Windows2003服務(wù)器怎么做好安全設(shè)置
win2003 雖然以出來很多年了,但還是有很大的用戶群,那么Windows2003服務(wù)器怎么做好安全設(shè)置呢?今天學(xué)習(xí)啦小編與大家分享下Windows2003服務(wù)器做好安全設(shè)置的具體操作步驟,有需要的朋友不妨了解下。
Windows2003服務(wù)器做好安全設(shè)置方法
正確劃分文件系統(tǒng)格式,選擇穩(wěn)定的操作系統(tǒng)安裝盤
為了提高安全性,服務(wù)器的文件系統(tǒng)格式一定要?jiǎng)澐殖蒒TFS(新技術(shù)文件系統(tǒng))格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過它來配置文件的安全性,磁盤配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來把FAT32轉(zhuǎn)換成NTFS格式。正確安裝windows 2003 server,在網(wǎng)安聯(lián)盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企業(yè)可升級(jí)版,這個(gè)一個(gè)完全破解了的版本,可以直接網(wǎng)上升級(jí),我們安裝時(shí)盡量只安裝我們必須要用的組件,安裝完后打上最新的補(bǔ)丁,到網(wǎng)上升級(jí)到最新版本!保證操作系統(tǒng)本身無漏洞。
正確設(shè)置磁盤的安全性,具體如下(虛擬機(jī)的安全設(shè)置,我們以asp程序?yàn)槔?重點(diǎn):
1、系統(tǒng)盤權(quán)限設(shè)置
C:分區(qū)部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運(yùn)行文件
列出文件夾/讀取數(shù)據(jù)
讀取屬性
創(chuàng)建文件夾/附加數(shù)據(jù)
讀取權(quán)限
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運(yùn)行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運(yùn)行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改權(quán)限
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改權(quán)限
2、網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤)
說明:我們假設(shè)網(wǎng)站全部在E盤wwwsite目錄下,并且為每一個(gè)虛擬機(jī)創(chuàng)建了一個(gè)guest用戶,用戶名為vhost1...vhostn并且創(chuàng)建了一個(gè)webuser組,把所有的vhost用戶全部加入這個(gè)webuser組里面方便管理
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3、數(shù)據(jù)備份盤
數(shù)據(jù)備份盤最好只指定一個(gè)特定的用戶對(duì)它有完全操作的權(quán)限
比如F盤為數(shù)據(jù)備份盤,我們只指定一個(gè)管理員對(duì)它有完全操作的權(quán)限
4、其它地方的權(quán)限設(shè)置
請(qǐng)找到c盤的這些文件,把安全性設(shè)置只有特定的管理員有完全操作權(quán)限
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號(hào),更改描述
第三招:禁用不必要的服務(wù),提高安全性和系統(tǒng)效率
Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表
??Task scheduler 允許程序在指定時(shí)間運(yùn)行
??Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
??Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)
??Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作
??Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)
??IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序
??Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知
??Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件
Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)
Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序
Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息
Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序