WindowsServer2003安全加固設(shè)置

1、Windows Server 2003安全加固設(shè)置一、 用戶賬戶安全1. Administrator賬戶的安全性a) 重命名adminstrator，并將其禁用。右擊“我的電腦”，在單擊“管理”，選擇“本地用戶和組”， 選擇“用戶”，右側(cè)窗口的“administrator”右擊“重命名”“administrator”右擊“屬性”b) 創(chuàng)建一個用戶賬戶并將其加入管理員組，日常管理工作使用這個賬戶完成。操作步驟：在右側(cè)窗口空白處右擊鼠標(biāo)，再單擊“新用戶”a) 即可以用創(chuàng)建的“test”用戶名和密碼，賦予“test”用戶管理員的權(quán)限，日常管理工作使用這個賬戶完成。當(dāng)我們再次登錄時，administr

2、ator用戶無法登陸用“test”用戶登錄系統(tǒng)，才能成功，且“test”用戶擁有管理員的權(quán)限。思考：我們?yōu)槭裁匆@么做？2. 啟用賬戶鎖定策略開始程序管理工具本地安全策略賬戶策略賬戶鎖定策略設(shè)置“賬戶鎖定閾值為3”3. 修改本地策略限制用戶權(quán)限開始程序管理工具本地安全策略本地策略用戶權(quán)限分配設(shè)置“拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)”，限制從網(wǎng)絡(luò)訪問該服務(wù)器的賬戶。二、 服務(wù)器性能優(yōu)化，穩(wěn)定性優(yōu)化1. “我的電腦”右鍵屬性高級性能設(shè)置設(shè)置為“性能最佳”2. “我的電腦”右鍵屬性高級性能設(shè)置高級頁面為如圖設(shè)置3. 停止暫時未用到的服務(wù)a) 在開始“運行”中輸入:services.mscb) 停止并禁用以下服

3、務(wù)1. Computer Browser 計算機(jī)瀏覽2. Distributed Link Tracking Client 如果此服務(wù)被停用，這臺計算機(jī)上的鏈接將不會維護(hù)或跟蹤。3. Print Spooler（如果沒有打印需求可以停止該服務(wù)）4. Remote Registry 遠(yuǎn)程注冊表5. Remote Registry（如果沒有無線設(shè)備可以停止該服務(wù)）6. TCP/IP NetBIOS Helper三、 如果此服務(wù)被停用，這臺計算機(jī)上的鏈接將不會維護(hù)或跟蹤。如果此服務(wù)被停用，這臺計算機(jī)上的鏈接將不會維護(hù)或跟蹤。如果此服務(wù)被停用，這臺計算機(jī)上的鏈接將不會維護(hù)或跟蹤。如果此服務(wù)被停用，這臺

4、計算機(jī)上的鏈接將不會維護(hù)或跟蹤。系統(tǒng)安全及網(wǎng)絡(luò)安全設(shè)置1. 開啟自動更新“我的電腦”右鍵“屬性”“自動更新”Windows Server 2003會自動下載更新，無須人為打補(bǔ)丁。2. 關(guān)閉端口，減少受攻擊面（此處以僅提供HTTP協(xié)議為例），盡量少安裝不必要的組件。a) 開始運行中輸入cmd，運行命令提示符b) 在命令提示符中輸入netstat -an命令察看當(dāng)前打開端口圖片中開放了TCP 135,139,445,1026四個端口，可以通過禁用 TCP/IP 上的 NetBIOS和禁用 SMB來關(guān)閉它們。c) 禁用 TCP/IP 上的 NetBIOS1. 右鍵單擊“我的電腦”，然后單擊“屬性”。

5、2. 點選“硬件”選項卡后，單擊“設(shè)備管理器”按鈕。3. 右鍵單擊“設(shè)備管理器”，指向“查看”，再選擇“顯示隱藏設(shè)備”。4. 展開“非即插即用驅(qū)動程序”。5. 右鍵單擊“TCP/IP 上的 NetBios”，然后單擊“禁用”。禁用后，再重啟計算機(jī)，用命令查看只有135和1026端口開放了。3. 如何防止其他計算機(jī)對本地計算機(jī)進(jìn)行ping測試準(zhǔn)備兩臺pc機(jī)，在配置windows server 2003計算機(jī)前，確認(rèn)兩臺計算機(jī)可以ping通。操作步驟：使用IPSEC策略阻止ping測試。第一步，點擊“開始”菜單/設(shè)置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP 安全策略，在本地計算機(jī)” 在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇“創(chuàng)建 IP 安全策略”（如右圖），于是彈出一個向?qū)?。在向?qū)е悬c擊“下一步”按鈕，為新的安全策略命名；。再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認(rèn)相應(yīng)規(guī)則”左邊的鉤去掉，點擊“完成”按鈕就創(chuàng)建了一個新的IP 安全策略取消下圖紅圈處的勾1. 添加第一個新IP安全規(guī)則，禁止ping測試。取消紅圈1處的勾，點擊紅圈2處的添加選擇“所有ICMP通訊”單擊”添加”2. 添加新的篩選規(guī)則取消下圖紅圈的勾，在紅圈處填寫新規(guī)則的名稱”ruping”后，單擊紅圈處“添加”在“地址”選項卡中，選擇如下圖所示：在“協(xié)議”