Windows Server 2003系统最完善的安全权限设置筹划（一）[服务器安全]

 服务器安全设置

>> IIS6.0的安装

　　 开始菜单—>掌握面板—>增添或删除程序—>增添/删除Windows组件

　　 利用程序 ———ASP.NET（可选）

　　　　　　　 |——启用网络 COM+ 拜候（必选）

　　　　　　　 |——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）　

　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必选）

　　　　　　　　　　　　　　　　　　　　　 |——万维网服务———Active Server pages（必选）

　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　|——Internet 数据衔接器（可选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 公布（可选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——万维网服务（必选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服务器端的包含文件（可选）

>> 在”网络衔接”里,把不需求的协议和服务都删掉,这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端.在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）".

>>在“本地衔接”翻开Windows 2003 自带的防火墙,可以屏蔽端口,基本到达一个IPSec的功效,只保存有效的端口,比方远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)

>> IIS (Internet信息服务器管理器) 在"主目录"选项设置以下

读 答应

写 不答应

脚本源拜候 不答应

目录浏览 倡议关闭

记录拜候 倡议关闭

索引资源 倡议关闭

履行权限 举荐挑选 “纯脚本”

>> 倡议利用W3C扩大日记文件格局,每天记录客户IP地址,用户名,服务器端口,办法,URI字根,HTTP状况,用户代理,并且每天均要检查日记.

(最好不要利用缺省的目录,倡议改换一个记日记的途径,同时设置日记的拜候权限,只答应管理员和system为Full Control).

>> 在IIS6.0 -本地计算机 - 属性- 答应直接编辑配置数据库在IIS中 属性->主目录->配置->选项中.

>> 在网站把”启用父途径“前面打上勾

>> 在IIS中的Web服务扩大中选中Active Server Pages,点击“答应”

>> 优化IIS6利用程序池

　　 1、撤消“在闲暇此段时间后关闭工作进程（分钟）”

　　 2、勾选“回收工作进程（恳求数目）”

　　 3、撤消“快速失利保护”

>> 办理SERVER 2003不能上传大附件的问题

　　 在“服务”里关闭 iis admin service 服务.

　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件.

　　 找到 ASPMaxRequestEntityAllowed 把它改正成需求的值（可改正成20M即:20480000）

　　 存盘,然后重启 iis admin service 服务.

>> 办理SERVER 2003无法下载超越4M的附件问题

　　 在“服务”里关闭 iis admin service 服务.

　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件.

　　 找到 AspBufferingLimit 把它改正成需求的值（可改正成20M即:20480000）

　　 存盘,然后重启 iis admin service 服务.

>> 超时问题

　　 办理大附件上传简单超时失利的问题

　　 在IIS中调大一些脚本超不时间,操作办法是: 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮,

　　 设置脚本超不时间为:300秒 (注意:不是Session超不时间)

　　办理通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题

　　 得当增添会话时间(Session)为 60分钟.在IIS站点或虚拟目录属性的“主目录”下点击“配置-->选项”,

　　 便可以举行设置了(Windows 2003默许为20分钟)

>> 改正3389远程衔接端口

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

"PortNumber"=dword:0000端口号

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

"PortNumber"=dword:0000端口号

设置这两个注册表的权限, 增添“IUSR”的完好回绝 禁止显示端口号

>> 本地战略--->用户权限分配

关闭系统:只有Administrators组、别的全部删除.

　　 通过终端服务答应登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

>> 在安全设置里 本地战略-用户权利分配,通过终端服务回绝登陆 加入

ASPNET

IUSR_

IWAM_

NETWORK SERVICE

(注意不要增添进user组和administrators组 增添进去今后就没有办法远程登陆了)

>> 在安全设置里 本地战略-安全选项

网络拜候:可匿名拜候的同享;

网络拜候:可匿名拜候的命名管道;

网络拜候:可远程拜候的注册表途径;

网络拜候:可远程拜候的注册表途径和子途径;

将以上四项全部删除

>> 不答应 SAM 账户的匿名列举 更改成"已启用"

>> 不答应 SAM 账户和同享的匿名列举 更改成"已启用" ;

>> 网络拜候: 不答应存储网络身份考证的凭证或 .NET Passports 更改成"已启用" ;

>> 网络拜候.限制匿名拜候命名管道和同享,更改成"已启用" ;

将以上四项通通设为“已启用”

>> 计算机管理的本地用户和组

禁用终端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPORT_388945a0

>> 禁用不必要的服务

sc config AeLookupSvc start= AUTO

sc config Alerter start= DISABLED

sc config ALG start= DISABLED

sc config AppMgmt start= DEMAND

sc config aspnet_state start= DEMAND

sc config AudioSrv start= DISABLED

sc config BITS start= DEMAND

sc config Browser start= DEMAND

sc config CiSvc start= DISABLED

sc config ClipSrv start= DISABLED

sc config clr_optimization_v2.0.50727_32 start= DEMAND

sc config COMSysApp start= DEMAND

sc config CryptSvc start= AUTO

sc config DcomLaunch start= AUTO

sc config Dfs start= DEMAND

sc config Dhcp start= AUTO

sc config dmadmin start= DEMAND

sc config dmserver start= AUTO

sc config Dnscache start= AUTO

sc config ERSvc start= DISABLED

sc config Eventlog start= AUTO

sc config EventSystem start= AUTO

sc config helpsvc start= DISABLED

sc config HidServ start= AUTO

sc config HTTPFilter start= DEMAND

sc config IISADMIN start= AUTO

sc config ImapiService start= DISABLED

sc config IsmServ start= DISABLED

sc config kdc start= DISABLED

sc config lanmanworkstation start= DISABLED

sc config LicenseService start= DISABLED

sc config LmHosts start= DISABLED

sc config Messenger start= DISABLED

sc config mnmsrvc start= DISABLED

sc config MSDTC start= AUTO

sc config MSIServer start= DEMAND

sc config MSSEARCH start= AUTO

sc config MSSQLSERVER start= AUTO

sc config MSSQLServerADHelper start= DEMAND

sc config NetDDE start= DISABLED

sc config NetDDEdsdm start= DISABLED

sc config Netlogon start= DEMAND

sc config Netman start= DEMAND

sc config Nla start= DEMAND

sc config NtFrs start= DEMAND

sc config NtLmSsp start= DEMAND

sc config NtmsSvc start= DEMAND

sc config PlugPlay start= AUTO

sc config PolicyAgent start= AUTO

sc config ProtectedStorage start= AUTO

sc config RasAuto start= DEMA
　　以上是“Windows Server 2003系统最完善的安全权限设置筹划（一）[服务器安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：