手动阀

Windows 2003 服务器安全设置图文教程

总述

Windows 2003 是一款经典的服务器操作系统，尽管已不再受官方支持，但在许多企业中仍然广泛使用，确保这类服务器的安全至关重要，因为任何疏忽都可能导致数据泄露或系统被攻击，本文将详细讲解如何进行有效的安全配置，主要包括系统的安装、IIS组件的安装、系统补丁更新、系统备份以及系统权限的设置。

一、系统盘和站点放置盘必须设置为NTFS格式

设置磁盘格式为NTFS

打开“我的电脑”，右键点击需要设置的磁盘。

选择“属性”，然后在“常规”选项卡下点击“文件系统”旁边的“转换”按钮。

在弹出的警告窗口中点击“确定”，开始转换为NTFS格式。

*图1：转换磁盘格式为NTFS

二、系统盘和站点放置盘除administrators 和system的用户权限全部去除

修改系统盘和站点放置盘的权限

右键点击需要修改权限的磁盘，选择“属性”。

切换到“安全”选项卡，点击“高级”。

在“高级安全设置”窗口中，编辑权限条目，仅保留administrators和system用户组的完全控制权限，删除其他所有用户组的权限。

*图2：修改磁盘权限

三、启用windows自带防火墙，只保留有用的端口

3. 启用Windows防火墙并设置允许的端口

打开“控制面板”，双击“Windows防火墙”图标。

在“常规”选项卡下勾选“启用”。

切换到“例外”选项卡，点击“添加端口”，输入需要开放的端口号（如3389、80、21等），点击“确定”。

*图3：添加例外端口

四、安装好SQL后进入目录搜索xplog70 然后将找到的三个文件改名或者删除

4. 修改SQL Server默认账户和密码

打开SQL Server的企业管理器，登录后右键点击服务器实例，选择“属性”。

在“安全性”选项卡下，将身份验证改为“SQL Server和Windows”。

修改sa账户的密码为一个非常复杂的密码，并定期更换。

进入SQL安装目录，搜索xplog70，找到相关文件并将其改名或删除。

*图4：修改SQL Server账户和密码

五、更改sa密码为你都不知道的超长密码，在任何情况下都不要用sa这个帐户

禁用Guest账户并改名

打开“控制面板”，双击“用户账户”。

选择Guest账户，点击“更改账户名”，将其重命名为一个不易猜测的名称。

同时设置一个非常复杂的密码。

*图5：禁用并改名Guest账户

六、配置帐户锁定策略

配置账户锁定策略

在“运行”对话框中输入gpedit.msc，打开组策略编辑器。

导航到“计算机配置” > “Windows设置” > “安全设置” > “本地策略” > “安全选项”。

在右侧找到“账户锁定阈值”，双击打开，设置为三次无效登录后锁定账户。

同时设置锁定时间和复位计数器。

*图6：配置账户锁定策略

七、关闭默认共享的空连接

关闭默认共享

在“运行”对话框中输入regedit，打开注册表编辑器。

导航到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters。

新建两个DWORD值，名称分别为AutoShareServer和AutoSharewks，数值均为0。

*图7：关闭默认共享

八、禁用不需要的和危险的服务

禁用不必要的服务

打开“控制面板”，双击“管理工具”，然后打开“服务”。

禁用以下列出的服务：Alerter, Computer Browser, Distributed File System, Distributed linktracking client, Error reporting service, Remote Procedure Call (RPC) Locator, RpcNs*, Remote Registry, Removable storage, Routing and Remote Access, Messenger, Net Logon, Print Spooler, Telnet, Workstation。

*图8：禁用不必要的服务

九、更改本地安全策略的审核策略

更改审核策略

在“运行”对话框中输入gpedit.msc，打开组策略编辑器。

导航到“计算机配置” > “Windows设置” > “安全设置” > “本地策略” > “审核策略”。

双击需要更改的策略，如“审核账户管理”、“审核登录事件”、“审核对象访问”等，勾选“成功”和“失败”。

*图9：更改审核策略

十、更改有可能会被提权利用的文件运行权限

更改关键文件的权限

在搜索框里输入以下文件名：net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,format.com,c.exe。

选中这些文件后右键点击，选择“属性”，然后切换到“安全”选项卡。

编辑每个文件的权限，仅保留administrators用户组的完全控制权限，删除其他所有用户组的权限。

*图10：更改关键文件的权限

十一、后备工作

记录当前服务器状态

使用任务管理器或其他工具抓图当前服务器的进程列表和开放端口情况。

保存这些信息以便将来对照查看是否有不明的程序或端口被打开。

*图11：记录当前服务器状态