一、系统安装
1.根据Windows2003安装光盘的提示进行安装。默认情况下,2003系统中不安装iis6.0。
2.iis6.0的安装
开始菜单-控制面板-添加或删除程序-添加/删除Windows组件
应用程序———ASP.NET(可选)
|——启用网络COM访问(必需)
|——Internet信息服务(IIS) 3354—Internet信息服务管理器(必需)
|——公共文件(必需)
|——万维网服务———活动服务器页面(必需)
| ——互联网数据连接器(可选)
|——WebDAV版本(可选)
|——万维网服务(必需)
|——包括服务器端的文件(可选)
然后单击确定—下一步安装。(详见本文件附件1)
3.系统补丁的更新
单击开始菜单-所有程序-—Windows Update。
按照提示安装补丁程序。
4.备用系统
用ghost备份系统。
5.安装常用软件。
比如:杀毒软件,解压软件等。安装完成后,配置杀毒软件,扫描系统漏洞,安装完成后用ghost再次备份系统。
6.首先关闭不必要的端口,打开防火墙并导入IPSEC策略。
在“网络连接”中,删除所有不必要的协议和服务。这里只安装了基本的互联网协议(TCP/IP)。因为需要控制带宽流量服务,所以额外安装了Qos分组调度器。在高级tcp/ip设置中-“NetBIOS”设置“禁用tcp/IP上的NetBIOS”。在高级选项中,使用“Internet连接防火墙”,这是windows 2003附带的防火墙。它在2000系统中没有任何功能。虽然没有功能,但是可以屏蔽端口,从而基本实现了一个IPSec的功能。
修改3389远程连接端口
修改注册表。
开始-运行-注册表编辑
展开HKEY _本地_机器/系统/当前控制集/控制/
终端服务器/WDS/RDPWD/TDS/TCP
右键值中的端口号被更改为您想要使用的端口号。注意使用十进制(例如10000)
HKEY _ LOCAL _ MACHINE/SYSTEM/current CONTROL set/CONTROL/终端服务器/
WINSTATIONS/RDP-TCP/
右键值中的端口号被更改为您想要使用的端口号。注意使用十进制(例如10000)
注意:不要忘记在WINDOWS2003附带的防火墙上连接10000端口。
修改完毕。重新启动服务器。设置生效。
二、用户安全设置
1.禁用来宾帐户
禁用计算机管理的用户中的来宾帐户。为了安全起见,最好给客人加一个复杂的密码。您可以打开记事本,在其中输入一长串特殊字符、数字和字母,然后复制它作为来宾用户的密码。
2.限制不必要的用户
去除所有重复用户、测试用户、共享用户等。用户组策略设置相应的权限,并经常检查系统的用户,删除不再使用的用户。这些用户往往是黑客入侵系统的突破口。
3.重命名系统管理员帐户。
众所周知,Windows 2003的Administrator用户是不能停用的,这意味着其他人可以反复尝试这个用户的密码。尽量伪装成普通用户,比如Guesycludx。
4.创建陷阱用户。
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,将其权限设置为最低级别,什么都不做,并添加一个10位以上的超级复杂密码。这将使那些黑客忙碌一段时间,以便发现他们入侵企图。
5.将共享文件的权限从Everyone组更改为授权用户。
切勿将共享文件的用户设置为“任何人”组,包括打印共享。默认属性是“Everyone”组,所以不要忘记更改它。
6.打开用户策略。
使用用户策略,重置用户锁计数器的时间是20分钟,用户锁时间是20分钟,用户锁阈值是3次。(此项是可选的)
7.不要让系统显示上次登录的用户名。
默认情况下,上次登录的用户名将显示在登录对话框中。这使得其他人很容易获得系统的一些用户名,然后猜测密码。修改注册表以防止上次登录的用户名显示在对话框中。为此,打开注册表编辑器,找到注册表“HKLM \软件\微软\ Windows T \当前版本\ Winlogon \ don-display last username”,将REG_SZ的键值改为1。
密码安全设置
1.使用安全密码。
有些公司管理员在创建账号时,往往会使用公司名称和电脑名称作为用户名,然后将这些用户的密码设置得过于简单,比如“welcome”等。所以要注意密码的复杂程度,记得经常更换。
2.设置屏幕保护程序密码。
这是一个非常简单且必要的操作。设置屏保密码也是防止内部人员破坏服务器的一道屏障。
3.打开密码策略。
注意密码策略,例如启用密码复杂性要求,将最小密码长度设置为6位数,将强制密码历史设置为42天5次。
4.考虑使用智能卡代替密码。
对于密码,安全管理员总是左右为难。密码设置简单容易被黑客攻击,密码设置复杂容易忘记。如果条件允许,用智能卡代替复杂密码是一个很好的解决方案。
三。系统权限的设置
1.磁盘权限
系统盘和所有盘只给管理员组和系统完全控制权限。
系统盘\文档和设置目录只给管理员组和系统完全控制权限。
系统盘\文档和设置\所有用户目录仅授予管理员组和系统完全控制权限。
系统盘\Windows\System32\cacls.exe、cmd.exe、at.exe、net1.exe、at.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del这些文件只给管理员组和系统完全控制权限。
将\System32\cmd.exe、format.com和cmd.exe转移到其他目录或重命名。
“文档和设置”下的所有目录都被设置为仅授予管理员权限。并逐个检查,包括下面的所有子目录。
删除c:\inetpub目录
2.本地安全策略设置
开始菜单-管理工具-本地安全策略
A.本地策略3354审核策略
审核策略更改成功但失败。
审核事件成功和失败。
审核对象访问失败。
无审计的审计过程跟踪
审核目录服务访问失败。
审计权限使用失败。
审核系统事件成功和失败。
审核帐户登录事件成功和失败。
审核帐户管理成功但失败。
B.本地策略3354用户权限分配
关闭系统:仅删除管理员组和所有其他组。
允许通过终端服务登录:仅加入管理员和远程桌面用户组,删除所有其他用户。
C.本地策略3354安全选项
交互式登录:不显示上次激活的用户名。
网络访问:不允许SAM帐户和共享的匿名枚举。
网络访问:不允许保存网络身份验证的凭据。
网络访问:所有可以匿名访问的共享都被删除。
网络访问:所有匿名访问生命被删除。
网络访问:删除所有可远程访问的注册表路径。
网络访问:删除所有可远程访问的注册表路径和子路径。
帐户:重命名来宾帐户重命名帐户。
帐户:重命名系统管理员帐户重命名帐户。
3.禁用不必要的服务start-run-services.msc
TCP/IPNetBIOS帮助程序提供对TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持,以便用户可以共享。
文件、打印和登录网络。
服务器支持通过网络共享此计算机的文件、打印和命名管道。
浏览器维护网络上计算机的最新列表并提供此列表。
任务计划程序允许程序在指定的时间运行。
在Messenger客户端和服务器之间传输网络发送和警报服务消息。
分布式文件系统:局域网管理共享文件,如果不需要可以禁用。
分布式linktracking客户端:用于更新局域网的连接信息;如果不需要,可以禁用它。
错误报告服务:禁止发送错误报告