política de seguridad relacionados con el servidor Compartir experto win2003

A pesar de que para el sistema Win2003, ya una, relativamente alta seguridad del sistema relativamente estable, en temas de seguridad del servidor win2003 también tiene una amplia variedad de operar, por lo que aquí expertos en integración Integre una estrategia de seguridad de servidor más detallada para compartir con todos.

Una Estrategia: Desactivar los servicios innecesarios windows2003

· navegador de la computadora mantener una lista actualizada de los equipos de la red y proporciona la lista

· programador de tareas permite especificar el programa vez que se ejecuta Windows

· entornos LAN y WAN de enrutamiento y acceso remoto para proporcionar servicios de enrutamiento

· para la empresa; gestión de almacenamiento extraíble medios extraíbles, los conductores y bibliotecas en

· servicio de registro remoto Permite operaciones de registro remoto

· PRint spooler Carga archivos en la memoria para imprimirlos más tarde.

· IPSec agente de la política y la gestión política de seguridad IP comenzar ISAKMP /oakleyike) y el controlador de seguridad IP

· vínculos distribuidos Cliente de seguimiento envía una notificación cuando el archivo se mueve en un volumen NTFS de dominio de la red

· sucesos COM + proporciona un sistema de eventos publicada de forma automática a suscribir componentes com

· alerter notificar a los usuarios y equipos de alerta administrativa
seleccionados

· colección de servicio de informe de errores , almacenamiento y aplicaciones inusuales informe de microsoft a

· mensajero de transmisión entre el cliente y el servidor y la red envía mensajes del servicio de alerta

· telnet permiten a los usuarios remotos conectarse a este equipo y Ejecute el programa

Estrategia 2: Configuración de permisos de disco

La unidad c solo otorga permisos a los administradores y al sistema, no se otorgan otros permisos, otros discos también se pueden configurar de esta manera, los permisos del sistema que se dan aquí no Debe darse, solo porque algunas aplicaciones de terceros se inician como un servicio, debe agregar este usuario, de lo contrario no se iniciará.

El directorio de Windows debería tener los permisos predeterminados para los usuarios, de lo contrario, las aplicaciones como asp y aspx no se ejecutarán.

Estrategia Tres: Desactivar el enlace aéreo sistema de ventanas

para encontrar la clave HKEY_LOCAL_MACHINE /System /CurrentControlSet /Control /lsa correspondiente en el registro, el valor de la clave DWORD con el valor de 1 en restrictanonymous

Estrategia 4: Desactivar puertos no deseados

Conexión local - Propiedades - Protocolo de Internet (tcp /ip) - Avanzadas - Opciones - tcp /ip Filter - Propiedades- - Ponga el gancho en él y agregue el puerto que necesita.
(por ejemplo: 3389, 21, 1433, 3306, 80)

Cambie el método del puerto de conexión remota

Inicio -> Ejecutar - > ingrese regedit

Buscar 3389 :

Encuentra los pasos siguientes:

1, númeropuerto bajo hkey_local_machinesystemcurrentcontrolsetcontrol ERMINAL serverwds dpwd ds cp = 3389 cambió de números de puerto de tesoros definidos

2, hkey_local_machinesystemcurrentcontrolsetcontrol ERMINAL númeropuerto bajo serverwinstations dp-tcp = 3389 cambió de números de puerto de tesoros definidos

3389 para modificar el número que desea (en decimal) ---- continuación, seleccione hexadecimal (el sistema convertirá automáticamente ) ---- Finalmente! Esto está bien.

El puerto 3389 se ha modificado, pero el host debe reiniciarse, por lo que se considera que el puerto 3389 se modificó correctamente. Si no reinicia 3389, ¡

no se modifica! se puede utilizar el nuevo puerto en

NetBIOS desactivar
en TCP /IP

conexión de área local - --internet propiedades de protocolo (TCP /IP) - senior —! wins-- discapacitados Netbios en tcp /ip

Política 5: desactive la conexión vacía para el recurso compartido predeterminado

Primero escriba el archivo por lotes de la siguiente manera:

@echo off

net share c $ /delete

net share d $ /delete

net share e $ /delete

net share f $ /delete

net Share admin $ /delete

El contenido de los archivos anteriores puede ser modificado por el usuario. Guárdelo como delshare.bat y guárdelo en el directorio system32grouppolicyuserscriptslogon debajo de la carpeta del sistema. Luego ingrese gpedit.msc en el menú Inicio → Ejecutar,

Ingrese para abrir el Editor de políticas de grupo. Haga clic en Configuración de usuario y rarr; configuración de las ventanas y rarr; guiones (conexión /desconexión) y rarr;. Login

en el caso de y " Propiedades de registro " ventana, haga clic en " Add ", habrá y " añadir la secuencia de comandos " cuadro de diálogo, ingrese delshare.bat en la columna "Nombre del script" de la ventana, y luego haga clic en el botón "Aceptar".

Al reiniciar el sistema informático, todas las carpetas compartidas ocultas del sistema se pueden cancelar automáticamente, lo que minimiza los riesgos de seguridad del sistema.

Estrategia 6: Configuración de seguridad de iis

1. No use el sitio web predeterminado. Si lo usa, separe el directorio iis del disco del sistema.

2, elimine el directorio inetpub creado por iis por defecto (en el disco del sistema de instalación).

3, elimine el directorio virtual debajo del disco del sistema, como: _vti_bin, iissamples, scripts, iishelp, iisadmin, iishelp, msadc.

4, elimina el mapeo innecesario de la extensión iis.

Haga clic con el botón derecho en "Sitio web predeterminado ↠ Propiedades ↠ Directorio de inicio y Rarr; Configuración" para abrir la ventana de la aplicación y eliminar las asignaciones de aplicaciones innecesarias. Principalmente .shtml, shtm, stm.

5, cambie la ruta del registro iis

Haga clic con el botón derecho del ratón en "&default" sitio web → atributos - sitio web - haga clic en las propiedades debajo del registro de habilitación.

Estrategia 7: Registro la configuración de seguridad pertinentes mesa

1, el importante oculto archivo /directorio

hkey_local_machinesoftwaremicrosoftwindowscurrent-versionexploreradvancedfolderhiddenshowall y "

botón derecho del ratón y " CheckedValue y ", optar por modificar, cambió desde el valor 1 0.

2, syn prevenir los ataques de inundación

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices cpipparameters

nuevo valor DWORD denominado SynAttackProtect, un valor de 2

3, notificación de ruta ICMP respuesta discapacitados paquetes

HKEY_LOCAL_MACHINESYSTEM currentcontrolset servicios cpipparametersinterfacesinterface

nuevo valor DWORD denominado valor PerformRouterDiscovery 0.

4, redirigir los mensajes ICMP para prevenir ataques

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices cpipparameters

El valor EnableICMPRedirects se establece en 0

5, no soporta el protocolo IGMP

hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

Cree un nuevo valor de dword denominado igmplevel con un valor de 0.

Desde win2003 es un sistema relativamente maduro, por lo que muchos hackers, troyanos también ser estudiado durante mucho tiempo para superar, con el fin de evitar que las fuerzas alienígenas de asedio insegura, hemos configuración de seguridad tienen servidor win2003 Más riguroso, espero que estas presentaciones ayuden a todos.