安全配置Windows Server 2003 服务器
端口 端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。一般来说,比较安全的做法是,只打开你需要使用的端口。很多黑客攻击程序是针对特定服务和特定服务端口的,因此,为了降低遭受黑客攻击的危险,应该关闭那些不必要的服务和服务端口。
IIS服务 IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,所以我们应该细致配置IIS。例如,信息服务发布目录Inetpub安装在非系统分区上,如D盘,更改名字不用系统默认目录名。在IIS管理器中将主目录指向你自己设定的路径即可。又如,删除IIS安装时默认的scripts等虚拟目录,谨慎建立所需目录,同时需要什么权限开什么权限。特别注意写权限和执行程序的权限,没有绝对需要不要给目录分配这些权限。
删除不需要的服务 Windows Server 2003的许多服务器允许用户远程访问本机,如用户通过Telnet方式登录等,并可在控制台上执行一系列操作,如装载和卸载模块,安装和删除软件。这虽然带来了一些方便,但也给非法用户访问和控制服务器带来了可乘之机。可以通过以下方法关掉一些不必要的服务,选择“开始”/“管理工具”/“服务”,打开“服务”管理窗口,查找并选中要停止的服务(如Telnet),鼠标右键单击选择“停止”即可。
账号安全 Windows Server 2003的账号安全管理十分重要。首先,Windows Server 2003的默认安装允许任何用户通过匿名用户得到系统所有账号、共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并从而设法破解用户密码。
安全日志 Windows Server 2003的默认安装是不开任何安全审核的。在“本地安全设置”管理程序的“本地策略”/“审核策略”中设置相应的审核。
目录和文件权限 (1)权限是累计的。(2)拒绝的权限要比允许的权限级别高(拒绝优先)(3)文件权限比文件夹权限高。(4)仅给用户真正需要的权限,权限的最小化原则是安全的重要保障。
以上详细的介绍了从安装到使用时可能出现的漏洞,以及安全策略的设置,如帐号设置、审核设置和权限设置等方法