服务器安全策略.pdf

1、安装系统最少两需要个分区，分区格式都采用 NTFS 格式 2、在断开网络的情况安装好 2003 系统 3、安装 IIS，仅安装必要的 IIS 组件（禁用不需要的如 FTP 和 SMTP 服务） 。默认情况下，IIS 服务没有安装，在添加/删除 Win 组件中选择"应用程序服务器" ，然后点击"详细信息" ，双击 Internet 信息服务（iis） ，勾选以下选项： Internet 信息服务管理器； 公用文件； 后台智能传输服务 （BITS） 服务器扩展； 万维网服务。 如果你使用 FrontPage 扩展的 Web 站点再勾选：FrontPage 2002 Server Extensions 4、安装 MSSQL 及其它所需要的软件然后进行 Update. 5、使用 Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分析计算机的安全配置，并标识缺少的修补程序 和更新。下载地址：见页末的链接 二、设置和管理账户 1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数 【服务器安全策略】 在构建和维护服务器安全策略时，有几个关键步骤是必须遵循的，以确保系统的稳定性、数据的保护以及防止潜在的攻击。以下是基于给出的信息所涵盖的一些主要知识点： 1. **系统分区与格式**： - 安装操作系统时，建议至少创建两个分区，通常一个用于操作系统，另一个用于数据存储。分区格式应选择NTFS，因为它提供了更好的安全性，支持权限控制和加密。 2. **安全安装环境**： - 在断开网络连接的情况下安装Windows Server 2003，这样可以避免在安装过程中受到网络攻击或恶意软件的威胁。 3. **IIS服务器配置**： - 只安装必要的IIS组件，例如仅保留HTTP服务，禁用FTP和SMTP等不必要的服务。在添加/删除Windows组件中选择“应用程序服务器”，然后启用相关的IIS服务，如Internet信息服务管理器、公用文件、BITS服务器扩展和万维网服务。如果需要FrontPage扩展，也要勾选相应的选项。 4. **软件更新**： - 安装MSSQL数据库和其他所需软件后，务必及时进行更新，以获取最新的安全补丁和功能。 5. **安全分析工具**： - 使用Microsoft Baseline Security Analyzer (MBSA)工具定期扫描系统，识别缺失的补丁和安全更新。该工具可以帮助管理员检查系统的安全状态，并提供改进建议。 **账户设置与管理**： 1. **管理员账户**： - 减少系统管理员账户数量，更改默认的管理员账户名和描述，设置复杂且长的密码，包含大小写字母、数字和特殊字符。 2. **陷阱账户**： - 创建一个名为“Administrator”的陷阱账户，赋予最小权限，并设置一个非常复杂的密码，以防攻击者尝试猜测。 3. **Guest账户**： - 禁用Guest账户，更改其名称和描述，设置复杂密码，也可以考虑使用工具如DelGuest进行更彻底的处理。 4. **账户锁定策略**： - 通过组策略编辑器设置账户锁定策略，例如设置三次登录失败即锁定账户，锁定时间为30分钟，复位计数也为30分钟。 5. **显示用户名**： - 配置“不显示上次的用户名”策略，防止攻击者通过登录屏幕获得上一个用户的用户名。 6. **用户权利分配**： - 在本地策略中限制哪些账户可以从网络访问计算机，仅保留必要的服务账户。 7. **普通用户账户**： - 创建常规用户账户，使用Runas命令执行需要管理员权限的任务，以降低风险。 **网络服务安全管理**： 1. **默认共享**： - 禁止如C$、D$、ADMIN$等默认共享，通过修改注册表中的AutoShareServer值来实现。 2. **NetBIOS与TCP/IP解绑**： - 通过网络连接属性禁用TCP/IP上的NetBIOS，增强网络安全性。 3. **关闭不必要的服务**： - 关闭如Computer Browser、Distributed File System等非必需服务，减少攻击面。 **审核策略**： 1. **审核设置**： - 通过组策略编辑器启用适当的审核策略，如登录事件、账户登录事件、系统事件、策略更改等，以便监控和追踪异常活动。 **其他安全设置**： 1. **隐藏文件/目录**： - 通过修改注册表隐藏重要文件或目录，增加数据的隐蔽性。 这些步骤构成了一个基础的服务器安全策略，旨在提升服务器的安全性和降低被攻击的风险。然而，安全是一个持续的过程，需要定期评估和更新策略以适应新的威胁和漏洞。同时，定期备份数据、监控日志以及及时应用安全更新同样至关重要。