服务器安全设置个人笔记

什么百度 google 翻天覆地的找呀！几乎所有的都看了！最后总结一下！说明的内容很少！比较懒，就直接操作步骤！如果需要的可以直接按我的步骤操作就OK了 ！保你的服务器没问题！

 

1.硬盘要用ntfs格式的

2。安装完要打好补丁 开---始所有程序---windows update 按照提示进行补丁安装（不用说也得打）

3.安装IIS服务器可选项目

应用程序asp.net	可选
启用网络com+访问	必选
internet信息服务（IIS）	必选
公用文件	必选
万维网服务-Active server pages	必选
internet数据连接器	可选
万维网服务	必选
在服务器端 的包含 文件	可选
webdav发布	可选

这个在你安装IIS时 有个详细信息时 会弹出这个框

 

4 一定要开启防火墙。

 

5. 本地连接--属性---internet协议版本4（tcp）--属性---高级---WINS --- ●禁用tcp/ip 上的 netBIOS(S)选中。

 

6。修改3389远程连接端口;

  去注册表修改运行--regedit

  HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server\  Wds\rdpwd\Tds\tcp PortNamber值了吗？其默认值是3389，修改成所希望的端口即可

 再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp将PortNumber的值（默认是3389）修改成端口6730(最好6300以上)

再去防火墙里开属防火墙那里有一个“例外”先项，添加端口  名称：远程桌面  端口：就是刚才改的把原来的远程桌面不勾选就可以了。

7.我的电脑属性远程--勾远启用这台计算机的选程桌面，

 再选择选程用户  添加 超级用户

 

8.禁用guest账号：再加一个复杂的密码 字每 特殊字符 数字越长越好

 限制不必要的用户：和删除没用的用户：

我的电脑右键管理 本地用户和组 里有所有的用户：

把administrator 用户名  改成别的

我后再右键新建用户 叫 administrator  双击该用户 隶属于 里的权限全删除了

 

9.运行中输入gpedit.msc 打开组策略--windows设置-安全设置-本地策略-审核策略

登录事件	成功	失败
账户登录事件	成功	失败
系统事件	成功	失败
策略事件	成功	失败
对象访问		失败
目录服务访问		失败
特权使用		失败

帐户锁定：开启用户策略  锁定计数器时间为20分钟  用户锁20分钟  用户锁定3次

密码安全设置：使用安全密码，

桌面属性：设置屏幕保护密码

本地策略：用户权限公配：

本地策略→用户权限分配

　　关闭系统：只有Administrators组、其它全部删除。

　　通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除

本地策略→安全选项

　　交互式登陆：不显示上次的用户名　　　　　　　启用

　　网络访问：不允许SAM帐户和共享的匿名枚举　　启用

　　网络访问：不允许为网络身份验证储存凭证　　　启用

　　网络访问：可匿名访问的共享　　　　　　　　　全部删除

　　网络访问：可匿名访问的命　　　　　　　　　　全部删除

　　网络访问：可远程访问的注册表路径　　　　　　全部删除

　　网络访问：可远程访问的注册表路径和子路径　　全部删除

　　帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户

　　帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户

 

【禁用不必要的服务 开始-运行-services.msc】将下面的选项全部禁用

　　Computer Browser　：维护网络上计算机的最新列表以及提供这个列表

　　Distributed File System　：局域网管理共享文件，不需要可禁用

　　Distributed Link Tracking Client　：用于局域网更新连接信息，不需要可禁用

　　Error Reporting Service　：禁止发送错误报告

　　Messenger　：传输客户端和服务器之间的 NET SEND 和 警报器服务消息

　　Microsoft Serch　：提供快速的单词搜索，不需要可禁用

　　NT LM Security Support Provider　：telnet服务和Microsoft Serch用的，不需要可禁用

　　Print Spooler　：如果没有打印机可禁用

　　Remote Desktop Help Session Manager　：禁止远程协助

　　Remote Registry：禁止远程修改注册表

　　Server　：支持此计算机通过网络的文件、打印、和命名管道共享

　　Task scheduler　：允许程序在指定时间运行

　　TCP/IPNetBIOS Helper　：提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文

　　Workstation　：关闭的话远程NET命令列不出用户组

　　以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

 

10.修改注册表 隐藏重要文件。

HKEY-LOCAL-MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENT-VERSION\EXPLORER\ADVANCED\FOLDER\HI-DDEN\SHOWALL 鼠标右击 "checkedvalue" 选择修改 把数值由1改为0

 

11.防止洪水的攻击

hkey-local-machine\system\currentcontrolset\services\tcpip\parameters\

右键用word选项

新建:

    SynAttackProtect  2

EnablePMTUDiscovery REG_DWORD 0

 

NoNameReleaseOnDemand REG_DWORD 1

 

EnableDeadGWDetect REG_DWORD 0

 

KeepAliveTime REG_DWORD 300,000

 

PerformRouterDiscovery REG_DWORD 0

 

EnableICMPRedirects REG_DWORD 0

 

“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支，在右侧窗口中将子键“PerformRouterDiscovery” REG_DWORD型的值修改为0（0为禁止响应ICMP路由通告报文，

 

 i不支持igmp协文

hkey-local-machine\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS\

新建dword值名为:IGMPLevel  值是0

 

禁止ipc空连接

local-machine\system\currentcontrolset\control\lsa-restrictanonymous  把值改为1

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为IGMPLevel 值为0

 

禁止ipc空连接

local-machine\system\currentcontrolset\control\lsa-restrictanonymous 把这个值改成1 即可

 

删除默认共享

运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServ
er\Parameters]
把AutoShareServer（DWORD）的键值改为:0。

 

建立一个记事本 把以下代码复制进去

net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete

net share e$ /delete

net share f$ /delete

 

存成*.bat  然后放到开机启动项里

 

磁盘权限

系统盘及所有磁盘只给 administrators组和system的完全控制

系统盘 documents and settings 目录只给 administrators组和system的完全控制

系统盘 documents and settings\all users目录只给 administrators组和system的完全控制

系统盘 \windows\system32\cacls.ese cmd.exe net.exe net1.exe ftp.exe tftp.exe telnet.exe netstat.exe regedit.exe at.exe attrib.exe format.com del文件只给administrator组和system的完全控制权限

别将\system32\cmd.exe format.com ftp.exe 转移动其他目录或更名

documents and settings下所有目录都设置只给 administrator权限 并且要一个一个目录查看 包括下面的所有子目录删除C:\inetpub目录

 

13.启用父级路径

14.在iis管理器中删除必须之外的任何没用到的映身（保留asp等必要的）

右键单击“默认web站点--属性--主目录--配置  打开应用程序窗口。去掉不必要的应映主要为.shtml .shtm .stm

15.在IIS中将http404 object not found出错页面通过url重定向一个定制htm文件

 16.删除作系统盘下的虚拟目录 如:_vti_bin  iissamples  scripts iishelp  IIsadmin iishelp msadc

17.更改iis日志的路径:右键单击  默认web站点----属性---网站-在启用日志记录下点属性

18 在web站点权限设定

读： 允许

写  不允许

肢本源访问  不允许

目录浏览  关闭

日志访问 关闭

索引资源 关闭

执行   选择仅限于脚本

 

17.为每个站点单独设置账户：我的电脑-右键-管理-帐户：新建帐户-密码， 在新建的账户属性里将录属于删除（不给任何权限），远程访问拒绝；再新建一应用序池帐户，在新建账隶属于里讲帐户删除-添加IIS——WPG帐户组

18.打开IIS管理器：应用程序池-新建应用程序池-标识-配置-帐户选择新建的应用程序池帐户，密码填些帐户密码。

 web帐户配置：新建网站-属性-目录安全性-身份验证和访问控制-编缉-选择无任保权限那个账户 密码填些帐户密码，确定。

web文件夹权限设置：新建网站文件夹—右键属性-安全-高级-勾掉父项的继承权-只留-administrator和system 帐户和其他的删除-添加web帐户和应用程也新建账户，并编缉权限，去掉完全控制，编历文件夹-取得所有权限。

19.将些硬盘的权限只留administration和system 添加IIS_wpg用户为读取权限