新安数据

您的当前位置:网站首页 » 帮助中心» 云主机相关

VPS Win2003 安全策略设置

来源:新安数据类型:帮助文件 更新:2013-8-23 点击:31235

一 设置和管理账户
1、系统一管理理员账户最好少建,更改默许的管理员帐户名(Administrator)和描写,
password最好认为合适而使用数码加体积写字母加数码的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷坑帐号,为其设置最小的职权范围,而后轻易输入
组合的最好不低于20位的password。
3、将Guest账户禁用并更改名字和描写,而后输入一个复杂的password,而后禁用。
4、着手-手续-管理工具-本地安全策略,挑选
计算机配备布置-Windows设置-安全设置-账户策略-账户锁定策略,
将账户设为“三次登陆失效”,“锁定时间为30分钟”,“复位锁定统计设为10分钟”。
5、在安全设置-本地策略-安全选项中将“不显露上次的用户名”设为开始使用 。
6. 本地策略-安全选项-对佚名连署的另外限止.挑选(不准许枚举 SAM 帐号和共享)

二 网络服务安全管理

1、严禁C$、D$、ADMIN$一类的缺省共享
敞开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,
在右面的窗户中新建Dword值,名字设为AutoShareServer值设为0. 注册表不成解.不要轻易更改.
2、 去掉消除NetBios与TCP/IP协议的绑定
右击网上邻舍-属性-右击本地连署-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不必的服务,以下为提议选项
着手-全部手续-管理工具-服务
Computer Browser:保护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不必禁用
Distributed linktracking client:用于局域网更新连署信息,不必禁用
Error reporting service:严禁送出不正确报告陈述
Microsoft Serch:供给迅速的单词搜索,不必可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不必禁用
PrintSpooler:假如没有打印机可禁用
Remote Registry:严禁长程改正注册表
Remote Desktop Help Session Manager:严禁长程辅佐
Messenger:信使服务(windows2000)
Task Scheduler: 准许手续在指定时间运行(无须规划担任的工作就禁用掉)
TCP/IP NetBIOS Helper Service: NetBIOS (Net变态)”服务以及 NetBIOS 名字解析的支持
注:新上架的服务器已经做过其它安全设置只开以下端口,需求开其它端口可以在。
右击网上邻舍-属性-Internet协议(TCP/IP)属性-高级-选项-TCP/IP用筛子选-属性-TCP端口-添加
你想要开的端口.
默许开启的端口列表:
FTP:20.21
mail:25.110
Web:80
pcanywhere:5631
长程桌面儿:3389 (3389不要关闭,否则将没有办法长程连署)

三 系统安全管理
1.对于系统的NTFS磁盘职权范围设置,C盘只给administrators 和system职权范围,其它的职权范围不给,
其它的盘也可以这么设置,这处给的system职权范围也不尽然需求给,
只是因为某些第三方应用手续是以服务方式开始工作的,需求加上这个用户,否则导致开始工作不成。
2. Windows目次要加上给users的默许职权范围,否则ASP和ASPX等应用手续就没有办法运行。
3. 额外在c:/Documents and Settings/这处相当关紧,
后面的目次里的职权范围根本不会秉承以前的设置,假如仅只只是设置了C盘给administrators职权范围,
而在All Users/Application Data目次下会 显露出来everyone用户有绝对扼制职权范围,
这么侵入国这可以跳转到这个目次,写入脚本代码或只文件,再接合其它破绽来提高职权范围.
4. net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe
这些个文件都设置只准许administrators.system过访.guests严禁过访

四 敞开相应的审查核定策略

  着手-手续-管理工具-本地安全策略-安全设置-本地策略-审查核定策略
注:windows2003已经开启局部.windows2000没有开启.可以依据实际事情状况来设置.
引荐的要审查核定的项目是:
登录事情 成功 败绩
账户登录事情 成功 败绩
系统事情 成功 败绩
策略更改 成功 败绩
对象过访 败绩
目次服务过访 败绩
特别的权利运用 败绩

我们很乐意帮助您!请联系在线客服或致电我们。7×24小时客服热线: 0551-62886237