Windows服务器安全配置小结第1/2页
程序员文章站
2023-11-10 20:23:46
1. 系统分区 a)  ...
1. 系统分区
a) 所有分区使用ntfs, c: system系统分区 10g, d: software软件安装10g e: website网站所在目录 f: 工具及备份50g soft,backup,other
2. 安装操作系统:
windows server 2003 enterprise edition with service pack 1, 用windowsupdate 进行升级.
并打上sp2及所有补丁
serv-u6.0(替换servadmin.exe和servudaemon.exe替换安装目录下的对应文件,并采用odbc存储方式)
3. 禁止guest用户
4. 安装组件(jmial,动易,upload,aspjepg,等)
5. 新建iisuser用户组,以及servu用户,不属于任何组,servu密码设复杂些: 如: servu_pass_ip地址. 即所有iis用户加入iisuser组 servu启动选择使用服务启动. 然后在services.msc中设置servudaemond的启动用户为servu.
6. 删除 c:\inetpub 目录
7. 禁用tcp/ip上的netbios
网上邻居-属性-本地连接-属性-internet协议(tcp/ip)属性-高级-wins面板-netbios设置-禁用tcp/ip上的netbios。这样cracker就无法用nbtstat命令来读取你的netbios信息和网卡mac地址了。
8. 把administrator 改名为 cytz_admin_ip尾数.
9. 修改3389端口
1. 运行 regedt32 并转到此项:
hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp
及: hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp
注意:上面的注册表项是一个路径;它已换行以便于阅读。
2. 找到“portnumber”子项,您会看到值 00000d3d,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号(f79d)即十进制的63389,并保存新值。
10. 运行gpedit.msc => 计算机管理 => windows设置 => 安全设置 => 本地策略 => 审核策略 按如下设置:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
a) 所有分区使用ntfs, c: system系统分区 10g, d: software软件安装10g e: website网站所在目录 f: 工具及备份50g soft,backup,other
2. 安装操作系统:
windows server 2003 enterprise edition with service pack 1, 用windowsupdate 进行升级.
并打上sp2及所有补丁
serv-u6.0(替换servadmin.exe和servudaemon.exe替换安装目录下的对应文件,并采用odbc存储方式)
3. 禁止guest用户
4. 安装组件(jmial,动易,upload,aspjepg,等)
5. 新建iisuser用户组,以及servu用户,不属于任何组,servu密码设复杂些: 如: servu_pass_ip地址. 即所有iis用户加入iisuser组 servu启动选择使用服务启动. 然后在services.msc中设置servudaemond的启动用户为servu.
6. 删除 c:\inetpub 目录
7. 禁用tcp/ip上的netbios
网上邻居-属性-本地连接-属性-internet协议(tcp/ip)属性-高级-wins面板-netbios设置-禁用tcp/ip上的netbios。这样cracker就无法用nbtstat命令来读取你的netbios信息和网卡mac地址了。
8. 把administrator 改名为 cytz_admin_ip尾数.
9. 修改3389端口
1. 运行 regedt32 并转到此项:
hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp
及: hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp
注意:上面的注册表项是一个路径;它已换行以便于阅读。
2. 找到“portnumber”子项,您会看到值 00000d3d,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号(f79d)即十进制的63389,并保存新值。
10. 运行gpedit.msc => 计算机管理 => windows设置 => 安全设置 => 本地策略 => 审核策略 按如下设置:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
1