Windows Server2003 为平台的IIS服务器安全配置.doc

Windows?Server2003?为平台的IIS服务器安全配置建议 发布时间:2008-11-07?文章作者: ?已阅读:?次 前言 关于WIN2003的安全设置经过自己动手做了一些实践，综合些安全设置文章整理而成，希望对大家有所帮助，另外里面有不足之处还请大家多多指点，然后给补上，谢谢！ 一、怎样建立一个安全的Windows系统 １、安装前的准备 第一：先将服务器与网络进行物理隔离（即将网线断开）； 第二：准备一张非GHOST版的安装光盘，有条件尽量用正版安装盘； 第三：准备杀病毒软件；(尽可能将防病毒软件及常用软件刻录成光盘) ? 2、系统安装后 第一：安装好系统之后在没有安装防病毒软件(病毒库没有升级)及启动防火墙前不要打开其它分区，同时也别接入网络。 第二：备份系统(在磁盘空间允许情况下尽可能划一个独立分区) ????????? 注：系统备份分区建议设置为不可读。 ? 3、IIS6.0的安装 开始菜单—控制面板—添加或删除程序—添加/删除Windows组件 应用程序 ———ASP.NET（可选） ???????????? |——启用网络 COM+ 访问（必选） ???????????? |——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）　　　　　　　　　　　?? |——公用文件（必选）　　　　　　　　　　　|——万维网服务—Active Server pages（必选）　　　　　　　　　　　　　　　　　　|——Internet 数据连接器（可选） 　　　　　　　　　　　　　　　　　?? |——WebDAV 发布（可选）　　　　　　　　　　　　　　　　　　|——万维网服务（必选）　　　　　　　　　　　　　　　　　　|——在服务器端的包含文件（可选） 二、系统用户安全设置 1、禁用Guest账号 ??? 在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。 2、限制不必要的用户 ??? 去掉除administrator所有的用户，如：测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3、把系统Administrator账号改名 ??? 大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成自己容易记但又不是常规别人容易猜测到的（比如：不要改为自己名字拼音之类）。 4、创建一个陷阱用户 ??? 什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。 ? 5、开启用户策略 ??? 使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 ??? ??????方法：在运行里输入：gpedit.msc ，打开组策略。如下图 ? 三、密码安全设置 1、使用安全密码 ??? 管理员创建账号的时候往往用单位名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“生日、电话号码”等等。因此，要注意密码的复杂性，还要记住经常改密码。 2、设置屏幕保护密码 ??? 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。 3、开启密码策略 ??? 注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为10位 ，设置强制密码历史为5次，时间为42天(一般默认为42天，可自定义)。 注：使用方法在运行里输入：gpedit.msc ，打开组策略。如下图 四、系统权限设置 ?在没有特殊要求下： ?1.系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 ?2.诸如以下命令： cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del均只给Administrators 组和 SYSTEM 的完全控制权限。 ??? 注：具体设置可将如下代码设置为bat。（先新建一个文本文件，将下面代码复制到文本文件，再改为Bat，双击运行即可。） ? [ 注]附件：服务器安全设置之系统权限设置.