?一、分區(qū)規(guī)劃

所有分區(qū)采用NTFS格式，NTFS在空間的利用、安全和性能方面比FAT格式都有較大的提升。 建議分三個區(qū)。系統(tǒng)在C盤，空間15G-20G；D/E盤平分剩余空間，重要程序和數(shù)據(jù)庫程序安裝在D盤，E盤放臨時文件和工具文件以及備份。 盡可能少的向系統(tǒng)盤寫入非系統(tǒng)文件以減少系統(tǒng)備份的工作量。 二、系統(tǒng)基本設置 1.防火墻 啟用系統(tǒng)防火墻，允許例外。 2.殺毒軟件 建議安裝企業(yè)版殺殺毒軟件。 3.帳戶優(yōu)化 重新命名administrator用戶，使用字母+數(shù)字+特殊符號的策略修改密碼，最好不要小于14位。 創(chuàng)建多一個管理員帳戶，密碼超復雜，日常不使用僅做備用帳戶。 禁用或刪除掉guest帳戶（手工或工具刪除均可，推薦刪除guest）。 創(chuàng)建administrator陷阱帳戶，設置密碼超復雜，并且沒有任何權限。 4.系統(tǒng)補丁更新 通過windows updata打上所有的windows補丁，然后將自動更新設置為“下載更新，但是由我來決定什么時候安裝”，可安排時間統(tǒng)一更新。 三、設置本地安全策略 1.密碼策略 密碼必須符合復雜性要求<啟用>，密碼長度最小值<8個字符>，密碼最長使用期限<30天>，密碼最短使用期限<0天>,強制密碼歷史<5個記住的密碼>，用可還原的加密來儲存密碼<禁用>。 2.帳戶鎖定策略 復位帳戶鎖定計數(shù)器<30分鐘之后>，帳戶鎖定時間<60分鐘>，帳戶鎖定閾值<3次無效登錄>。 3.審核策略 審核策略更改<成功\失敗>，審核登錄事件<成功\失敗>，審核對象訪問<成功\失敗>，審核過程跟蹤<無審核>，審核目錄服務訪問<失敗>，審核特權使用<失敗>，審核系統(tǒng)事件<成功\失敗>，審核帳戶登錄事件<成功\失敗>，審核帳戶管理<成功\失敗>。 4.用戶權限分配 在拒絕從網(wǎng)絡訪問這臺計算機中添加guest帳號。 5.安全選項 關機：允許系統(tǒng)在未登錄前關機<禁用>。 交互式登錄：不顯示上次的用戶名<啟用>。 設備：防止用戶安裝打印機驅動程序<啟用>，未簽名驅動程序的安裝操作<禁止安裝>，允許不登錄移除<禁用>，只有本地登錄的用戶才能訪問CD-ROM<啟用>，只有本地登錄的用戶才能訪問軟盤<啟用>。 網(wǎng)絡訪問：不允許SAM帳戶的匿名枚舉<啟用>。 注：只需要修改上面的設置，其他設置保持默認。 四、服務設置 1.必須禁用的服務 以下服務危險性較大，必須禁用 [先停止服務再將屬性設置為：禁用]。 Remote Registry ?[說明：禁止遠程連接注冊表] task schedule ? ? [說明：禁止自動運行程序] server ? ? ? ? ? [說明：禁止默認共享] Telnet ? ? ? ? ? [說明：禁止telnet遠程登陸] workstation ? ? ? [說明：防止一些漏洞和系統(tǒng)敏感信息獲取] 2.建議禁用的服務 以下服務一般并不需要用到，推薦關閉并將啟動方式設為手動和禁止： 服務名稱 ? ? ?適用情況說明 Alerter ? ?[不需要管理警報] ClipBook ? [不需要查看遠程剪貼簿的剪貼頁面] Computer Browser [可以禁用] Fax Service ?[不需要發(fā)送或接收傳真] Indexing Service ? ? [不提供遠程文件索引和快速訪問或者沒有連上局域網(wǎng)] Internet Connection Sharing [不需要共享連接網(wǎng)絡] IPSEC Policy Agent [如連接要windows域該服務需要開啟] Messager [未連接到Windows 2000的域并且不需要管理警報] Net Logon [不需要讓局域網(wǎng)的其他用戶登陸] NetMeeting Remote Desktop Sharing [不需要使用NetMeeting遠程管理計算機] Network DDE [提高安全性] Network DDE DSDM [提高安全性] TCP/IP NetBIOS Helper Service [服務器不需要開啟共享] RunAs Service [不需要在某一用戶態(tài)下用另外一用戶執(zhí)行程序] Wireless Configuration [不需要無線網(wǎng)絡] QoS RSVP [不需要使用依賴于QoS的程序]? Remote Access Auto Connection Manager [不需要讓程序讀取網(wǎng)絡信息時自動連接到網(wǎng)絡] Routing and Remote Access [機器不做路由之用] Smart Card [沒有智能卡閱讀器和智能卡]? Smart Card Helper [沒有舊式智能卡閱讀器和智能卡] Uninterruptible Power Supply [沒有使用UPS或者UPS不支持雙向傳輸信號] Utility Manager [不從一個窗口中啟動和配置輔助工具] 3.其他服務 其他服務根據(jù)需要決定是否開放，如：IIS Admin World Wide Web。 五、網(wǎng)絡安全配置 1.設置網(wǎng)絡連接，在屬性里只保留TCP/IP協(xié)議，禁用TCP/IP上的NetBios。 2.修改注冊表，禁止建立遠程空連接。 運行regedit，找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous（DWORD）的鍵值改為:00000001 3.禁止C$、D$、ADMIN$一類的缺省共享 進入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，把AutoShareServer值設為0 4.隱藏重要文件/目錄 進入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fol der\Hidden\SHOWALL，將CheckedValue值由1改為0 5.啟用TCP/IP篩選，僅開放必須的TCP端口，禁用所有UDP端口。 6.實現(xiàn)簡單抵御Ddos*** 下面是一個腳本，將其保存為*.reg文件，運行后會自動修改注冊表相應的選項，以防止DDOS***。 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"=hex:01,00,00,00 "NoRecentDocsHistory"=hex:01,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "DontDisplayLastUserName"="1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "EnableICMPRedirect"=dword:00000000 "KeepAliveTime"=dword:000927c0 "SynAttackProtect"=dword:00000002 "TcpMaxHalfOpen"=dword:000001f4 "TcpMaxHalfOpenRetried"=dword:00000190 "TcpMaxConnectResponseRetransmissions"=dword:00000001 "TcpMaxDataRetransmissions"=dword:00000003 "TCPMaxPortsExhausted"=dword:00000005 "DisableIPSourceRouting"=dword:00000002 "TcpTimedWaitDelay"=dword:0000001e "TcpNumConnections"=dword:00004e20 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 "EnableDeadGWDetect"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 "EnableICMPRedirects"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] "BacklogIncrement"=dword:00000005 "MaxConnBackLog"=dword:000007d0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] "EnableDynamicBacklog"=dword:00000001 "MinimumDynamicBacklog"=dword:00000014 "MaximumDynamicBacklog"=dword:00007530 "DynamicBacklogGrowthDelta"=dword:0000000a 六、日志安全 1.系統(tǒng)日志安全 更改系統(tǒng)自身日志文件默認保存路徑到c:\Eventlog。 修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog中的相應值(Files=” c:\Eventlog”)，將應用程序日志、系統(tǒng)日志、安全日志轉移到F:\Eventlog目錄，調整日志文件大小，將該目錄只允許system有寫入權限和administrator完全控制權限。 2.應用程序日志安全 重要程序的日志同樣轉移到E:\下。 七、IIS6.0安全設置（以ASP為例） 1.停止默認站點，刪除默認站點的虛擬目錄c:\inetpub，并將虛擬目錄更改到其他盤。 2.配置所有站點的公共設置，設置好相關的連接數(shù)限制，帶寬設置以及性能設置等其他設置。啟用ASP應用程序擴展。 3.為每個虛擬站點創(chuàng)建獨立的IIS匿名訪問用戶，刪除默認的USER組，加入新創(chuàng)建的一個組IIS，禁止IIS組本地登陸、禁止訪問所有磁盤。 4.創(chuàng)建虛擬站點。虛擬站點的HTML文件夾只授權administrators ,system完全控制，為此虛擬站點創(chuàng)建的IIS匿名用戶讀取運行、列出目錄。 5.修改站點的日志存放目錄，更改為非C盤下。 6.修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。 7.防范asp*** 開始－運行，輸入CMD，執(zhí)行以下腳本，卸載最不安全組件。 ______________________________________________________ regsvr32 /u C:\WINDOWS\System32\wshom.ocx regsvr32 /u C:\WINDOWS\system32\shell32.dll ren c:\WINDOWS\system32\wshom.ocx wshom.ocx.save ren C:\windows\system32\shell32.dll shell32.dll.save ____________________________________________________ 即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp***通過wscript或shell.application執(zhí)行命令以及使用***查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權限，重新啟動IIS即可生效。但不推薦該方法。 八、SQL server安全配置 1、System Administrators 角色最好不要超過兩個 2、如果是在本機最好將身份驗證配置為Win登陸 3、不要使用Sa賬戶，為其配置一個超級復雜的密碼,數(shù)據(jù)庫鍵接不使用SA帳戶,單數(shù)據(jù)庫單獨設使用帳戶.只給public和db_owner權限. 4、刪除以下的擴展存儲過程格式為： use master sp_dropextendedproc ＇擴展存儲過程名＇ xp_cmdshell：是進入操作系統(tǒng)的最佳捷徑，刪除 訪問注冊表的存儲過程，刪除 Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring　 OLE自動存儲過程，不需要刪除 Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop use master EXEC sp_dropextendedproc 'xp_cmdshell' EXEC sp_dropextendedproc 'Sp_OACreate' EXEC sp_dropextendedproc 'Sp_OADestroy' EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo' EXEC sp_dropextendedproc 'Sp_OAGetProperty' EXEC sp_dropextendedproc 'Sp_OAMethod' EXEC sp_dropextendedproc 'Sp_OASetProperty' EXEC sp_dropextendedproc 'Sp_OAStop' EXEC sp_dropextendedproc 'Xp_regaddmultistring' EXEC sp_dropextendedproc 'Xp_regdeletekey' EXEC sp_dropextendedproc 'Xp_regdeletevalue' EXEC sp_dropextendedproc 'Xp_regenumvalues' EXEC sp_dropextendedproc 'Xp_regread' EXEC sp_dropextendedproc 'Xp_regremovemultistring' EXEC sp_dropextendedproc 'Xp_regwrite' drop procedure sp_makewebtask 注：在刪除存儲過程時一定要注意，小心drop這些過程，可以在測試機器上測試，保證正常的系統(tǒng)能完成工作，然后再在數(shù)據(jù)庫服務器上刪除。 九、修改遠程終端服務和SQLserver默認端口 1.修改遠程終端的默認端口（3389）： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp PortNumber=”設定值 ” 。 2.隱藏 SQL Server、更改默認的1433端口 右擊實例選屬性-常規(guī)-網(wǎng)絡配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實例，并改原默認的1433端口 3.在防火墻的例外中添加修改后的遠程終端服務端口和SQL server端口（千萬別忘記了），并設置可訪問此端口的IP地址。以后如需要用到什么端口，只需在防火墻的例外中添加即可。

轉載于:https://blog.51cto.com/andyxu/569020

總結

以上是生活随笔為你收集整理的windows2003安全设置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。