Windows 2003安全设置大全.doc

Windows2003 安全配置

NTFS 系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加

入 SYSTEM 用户)

删除其它用户，进入系统盘:权限如下

C:\WINDOWS Administrators SYSTEM 用户全部权限 Users 用户默认权限不作修改

其它目录删除 Everyone 用户，切记 C:\Documents and Settings 下 All Users\Default User

目录及其子目录

如 C:\Documents and Settings\All Users\Application Data 目录默认配置保留了

Everyone 用户权限

码不同步造成 500

错误的时候使用 OWA 或 Iisadmpwd 修改同步密码，但在这里可以删掉，下面讲到的设置将

会杜绝因系统

设置造成的密码不同步问题。

打开 C:\Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;fo

rmat.com;

regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.

exe;

ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.ex

新建 “DWORD 值”值名为 “SMBDeviceEnabled” 数据为默认值“0”

新建 “DWORD 值”值名为 “RestrictAnonymous” 数据值为“1” [2003 默认为 1]

禁止系统自动启动服务器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD 值”值名为 “AutoShareServer” 数据值为“0”

禁止系统自动启动管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD 值”值名为 “AutoShareWks” 数据值为“0”

通过修改注册表防止小规模 DDOS 攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建 “DWORD 值”值名为 “SynAttackProtect” 数据值为“1”

在开始-运行中输入“drwtsn32”，或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson，

调出系统

里的华医生 Dr.Watson ，只保留“转储全部线程上下文”选项，否则一旦程序出错，硬盘会

读很久，并占

用大量空间。如果以前有此情况，请查找 user.dmp 文件，删除后可节省几十 MB 空间。

本地安全策略配置

开始 > 程序 > 管理工具 > 本地安全策略

IIS 密码不同步]

账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10 分钟 [个人推荐配置]

本地策略 > 审核策略 >

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

> 不显示上次的用户名 更改为"已启用"

> 不需要按 CTRL+ALT+DEL 更改为"已启用"

> 不允许 SAM 账户和共享的匿名枚举 更改为"已启用"

> 重命名来宾账户 更改成一个复杂的账户名

> 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用

户组的 Administrat 账户]

组策略编辑器

运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁

用

删除不安全组件