win服务器安全设置方案

1、服务器安全设置方案一. 防病毒设置选用NOD32杀毒软件，首先ESET NOD32是误报最少的杀毒软件在市场上琳琅满目的杀软中，ESET NOD32和诺顿是当今误报最少的两款产品了。为什么这样说呢？我们先看看国际独立权威机构VB100%的测试结果（截至2007年11月）：杀软厂商参测次数通过次数未通过次数ESET NOD3249463卡巴斯基544014瑞星 000金山211江民000赛门铁克46406大家都知道，VB100%的测试是极其严格的：参测杀软必须100%检测出所有流行性病毒样本（ITW），不能有一起误报发生。有一起误报就算失败，并且没有后续补测通过的机会。从上图可以看出，NOD32

2、和诺顿VB100%测试通过率分别达到了94%和87%，是国内市场销售的杀软中误报最少的。卡巴斯基的通过率是74%，存在较多误报的情况，这和用户的体会是基本吻合的。国内的三大杀软品牌，只有金山分别在去年和今年参加过两次，瑞星和江民从未参加过VB100%的测试。在该项测试中，最值得一提的是NOD32，配合业界第一的启发式引擎，在保持极低资源占用的前提下，能达到如此之低的误报率，实属不易。让我们再看看另一家权威测试机构AV-Comparatives的评测结果。以下是AV-Comparatives于2007年5月份进行的一项测试，测试中所有的杀软都使用3个月前的病毒库，以最近3个月出现的20522个新

3、型病毒作为样本，以检查杀软的未知病毒检测能力：杀毒软件未知病毒检测率误报数量扫描速度认证级别ESET NOD3268%极少快Advanced +卡巴斯基9%极少一般Standard大蜘蛛 30%很多慢Standard小红伞71%很多快StandardAvast26%较少一般Advanced诺顿24%无快Advanced在对未知病毒的测试中，ESET NOD32以68%的检测率和极低的误报率拔得头筹，获得参赛17款杀软中唯一的Advanced+（优+）级认证。小红伞虽然检测率略高于ESET NOD32，但因误报很多，最终屈居ESET NOD32之下，获得了Advance（优）级认证。卡巴斯基只检

4、测到未知病毒中的9%，是款完全依靠病毒库的杀软，因此只获得了Standard（普通）认证。诺顿虽然对未知病毒检测率不是很高（24%），但没有误报，也说明了赛门铁克产品在误报率方面控制地相当出色。象往常一样，国产3大杀软从未参加过AV-Comparatives的测试。综上所述，ESET NOD32和诺顿在误报率方面的表现都很出色，是注重数据安全、避免资料误删除造成损失的企业用户的首选。对于个人用户来说，ESET NOD32更以优秀的ThreatSense启发式引擎，有效抵御半数以上的未知病毒，对于层出不穷、不断进化的恶性病毒来所，实属必备的利器。今年杀软流行NOD32微软御用五年的世界防病毒顶尖

5、之作NOD32Eset NOD32为近年在全球迅速冒起的防毒软件，产品深受用户欢迎。NOD32 自面世以来， 在准确度及速度均打破多项世界纪录。其优秀轻巧的设计， 令NOD32 在新、旧、中英文版本之Windows 以至Linux 、Netware 等各平台均有出色的性能表现， 执行速度非常之高。很多用户转用NOD32 后， 均发觉计算机运作大为畅顺， 不会有一般越趋复杂的防毒软件， 安装后会拖慢计算机甚或影响日常工作的情形! 在准确度方面，NOD32 侦测能力无容置疑。NOD32 是防毒界权威机构Virus Bulletin VB100% 奬项的29 届得主，高据全球排行榜的第一。NOD32

6、 在上市6 年以来从未测漏任何一只全球流通(ItW) 的计算机病毒，是世界唯一有此成绩的防毒软件。对于近期最新的病毒超过60种变种病毒, NOD32 均能实时全部栏截, 为用户提供最顶尖的保护! 在Virus Bulletin 100测试的防毒软件唯有 NOD32 连续 6年侦测高达100，毫无遗漏 根据全球权威病毒报告Virus Bulletin对市面上最普遍20种防毒软件的测试报告,NOD32的侦测病毒速度比其它对手快超过20到30倍,速度十分惊人!个人的使用体会：从99年起我就开始上网，中间使用过不少的杀毒软件，从诺顿，趋势，金山，瑞星，江民，卡巴等等在04年时我安装了NOD32后到现在

7、，我机器基本没中过什么病毒，我原先给一台公网的WIN2003服务器安装了NOD32，到目前为止服务器一直稳定运行，没有出现中过任何病毒（WEB服务器，经常有文件上传，这也是最容易让病毒进入服务器的地方），包括我原先的公司所以客户机没出现过中毒情况，而且他的特点是占用内存小，杀毒速度快，病毒库每天都有1-2次升级，个人感觉是当前最好的杀毒软件。使用前一定要先删除掉诺顿，不然NOD32和诺顿有冲突会造成开机不正常。二.安全设置1.360安全卫士360安全卫士是由奇虎公司推出的完全免费的安全类上网辅助工具软件，它拥有查杀流行木马、清理恶评及系统插件，管理应用软件，卡巴斯基杀毒，系统实时保护，修复系统

8、漏洞等数个强劲功能，同时还提供系统全面诊断，弹出插件免疫，清理使用痕迹以及系统还原等特定辅助功能，并且提供对系统的全面诊断报告，方便用户及时定位问题所在，真正为每一位用户提供全方位系统安全保护。融合奇虎360ARP防火墙最新版v1.1，双向拦截ARP攻击，及时查杀本机ARP木马，有效解决局域网内频繁掉线问题 增强木马查杀引擎，及时解决2345.com首页劫持免费体验90天强劲优化清理功能 文件粉碎机功能支持windows vista系统 网页防漏功能，浏览网站更安全 漏洞补丁集中分发，网管好帮手 他主要在在安全防护方面，比如前段时间熊猫病毒，当时360安全卫士及时发布了专杀工具，可以说这是一款

9、不可缺少的安全防护软件，而且他支持系统漏洞扫描来及时更新系统的补丁。在新版中增加了arp病毒防护，前段时间arp病毒对各个企业造成了不可估量的影响，通过他可以有效的防护arp病毒。以前web服务器机房那边的网络状况非常不好，本机是没问题，可是机房内别人的服务器被黑客入侵后，一直在网络上发arp欺骗病毒，导致服务器不能正常连接网络。只能通过和机房那边的管理员联系才解决这个问题。在客户机方面，他可以有效防止恶意网页和流氓软件。安装后大开所以保护，并设置为自动升级。目前这款软件还不支持win2003，所以补丁要让系统自动升级。2.防火墙3.系统组策略通过系统组策略，我们可以限制一些系统命令，比如ne

10、t命令，net user黑客一般都是使用这个命令来创建入侵账户，比如format格式化硬盘，at自动在一个时间内执行命令，del 删除命令,command,cmd,start等等，可以根据服务器实际情况进行设置。4. 关闭不需要的服务，以下为建议选项 Computer Browser:维护网络计算机更新，禁用 #Distributed File System: 局域网管理共享文件，不需要禁用 #Distributed linktracking client：用于局域网更新连接信息，不需要禁用 #Error reporting service：禁止发送错误报告 #Microsoft Serch：

11、提供快速的单词搜索，不需要可禁用 #NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助5.用户账号和密码1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便

12、输入组合的最好不低于20位的密码，字母大小写数字符号。3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。 4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用。6、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表，HKEY_LOCAL_MACHINESY

13、STEMCurrentControlSetServiceslanmanserverparameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0 # 7.解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS8.限制ntfs权限去掉其他用户的权限只留下Administrator，system，creator owner，web管理用户9. 修改Windows Server 2003的远程桌面端口打开”开始运行”，输入”regedit”，打开注册表，进入

14、以下路径：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp，将PortNumber的值（默认是3389），修改成所希望的端口即可，例如5631。进入以下路径：HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp，将PortNumber的值（默认是3389）修改成端口5631。修改完毕，重新启动电脑，以后远程登录的时候使用端口5631就可以了。10.serv_u安全设置首先升级ser

15、v_u到目前最新的6.4版本.该版本已经解决以往版本中的提升权限的漏洞.安装设置1. 安装目录不要使用默认的路径,安装前记得备份ServUAdmin.ini和ServUDaemon.ini,设置LocalAdministrator的密码要复杂.2. 创建一个用户,然后把他从user组里删除,在服务设置里以该用户来启动serv_u.3. 设置serv_u安装目录的NTFS权限,只保留administrator和该用户.4. 检测原来的FTP账户,看是否有可疑的账户,比如该账户有执行的权限.11.修改tomcat运行账户在service.msc里面设置tomcat的启动用户账号，该用户账号权限为最

16、小，这样作是为了防止JSP木马，通过启动tomcat的system账户来入侵系统。Tomcat是一个世界上广泛使用的支持JSP和servlets的Web服务器。它在JAVA运行时上能够很好地运行并支持Web应用部署。运行Tomcat很简单；到Tomcat网站下载安装程序就可进行Tomcat的安装。没有人对Tomcat的危险性有透彻的了解。Tomcat Web应用程序的主要安全风险存在于以下方面：Tomcat的JSP或JSP内调用的bean能够实施下列高风险性任务：运行一个Windows系统环境下的程序读取任意文件夹内任何文件的内容删除任意文件夹中的文件在任意文件夹内创建新文件虽然Tomcat确

17、实提供了很多的安全性，但是由于以下因素而显示了其漏洞：1. 安装后，Tomcat作为一个系统服务运行2. 如果没有将其作为系统服务运行，缺省地几乎所有Web服务器管理员都是将其以Administrator权限运行这两种方式都允许Java运行时访问Windows系统下任意文件夹中的任何文件。缺省情况下，Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时，Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来，Java运行时就取得了所有文件夹中所有文件的全部权限。并且Servlets(JSP在运行过程中要转换成Servlets)取得了同样的权

18、限。所以Java代码可以调用Java SDK中的文件API列出文件夹中的全部文件，删除任何文件，最大的危险在于以系统权限运行一个程序。当任一Servlets含有如下代码： Runtime rt = Runtime.getRuntime();rt.exec(c:SomeDirectorySomeUnsafeProgram.exe)这就是最大的危险，并且很多人都未认识到这点。确保Tomcat安全的途径首先，新建一个帐户1. 用ITOMCAT_计算机名建立一个普通用户2. 为其设置一个密码3. 保证密码永不过期(Password Never Expires)被选中修改Tomcat安装文件夹的访问权限

19、1. 选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomcat安装文件夹。2. 为ITOMCAT_计算机名用户赋予读、写、执行的访问权限。3. 为ITOMCAT_计算机名用户赋予对WebApps文件夹的只读访问权限。4. 如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。当你需要Tomcat作为系统服务运行时，采取以下步骤：1. 到控制面板，选择管理工具，然后选择服务。2. 找到Tomcat：比如Apache Tomcat.exe等等，打开其属性。3. 选择其登录(Log)标签。4. 选择以.登录(Log ON Using)选项。5. 键入新建

20、的ITOMCAT_计算机名用户作为用户名。6. 输入密码。7. 重启机器。当你需要在一个DOS窗口下运行Tomcat时，采取以下步骤：1. 在开始按钮的运行框中键入CMD以打开一个DOS窗口。2. 键入RunAs /user：ITOMCAT_计算机名 CMD.exe命令。3. 在询问ITOMCAT_计算机名用户的密码时输入设置的密码。4. 这将打开一个新的DOS窗口。5. 在新开的DOS窗口中，转换到Tomcat的bin文件夹内。6. 键入catalina run命令。7. 关闭第一个DOS窗口。以ITOMCAT_计算机名用户在新的DOS窗口内运行只授予该用户相应的权限；当你在这个新的DOS窗

21、口中运行Tomcat时，它只取得了这个选定用户的权限。这样Tomcat就安全了。9.IPSEC设置打开本地安全策略IP安全策略，在里面创建新的IP策略，只允许WEB,SQL,ftp服务10.防火墙设置可以使用windows2003自带的防火墙，只运行WEB,SQL,ftp服务访问网络。12. 输入法问题删除智能ABC,智能ABC以前存在一个漏洞就是输入v+后移+delete+空格会引起程序崩溃,虽然这个错误已经得到修正,但是对程序还是有影响. 其它安全相关设置，仅供参考1、隐藏重要文件/目录 可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftW

22、indows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0 2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。 3、防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为SynAttackProtect，值为2 4. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRou