一、系統(tǒng)的安裝

1、按照Windows2003安裝光盤的提示安裝,默認情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。
2、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應用程序 ———ASP.NET(可選)
|——啟用網(wǎng)絡 COM+ 訪問(必選)
|——Internet 信息服務(IIS)———Internet 信息服務管理器(必選)
|——公用文件(必選)
|——萬維網(wǎng)服務———Active Server pages(必選)
|——Internet 數(shù)據(jù)連接器(可選)
|——WebDAV 發(fā)布(可選)
|——萬維網(wǎng)服務(必選)
|——在服務器端的包含文件(可選)

然后點擊確定—>下一步安裝。

3、系統(tǒng)補丁的更新(建議使用360或者服務器安全狗進行補丁更新，windows自帶的容易出現(xiàn)問題)
點擊開始菜單—>所有程序—>Windows Update
按照提示進行補丁的安裝。
4、備份系統(tǒng)
用GHOST備份系統(tǒng)（軟件下載http://www.dbjr.com.cn/softs/54.html這個是綠色軟件，很方便，如果不能使用可以使用http://www.dbjr.com.cn/softs/8860.html）。
5、安裝常用的軟件
例如:殺毒軟件mcafee、解壓縮軟件winrar等;安裝之后用GHOST再次備份系統(tǒng)。

服務器上更多的實用軟件可以到s.jb51.net下載。

二、系統(tǒng)權(quán)限的設置

1、磁盤權(quán)限
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM
的完全控制權(quán)限
系統(tǒng)盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給
Administrators 組和 SYSTEM 的完全控制權(quán)限
2、本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests、User組
通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡訪問:不允許為網(wǎng)絡身份驗證儲存憑證 啟用
網(wǎng)絡訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡訪問:可匿名訪問的命 全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑 全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶
3、禁用不必要的服務
開始菜單—>管理工具—>服務
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統(tǒng)上面默認啟動的服務中禁用的,默認禁用的服務如沒特別需要的話不要啟動。
4、啟用防火墻
桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>(選中)Internet 連接防火墻—>設置
把服務器上面要用到的服務端口選中
例如:一臺WEB服務器,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)
在“FTP 服務器”、“WEB服務器(HTTP)”、“遠程桌面”前面打上對號
如果你要提供服務的端口不在里面,你也可以點擊“添加”銨鈕來添加,具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。
然后點擊確定。注意:如果是遠程管理這臺服務器,請先確定遠程管理的端口是否選中或添加。

Win2003 Server的安全性較之Win2K確實有了很大的提高,但是用Win2003
Server作為服務器是否就真的安全了?如何才能打造一個安全的個人Web服務器?下面給大家一些建議:

一、Windows Server2003的安裝
1、安裝系統(tǒng)最少兩需要個分區(qū),分區(qū)格式都采用NTFS格式
2、在斷開網(wǎng)絡的情況安裝好2003系統(tǒng)
3、安裝IIS,僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP
服務)。默認情況下,IIS服務沒有安裝,在添加/刪除Win組件中選擇“應用程序服務器”,然后點擊“詳細信息”,雙擊Internet信息服務(iis),勾選以下選項:
Internet 信息服務管理器;
公用文件;
后臺智能傳輸服務 (BITS) 服務器擴展;
萬維網(wǎng)服務。
如果你使用 FrontPage 擴展的 Web 站點再勾選:FrontPage 2002 Server Extensions
4、安裝MSSQL及其它所需要的軟件然后進行Update。
5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer)
工具分析計算機的安全配置,并標識缺少的修補程序和更新。下載地址:見頁末的鏈接

二、設置和管理賬戶

1、系統(tǒng)管理員賬戶最好少建,更改默認的管理員帳戶名(Administrator)和描述,密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合,長度最好不少于14位。
2、新建一個名為Administrator的陷阱帳號,為其設置最小的權(quán)限,然后隨便輸入組合的最好不低于20位的密碼
3、將Guest賬戶禁用并更改名稱和描述,然后輸入一個復雜的密碼,當然現(xiàn)在也有一個DelGuest的工具,也許你也可以利用它來刪除Guest賬戶,但我沒有試過。
4、在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設為“三次登陸無效”,“鎖定時間為30分鐘”,“復位鎖定計數(shù)設為30分鐘”。
5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用
6、在安全設置-本地策略-用戶權(quán)利分配中將“從網(wǎng)絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。
7、創(chuàng)建一個User賬戶,運行系統(tǒng),如果要運行特權(quán)命令使用Runas命令。

三、網(wǎng)絡服務安全管理

1、禁止C$、D$、ADMIN$一類的缺省共享
打開注冊表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右邊的窗口中新建Dword值,名稱設為AutoShareServer值設為0
2、 解除NetBios與TCP/IP協(xié)議的綁定
右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS
3、關(guān)閉不需要的服務,以下為建議選項
Computer Browser:維護網(wǎng)絡計算機更新,禁用
Distributed File System: 局域網(wǎng)管理共享文件,不需要禁用
Distributed linktracking client:用于局域網(wǎng)更新連接信息,不需要禁用
Error reporting service:禁止發(fā)送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
PrintSpooler:如果沒有打印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協(xié)助
四、打開相應的審核策略
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那么要想發(fā)現(xiàn)嚴重的事件也越難當然如果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件,所以你需要根據(jù)情況在這二者之間做出選擇。
推薦的要審核的項目:
登錄事件 成功 失敗
賬戶登錄事件 成功 失敗
系統(tǒng)事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗
特權(quán)使用 失敗

五、其它安全相關(guān)設置
1、隱藏重要文件/目錄
可以修改注冊表實現(xiàn)完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊
“CheckedValue”,選擇修改,把數(shù)值由1改為0
2、啟動系統(tǒng)自帶的Internet連接防火墻,在設置服務選項中勾選Web服務器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7、禁用DCOM:
運行中輸入 Dcomcnfg.exe。 回車, 單擊“控制臺根節(jié)點”下的“組件服務”。 打開“計算機”子文件夾。
對于本地計算機,請以右鍵單擊“我的電腦”,然后選擇“屬性”。選擇“默認屬性”選項卡。
清除“在這臺計算機上啟用分布式 COM”復選框。
注:3-6項內(nèi)容我采用的是Server2000設置,沒有測試過對2003是否起作用。但有一點可以肯定我用了一段的時間沒有發(fā)現(xiàn)其它副面的影響。
六、配置 IIS 服務:
1、不使用默認的Web站點,如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。
2、刪除IIS默認創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。
3、刪除系統(tǒng)盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、刪除不必要的IIS擴展名映射。
右鍵單擊“默認Web站點→屬性→主目錄→配置”,打開應用程序窗口,去掉不必要的應用程序映射。主要為.shtml, .shtm,
.stm
5、更改IIS日志的路徑
右鍵單擊“默認Web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一個ISAPI篩選器,它對傳入的HTTP數(shù)據(jù)包進行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安裝1.0或2.0的版本。下載地址見頁未的鏈接
如果沒有特殊的要求采用UrlScan默認配置就可以了。
但如果你在服務器運行ASP.NET程序,并要進行調(diào)試你需打開要%WINDIR%\System32\Inetsrv\URLscan
文件夾中的URLScan.ini 文件,然后在UserAllowVerbs節(jié)添加debug謂詞,注意此節(jié)是區(qū)分大小寫的。
如果你的網(wǎng)頁是.asp網(wǎng)頁你需要在DenyExtensions刪除.asp相關(guān)的內(nèi)容。
如果你的網(wǎng)頁使用了非ASCII代碼,你需要在Option節(jié)中將AllowHighBitCharacters的值設為1
在對URLScan.ini 文件做了更改后,你需要重啟IIS服務才能生效,快速方法運行中輸入iisreset
如果你在配置后出現(xiàn)什么問題,你可以通過添加/刪除程序刪除UrlScan。
8、利用WIS (Web Injection Scanner)工具對整個網(wǎng)站進行SQL Injection 脆弱性掃描.

七、配置Sql服務器
1、System Administrators 角色最好不要超過兩個
2、如果是在本機最好將身份驗證配置為Win登陸
3、不要使用Sa賬戶,為其配置一個超級復雜的密碼
4、刪除以下的擴展存儲過程格式為:
use master
sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入*作系統(tǒng)的最佳捷徑,刪除
訪問注冊表的存儲過程,刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隱藏 SQL Server、更改默認的1433端口
右擊實例選屬性-常規(guī)-網(wǎng)絡配置中選擇TCP/IP協(xié)議的屬性,選擇隱藏 SQL Server 實例,并改原默認的1433端口。
八、如果只做服務器,不進行其它*作,使用IPSec
1、管理工具—本地安全策略—右擊IP安全策略—管理IP篩選器表和篩選器*作—在管理IP篩選器表選項下點擊
添加—名稱設為Web篩選器—點擊添加—在描述中輸入Web服務器—將源地址設為任何IP地址——將目標地址設為我的IP地址——協(xié)議類型設為Tcp——IP協(xié)議端口第一項設為從任意端口,第二項到此端口80——點擊完成——點擊確定。
2、再在管理IP篩選器表選項下點擊
添加—名稱設為所有入站篩選器—點擊添加—在描述中輸入所有入站篩選—將源地址設為任何IP地址——將目標地址設為我的IP地址——協(xié)議類型設為任意——點擊下一步——完成——點擊確定。
3、在管理篩選器*作選項下點擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關(guān)閉管理IP篩選器表和篩選器*作窗口
4、右擊IP安全策略——創(chuàng)建IP安全策略——下一步——名稱輸入數(shù)據(jù)包篩選器——下一步——取消默認激活響應原則——下一步——完成
5、在打開的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網(wǎng)絡連接——下一步——在IP篩選器列表中選擇新建的
Web篩選器——下一步——在篩選器*作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器*作中選擇阻止
——下一步——完成——確定
6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器,點擊指派,不需要重啟,IPSec就可生效.
九 嚴重注意
如果你按這些去*作,建議每做一項更改就測試一下服務器,如果有問題可以馬上撤消更改。而如果更改的項數(shù)多,才發(fā)現(xiàn)出問題,那就很難判斷問題是出在哪一步上了。

十、運行服務器記錄當前的程序和開放的端口

1、將當前服務器的進程抓圖或記錄下來,將其保存,方便以后對照查看是否有不明的程序。
2、將當前開放的端口抓圖或記錄下來,保存,方便以后對照查看是否開放了不明的端口。當然如果你能分辨每一個進程,和端口這一步可以省略。

建議設置

極限測試

在”網(wǎng)絡連接”里，把不需要的協(xié)議和服務都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），由于要控制帶寬流量服務，額外安裝了Qos數(shù)據(jù)包計劃程序。

在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS（S）"。

在2003系統(tǒng)里，不推薦用TCP/IP篩選里的端口過濾功能，譬如在使用FTP服務器的時候，如果僅僅只開放21端口，由于FTP協(xié)議的特殊性，在進行FTP傳輸?shù)臅r候，由于FTP 特有的Port模式和Passive模式，在進行數(shù)據(jù)傳輸?shù)臅r候，需要動態(tài)的打開高端口，所以在使用TCP/IP過濾的情況下，經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題，所以都不推薦使用網(wǎng)卡的TCP/IP過濾功能。

在高級選項里，使用”Internet連接防火墻”，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達到了一個IPSec的功能。

放開使用到的端口，如果修改了遠程桌面的端口，別忘記添加上。如果有郵件服務器的話還要放開SMTP服務器端口25 POP3服務器端口110。對外提供服務的端口都要加上，不然無法訪問服務。

修改ICMP設置，建議全部啟用，便于網(wǎng)絡測試ping等

當然為了安全也防止本機成為肉雞，有時候需要設置本地不要訪問外部的80，22等端口，這里提供一個bat代碼，如果需要訪問 外部的網(wǎng)站需要把80端口去掉就可以了

@rem 配置windows2003系統(tǒng)的IP安全策略
@rem version 3.0 time:2014-5-12

netsh ipsec static add policy name=drop
netsh ipsec static add filterlist name=drop_port
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=21 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=22 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=23 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=25 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=53 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=80 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=135 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=139 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=443 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=445 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1314 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1433 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1521 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=2222 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3306 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3433 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3389 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=4899 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=8080 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=18186 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any protocol=UDP mirrored=no
netsh ipsec static add filteraction name=denyact action=block
netsh ipsec static add rule name=kill policy=drop filterlist=drop_port filteraction=denyact
netsh ipsec static set policy name=drop assign=y

權(quán)限的設置所有磁盤分區(qū)的根目錄只給Administrators組和SYSTEM 的完全控制權(quán)限，注意系統(tǒng)盤不要替換子目錄的權(quán)限。windows目錄和Program Files目錄等一些目錄并沒有繼承父目錄權(quán)限，這些目錄還需要其它一些權(quán)限才能運行。 C:Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限，并應用到子對象的項目替代所有子對象的權(quán)限項目。 系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限。這里給的system權(quán)限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。

c:/Documents and Settings/這里要注意，后面的目錄里的權(quán)限根本不會繼承從前的設置，如果僅僅只是設置了C盤給administrators權(quán)限，而在All Users/Application Data目錄下會 出現(xiàn)everyone用戶有完全控制權(quán)限，這樣入侵這可以跳轉(zhuǎn)到這個目錄，寫入腳本或只文件，再結(jié)合其他漏洞來提升權(quán)限；譬如利用serv-u的本地溢出提升權(quán)限，或系統(tǒng)遺漏有補丁，數(shù)據(jù)庫的弱點等等。在用做web/ftp服務器的系統(tǒng)里，建議設置。

Windows目錄要加上給users的默認權(quán)限，否則ASP和ASPX等應用程序就無法運行。如果修改的話，不要應用到子對象的項目替代所有子對象的權(quán)限項目。系統(tǒng)目錄權(quán)限拿不準的話就不要動了，一般做好根目錄和Documents and Settings就比較安全了，asp程序訪問不了根目錄就訪問不了子目錄。

另外Documents and Settings目錄增加Users用戶組的讀取運行權(quán)限，可以避免出現(xiàn)LoadUserProfile失敗,需要注意的是一但有users組讀取權(quán)限，asp木馬就能訪問這個目錄。為了安全需要接受一些錯誤日志。（2009年1月13日備注：貌似是沒有system完全就出現(xiàn)LoadUserProfile，與users無關(guān)。）

系統(tǒng)盤
下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 文件只給 Administrators 組和SYSTEM 的完全控制權(quán)限?？刹檎乙幌陆y(tǒng)一設置，或者編輯一份批處理，使用cacls命令處理。

本地策略→審核策略

　　審核策略更改　　　成功　失敗　　
　　審核登錄事件　　　成功　失敗
　　審核對象訪問　　　　　　失敗
　　審核過程跟蹤　　　無審核
　　審核目錄服務訪問　　　　失敗
　　審核特權(quán)使用　　　　　　失敗
　　審核系統(tǒng)事件　　　成功　失敗
　　審核賬戶登錄事件　成功　失敗
　　審核賬戶管理　　　成功　失敗

　　本地策略→用戶權(quán)限分配
　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。
　　通過終端服務允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

　　本地策略→安全選項
　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用
　　網(wǎng)絡訪問：不允許SAM帳戶和共享的匿名枚舉　　啟用
　　網(wǎng)絡訪問：不允許為網(wǎng)絡身份驗證儲存憑證　　　啟用
　　網(wǎng)絡訪問：可匿名訪問的共享　　　　　　　　　全部刪除
　　網(wǎng)絡訪問：可匿名訪問的命　　　　　　　　　　全部刪除
　　網(wǎng)絡訪問：可遠程訪問的注冊表路徑　　　　　　全部刪除
　　網(wǎng)絡訪問：可遠程訪問的注冊表路徑和子路徑　　全部刪除
　　帳戶：重命名來賓帳戶　　　　　　　　　　　　重命名一個帳戶
　　帳戶：重命名系統(tǒng)管理員帳戶　　　　　　　　　重命名一個帳戶

【禁用不必要的服務 開始-運行-services.msc】

　　Computer Browser?。壕S護網(wǎng)絡上計算機的最新列表以及提供這個列表
　　Distributed File System　：局域網(wǎng)管理共享文件，不需要可禁用
　　Distributed Link Tracking Client?。河糜诰钟蚓W(wǎng)更新連接信息，不需要可禁用
　　Error Reporting Service?。航拱l(fā)送錯誤報告
　　Messenger?。簜鬏斂蛻舳撕头掌髦g的 NET SEND 和 警報器服務消息
　　Microsoft Serch?。禾峁┛焖俚膯卧~搜索，不需要可禁用
　　NT LM Security Support Provider　：telnet服務和Microsoft Serch用的，不需要可禁用
　　Print Spooler?。喝绻麤]有打印機可禁用
　　Remote Desktop Help Session Manager　：禁止遠程協(xié)助
　　Remote Registry：禁止遠程修改注冊表
　　Server?。褐С执擞嬎銠C通過網(wǎng)絡的文件、打印、和命名管道共享
　　Task scheduler?。涸试S程序在指定時間運行
　　TCP/IPNetBIOS Helper?。禾峁?TCP/IP 服務上的 NetBIOS 和網(wǎng)絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文
　　Workstation?。宏P(guān)閉的話遠程NET命令列不出用戶組
　　以上是在Windows Server 2003 系統(tǒng)上面默認啟動的服務中禁用的，默認禁用的服務如沒特別需要的話不要啟動。

【卸載最不安全的組件】

　　最簡單的辦法是直接卸載后刪除相應的程序文件。

　　將下面的代碼保存為一個.BAT文件，( 以下以win2003為例系統(tǒng)文件夾應該是 C:WINDOWS )

關(guān)于ip安全策略可以參考這篇文章：

http://www.dbjr.com.cn/article/23037.htm

http://www.dbjr.com.cn/article/30832.htm

最新評論