1、Windows Server 2003 安全加固设置一、 用户账户安全1. Administrator 账户的安全性a) 重命名 adminstrator,并将其禁用。右击“ 我的电脑” ,在单击“管理”,选择“本地用户和组”, 选择“ 用户”,右侧窗口的“administrator”右击“重命名”“administrator”右击“属性”b) 创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成。操作步骤:在右侧窗口空白处右击鼠标,再单击“新用户 ”a) 即可以用创建的“test”用户名和密码,赋予“test”用户管理员的权限,日常管理工作使用这个账户完成。当我们再次登录时,ad
2、ministrator 用户无法登陆用“test ”用户登录系统,才能成功,且“test ”用户拥有管理员的权限。思考:我们为什么要这么做?2. 启用账户锁定策略开始程序管理工具本地安全策略账户策略账户锁定策略设置“账户锁定阈值为 3”3. 修改本地策略限制用户权限开始程序管理工具本地安全策略本地策略用户权限分配设置“拒绝从网络访问这台计算机” ,限制从网络访问该服务器的账户。二、 服务器性能优化,稳定性优化1. “我的电脑”右键属性高级性能设置设置为“性能最佳”2. “我的电脑”右键属性高级性能设置高级页面为如图设置3. 停止暂时未用到的服务a) 在开始“运行”中输入:services.ms
3、cb) 停止并禁用以下服务1. Computer Browser 计算机浏览2. Distributed Link Tracking Client 如果此服务被停用,这台计算机上的链接将不会维护或跟踪。3. Print Spooler(如果没有打印需求可以停止该服务)4. Remote Registry 远程注册表5. Remote Registry(如果没有无线设备可以停止该服务)6. TCP/IP NetBIOS Helper三、 系统安全及网络安全设置1. 开启自动更新“我的电脑”右键“属性”“自动更新”Windows Server 2003 会自动下载更新,无须人为打补丁。2. 关闭端
4、口,减少受攻击面(此处以仅提供 HTTP 协议为例) ,尽量少安装不必要的组件。a) 开始运行中输入 cmd,运行命令提示符b) 在命令提示符中输入 netstat -an 命令察看当前打开端口图片中开放了 TCP 135,139,445,1026 四个端口,可以通过禁用 TCP/IP 上的 NetBIOS 和禁用 SMB 来关闭它们。c) 禁用 TCP/IP 上的 NetBIOS1. 右键单击“我的电脑” ,然后单击“属性” 。2. 点选“硬件”选项卡后,单击“设备管理器”按钮。3. 右键单击“设备管理器” ,指向“查看” ,再选择“显示隐藏设备” 。4. 展开“非即插即用驱动程序” 。5.
5、 右键单击“TCP/IP 上的 NetBios”,然后单击“禁用” 。禁用后,再重启计算机,用命令查看只有 135 和 1026 端口开放了。3. 如何防止其他计算机对本地计算机进行 ping 测试准备两台 pc 机,在配置 windows server 2003 计算机前,确认两台计算机可以ping 通。操作步骤:使用 IPSEC 策略阻止 ping 测试。第一步,点击“开始”菜单/设置 /控制面板/ 管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机” 在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“ 创建 IP 安全策略 ”(如右图) ,于是弹出一个向导。在向导中点
6、击“下一步”按钮,为新的安全策略命名;。再按“下一步” ,则显示“ 安全通信请求” 画面,在画面上把“ 激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的 IP 安全策略 取消下图红圈处的勾1. 添加第一个新 IP 安全规则,禁止 ping 测试。取消红圈 1 处的勾,点击红圈 2 处的添加选择“所有 ICMP 通讯”单击”添加”2. 添加新的筛选规则取消下图红圈的勾,在红圈处填写新规则的名称”ruping”后,单击红圈处“添加”在“地址”选项卡中,选择如下图所示:在“协议”选项卡中,选择如下图所示后,点击确定单击-确定“ ,选择-请求安全(可选),再单击- 应用,单击 -确定。指派指派后,再用另一台计算机 ping 本地计算机时从而防止了其他计算机的 ping 测试。
