服務(wù)器有哪些安全設(shè)置？

1)、系統(tǒng)安全基本設(shè)置

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),方城企業(yè)網(wǎng)站建設(shè),方城品牌網(wǎng)站建設(shè),網(wǎng)站定制,方城網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,方城網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

1.安裝說明：系統(tǒng)全部NTFS格式化，重新安裝系統(tǒng)（采用原版win2003）,安裝殺毒軟件(Mcafee)，并將殺毒軟件更新，安裝sp2補(bǔ)釘，安裝IIS（只安裝必須的組件）,安裝SQL2000，安裝.net2.0,開啟防火墻。并將服務(wù)器打上最新的補(bǔ)釘。

2)、關(guān)閉不需要的服務(wù)

Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新，禁用

Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用

Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用

Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告

Microsoft Serch：提供快速的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用

PrintSpooler：如果沒有打印機(jī)可禁用

Remote Registry：禁止遠(yuǎn)程修改注冊(cè)表

Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助 其他服務(wù)有待核查

3)、設(shè)置和管理賬戶

1、將Guest賬戶禁用并更改名稱和描述，然后輸入一個(gè)復(fù)雜的密碼

2、系統(tǒng)管理員賬戶最好少建，更改默認(rèn)的管理員帳戶名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于10位

3、新建一個(gè)名為Administrator的陷阱帳號(hào)，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼

4、計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無效 時(shí)間為30分鐘

5、在安全設(shè)置-本地策略-安全選項(xiàng)中將“不顯示上次的用戶名”設(shè)為啟用

6、 在安全設(shè)置-本地策略-用戶權(quán)利分配中將“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”中只保留Internet來賓賬戶、啟動(dòng)IIS進(jìn)程賬戶,Aspnet賬戶

7、創(chuàng)建一個(gè)User賬戶，運(yùn)行系統(tǒng)，如果要運(yùn)行特權(quán)命令使用Runas命令。

4）、打開相應(yīng)的審核策略

審核策略更改:成功

審核登錄事件:成功,失敗

審核對(duì)象訪問:失敗

審核對(duì)象追蹤:成功,失敗

審核目錄服務(wù)訪問:失敗

審核特權(quán)使用:失敗

審核系統(tǒng)事件:成功,失敗

審核賬戶登錄事件:成功,失敗

審核賬戶管理:成功,失敗

5）、 其它安全相關(guān)設(shè)置

1、禁止C$、D$、ADMIN$一類的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的 窗口中新建Dword值，名稱設(shè)為AutoShareServer值設(shè)為0

2、解除NetBios與TCP/IP協(xié)議的綁定

右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級(jí)-Wins-禁用TCP/IP上的 NETBIOS

3、隱藏重要文件/目錄

可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠標(biāo)右擊“CheckedValue”，選擇修改，把數(shù)值由1改為0

4、防止SYN洪水攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為SynAttackProtect，值為2

5、 禁止響應(yīng)ICMP路由通告報(bào)文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0

6. 防止ICMP重定向報(bào)文的攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設(shè)為0

7、 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名為IGMPLevel 值為0

8、禁用DCOM：運(yùn)行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺(tái)根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開“計(jì)算機(jī)”子 文件夾。

對(duì)于本地計(jì)算機(jī)，請(qǐng)以右鍵單擊“我的電腦”，然后選擇“屬 性”。選擇“默認(rèn)屬性”選項(xiàng)卡。清除“在這臺(tái)計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。

9、終端服務(wù)的默認(rèn)端口為3389，可考慮修改為別的端口。

修改方法為： 服務(wù)器端：打開注冊(cè)表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 處找到類似RDP-TCP的子鍵，修改PortNumber值。 客戶端：按正常步驟建一個(gè)客戶端連接，選中這個(gè)連接，在“文件”菜單中選擇導(dǎo)出，在指定位置會(huì) 生成一個(gè)后綴為.cns的文件。打開該文件，修改“Server Port”值為與服務(wù)器端的PortNumber對(duì)應(yīng)的 值。然后再導(dǎo)入該文件（方法：菜單→文件→導(dǎo)入），這樣客戶端就修改了端口。

6）、配置 IIS 服務(wù)

1、不使用默認(rèn)的Web站點(diǎn)，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。

2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。

3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。

4、刪除不必要的IIS擴(kuò)展名映射。 右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映 射。主要為.shtml, .shtm, .stm

5、更改IIS日志的路徑 右鍵單擊“默認(rèn)Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性

6、如果使用的是2000可以使用iislockdown來保護(hù)IIS，在2003運(yùn)行的IE6.0的版本不需要。

7、使用UrlScan