的应用程序可能需要额外的兼容性调整。
WindowsServer2016提供出色的安全性和高可配置性;支持NanoServer和Containers并简化管理。
然而,它可能需要额外的培训才能充分利用其功能。
Windows服务器2019最新版本的数据存储和处理;适用于混合云和本地场景,满足业务需求的同时加强网络安全和应用性能。
选择最佳版本时,您的具体需求;考虑预算和技术水平。
适用于处理大量数据和流量的大型企业;数据中心版是最佳选择,可提供最高的性能和可扩展性。
中小型企业可以选择标准版或企业版,性能和功能足够,性价比高。
在云环境中运行应用程序或需要高级安全功能时;最新版本提供了最佳选择。
综上所述,WindowsServer版本的选择对于服务器的性能和稳定性非常重要。
选择适合您需求的版本可以保证服务器高效运行并降低成本。
经过全面评估后,选择正确的版本将确保稳定的服务器性能并有效降低总体拥有成本。