海运的博客

Windows 2003服务器安全设置

发布时间:November 10, 2012 // 分类:网络安全,Windows // No Comments

1.计算机安全策略设置(gpedit.msc)
Windows设置——>安全设置——>账户策略——>账户锁定策略:

账户锁定阀值:3次无效登录
账户锁定时间:30分钟
复位账户锁定计时器:30分钟之后

本地策略——>安全选项:

交互式登陆:不显示上次的用户名          启用
帐户:重命名来宾帐户            重命名
帐户:重命名系统管理员帐户         重命名

本地策略——>审核策略:

审核策略更改   成功 失败  
审核登录事件   成功 失败
审核对象访问      失败
审核过程跟踪   无审核
审核目录服务访问    失败
审核特权使用      失败
审核系统事件   成功 失败
审核账户登录事件 成功 失败
审核账户管理   成功 失败

本地策略——>用户权限分配:

从网络访问此计算机:保留Guest组、IIS-WPG组。
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除

2.禁用不必要的服务:

#https://www.haiyun.me
Computer Browser
DHCP Client
Error reporting service
PrintSpooler
Remote Registry
Remote Desktop Help Session Manager
TCP/IP NetBIOS Helper
Help and Support
Windows Audio
Server
Workstation

3.开启防火墙或TCP/IP筛选:
windows2003安全设置TCP-IP筛选.png
windows2003安全防火墙设置.png
4.修改3389远程桌面端口:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t 
REG_DWORD /d $newport /f
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t 
REG_DWORD /d $newport /f
#然后关闭并重新启动远程桌面,远程连接操作请重新启动系统生效。
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t 
REG_DWORD /d 1 /f
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t 
REG_DWORD /d 0 /f

5.IIS新建网站时尽量新建不同的用户,并权限最小化:

网站匿名访问用户属于Guest群组
应用程序池标记用户属于IIS_WPG群组
网站目录仅保留系统管理员网站用户权限

6.系统目录权限:

C:\administrators/system全部权限,继承到下级目录。
C:\Program Files\Common Files 开放Everyone,默认的读取及运行,列出文件目录,读取三个权限。
C:\Windows\ 开放USERS默认的读取及运行,列出文件目录,读取三个权限。
C:\Windows\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限。

7.禁用不安全的组件、调整ASP.NET安全级别防WebShell木马
8.使用UrlScan应用防火墙过滤链接
9.SQL2000数据库服务器安全设置

标签:windows, windows 2003, IIS, windows安全设置

评论已关闭

分类
最新文章
最近回复
  • jiangker: good, very helpful to me
  • fengfeng: N1 armbian 能有编译下内核吗。。我要开启can 不懂怎么操作
  • 1: 方法一ngtcp2要改下:./configure PKG_CONFIG_PATH=/usr/l...
  • 海运: 关闭服务器
  • 海风: override.battery.charge.low以及override.battery.r...
  • koldjf: 不能过滤
  • 杰迪武士: 此文甚好甚强巨,依照此文在树莓派2 + Rasbian上部署成功 感谢博主美文共赏
  • 海运: ups不知有没选项可设置此参数,不过你可以在另外一台电脑上安装nut客户端自动关机。
  • kgami: 想请教一下,设置了的电脑自动关机之后,几秒后UPS怎么也跟着关机了,导致另外一台电脑没关机就断...
  • 海运: 写的很详细了啊,/etc/nut/hosts.conf用以nut-cgi连接nut服务器参数,...