《Windows2016server服务器安全配置2》.doc

一、 Windows 2003安全配置 ■． 确保所有磁盘分区为NTFS分区 ■． 操作系统、Web主目录、日志分别安装在不同的分区 ■． 不要安装不需要的协议，比如IPX/SPX, NetBIOS? ■． 不要安装其它任何操作系统■． 安装所有补丁（用瑞星安全漏洞扫描下载） ■． 关闭所有不需要的服务　　* Alerter (disable) 　　* ClipBook Server (disable)　　* Computer Browser (disable)　　* DHCP Client (disable)　　* Directory Replicator (disable)　　* FTP publishing service (disable)　　* License Logging Service (disable)　　* Messenger (disable)　　* Netlogon (disable)　　* Network DDE (disable)　　* Network DDE DSDM (disable)　　* Network Monitor (disable)　　* Plug and Play (disable after all hardware configuration)　　* Remote Access Server (disable)　　* Remote Procedure Call (RPC) locater (disable)　　* Schedule (disable)　　* Server (disable)　　* Simple Services (disable)　　* Spooler (disable)　　* TCP/IP Netbios Helper (disable)　　* Telephone Service (disable)■. 帐号和密码策略　　1） 保证禁止guest帐号　　2） 将administrator改名为比较难猜的帐号　　3） 密码唯一性：记录上次的 6 个密码　　4） 最短密码期限：2　　5） 密码最长期限：42　　6） 最短密码长度：8　　7） 密码复杂化(passfilt.dll)：启用　　8） 用户必须登录方能更改密码：启用　　9） 帐号失败登录锁定的门限：6　　10）锁定后重新启用的时间间隔：720分钟 ■．保护文件和目录　　将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限■．注册表一些条目的修改　　1） 去除logon对话框中的shutdown按钮　　将HKEY_LOCAL_MACHINE\SOFTWARE　　\Microsoft\Windows NT\Current Version\Winlogon\中　　ShutdownWithoutLogon REG_SZ 值设为0　　2） 去除logon信息的cashing功能　　将HKEY_LOCAL_MACHINE\SOFTWARE　　\Microsoft\Windows NT\Current Version\Winlogon\中　　CachedLogonsCount REG_SZ 值设为0 4）限制LSA匿名访问　　将HKEY_LOCAL_MACHINE\SYSTEM　　\CurrentControlSet\Control\LSA中　　RestricAnonymous REG_DWORD 值设为1　　5） 去除所有网络共享　　将HKEY_LOCAL_MACHINE\SYSTEM　　\CurrentControlSet\Services\LanManServer\Parameters\中　　AutoShareServer REG_DWORD 值设为0二、IIS的安全配置■． 关闭并删除默认站点： 　　默认FTP站点　　默认Web站点　　管理Web站点 ■． 建立自己的站点，与系统不在一个分区，如　　D:\wwwroot3． 建立 E:\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制） ■． 删除IIS的部分目录： 　　IISHelp C:\winnt\help\iishelp 　　IISAdmin C:\system32\inetsrv\iisadmin 　　MSADC C:\Program Files\Common Files\S