WIN2003安全策略..doc

在网上搜索了好多教程，感觉乱的很。干脆自己总结了一套windows2003服务器安全策略。绝非是网上转载的。都是经过测试的。自己感觉还行吧!欢迎大家测试，也希望与我一起交流服务器的安全问题。希望对大家有帮助!　　策略一：关闭windows2003不必要的服务　　·computer browser 维护网络上计算机的最新列表以及提供这个列表　　·task scheduler 允许程序在指定时间运行　　·routing and remote access 在局域网以及广域网环境中为企业提供路由服务　　·removable storage 管理可移动媒体、驱动程序和库　　·remote registry service 允许远程注册表操作　　·print spooler 将文件加载到内存中以便以后打印。　　·ipsec policy agent 管理ip安全策略及启动isakmp/oakleyike)和ip安全驱动程序　　·distributed link tracking client 当文件在网络域的ntfs卷中移动时发送通知　　·com+ event system 提供事件的自动发布到订阅com组件　　·alerter 通知选定的用户和计算机管理警报·error reporting service 收集、存储和向 microsoft 报告异常应用程序　　·messenger 传输客户端和服务器之间的 net send 和 警报器服务消息　　·telnet 允许远程用户登录到此计算机并运行程序　　策略二：磁盘权限设置　　c盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。　　windows目录要加上给users的默认权限，否则asp和aspx等应用程序就无法运行。　　策略三：禁止 windows 系统进行空连接　　在注册表中找到相应的键值hkey_local_machine/system/currentcontrolset/control/lsa，将dword值restrictanonymous的键值改为1　　策略四：关闭不需要的端口　　本地连接--属性--internet协议(tcp/ip)--高级--选项--tcp/ip筛选--属性--把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)　　更改远程连接端口方法　　开始--运行--输入regedit　　查找3389：请按以下步骤查找:　　1、hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp下的portnumber=3389改为自宝义的端口号　　2、hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp下的portnumber=3389改为自宝义的端口号　　修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。　　这样3389端口已经修改了，但还要重新启动主机，这样3389端口才算修改成功!如果不重新启动3389还　　是修改不了的!重起后下次就可以用新端口进入了!　　禁用tcp/ip上的netbios　　本地连接--属性--internet协议(tcp/ip)--高级—wins--禁用tcp/ip上的netbios　　策略五：关闭默认共享的空连接　　首先编写如下内容的批处理文件：　　@echo off　　net share c$ /delete　　net share d$ /deletenet share e$ /delete　　net share f$ /delete　　net share admin$ /delete　　以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat，存放到系统所在文件夹下的system32\grouppolicy\user\scripts\logon目录下。然后在开始菜单→运行中输入gpedit.msc，　　回车即可打开组策略编辑器。点击用户配置→windows设置→脚本(登录/注销)→登录.　　在出现的“登录 属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。　　重新启动计