windowsServer服务器系统自身安全防护措施

1、Windows Server系统自身安全防护措施提示：为慎重操作，可以先在测试机做关闭测试，最好通过与厂方工程师商定后再设置。一、 关闭服务器不必要端口利用win2003自带防火墙关闭所有端口，如就留一个端口：80 。（设置有两种方法，一个使用windows自带防火墙设，一个实在TCP/IP属性里设。） 设置方法： 1、在“网络连接”属性里设置windows防火墙。2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。二、 在服务中关闭不必要的服务以下服务可以关闭：Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允

2、许程序在指定时间运行Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库Remote Registry Service 允许远程注册表操作Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的

3、自动发布到订阅COM组件Alerter 通知选定的用户和计算机管理警报Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息Telnet 允许远程用户登录到此计算机并运行程序三、在”网络连接”里，把不需要的协议和服务都删掉。这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。在高级tcp/ip设置里-"NetBIOS"设置“禁用tcp/IP上的NetBIOS（S）”。四、运行pgedit.msc，配置“用户权限分配

4、”>> 在安全设置里 本地策略-安全选项网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径; 网络访问:可远程访问的注册表路径和子路径; 将以上四项全部删除 >> 不允许 SAM 账户的匿名枚举 更改为"已启用" >> 不允许 SAM 账户和共享的匿名枚举 更改为"已启用" ;>> 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为"已启用" ;>> 网络访问.限制匿名访问命名管道和共享,更改为&qu

5、ot;已启用" ;将以上四项通通设为“已启用”五、关闭每个硬盘的默认共享。在Windows 2000/XP/2003系统中，逻辑分区与Windows目录默认为共享，这是为管理员管理服务器的方便而设，但却成为了别有用心之徒可趁的安全漏洞。六、IIS (Internet信息服务器管理器) 1、在"主目录"选项设置以下：读 允许写 不允许脚本源访问 不允许目录浏览 建议关闭记录访问 建议关闭索引资源 建议关闭执行权限 推荐选择 “纯脚本” 。2、建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。七、 SQL数据库安全设置1