Windows-Server-2003-安全加固設(shè)置

WindowsServer2003安全加固設(shè)置4用戶賬戶安全Administrator賬戶的安全性a)重命名adminstrator，并將其禁用。右擊“我的電腦”，在單擊“管理”，選擇“本地用戶和組”，選擇“用戶”，右側(cè)窗口的“administrator”右擊“重命名“administrator”右擊“屬性b)創(chuàng)建一個用戶賬戶并將其加入管理員組，日常管理工作使用這個賬戶完成。操作步驟：在右側(cè)窗口空白處右擊鼠標(biāo)，再單擊“新用戶”臂I全名irιistrit-jrZS丸"t^ΞKFFαRT_388945aJ0CiI=Micrc∣softCc∣rρ0testa）即可以用創(chuàng)建的“test”用戶名和密碼，賦予“test”用戶管理員的權(quán)限，日常管理工作使用這個賬戶完成。當(dāng)我們再次登錄時，administrator用戶無法登陸用“test”用戶登錄系統(tǒng)，才能成功，且“test”用戶擁有管理員的權(quán)限。思考：我們?yōu)槭裁匆@么做？？啟用賬戶鎖定策略開始——程序——管理工具——本地安全策略——賬戶策略——賬戶鎖定策略——設(shè)置“賬戶鎖定閾值為3”國安全謾置-國帳戶策略+_§密碼策略+帳戶鉞定策啥+ 本地策略+_!去鑰策喀+，軟件限制策喀+'?IF安全策略.在本地計算機(jī)策喀屐）復(fù)住帳戶鉞定計數(shù)器.蜀帳尸鎖定時間一弱帳尸鎖定蚓值安全設(shè)置不適用不適用0次無效登錄3.修改本地策略限制用戶權(quán)限開始——程序——管理工具——本地安全策略——本地策略——用戶權(quán)限分配——設(shè)置“拒絕從網(wǎng)絡(luò)訪問這臺計算機(jī)”，限制從網(wǎng)絡(luò)訪問該服務(wù)器的賬戶。論本地安全謾置文件(?)操作(?)杳看過)幫助Qp仁,國畫IX囹鼠傳串安全設(shè)置二國帖戶頻+箍變碼策鳴+”帳戶鎖定策略-用本地德喀國審核策略-?用戶權(quán)限分配國安全選項(xiàng)+_!公鑰策略+_|軟件限制策略+?π安全策鳴，在本地計算機(jī)策略取］管理審核和安全日志躅還原文件和目錄戮］拒魴本地登錄明拒絕從網(wǎng)絡(luò)訪問速占蜀拒組作為服資登錄鰥］拒魴作為批處理作業(yè)fii?內(nèi)存中鎖U頁面躅配置單一進(jìn)程段］配置系統(tǒng)性能鰥］取得文件或苴他對象蜀身份驗(yàn)證后模找客尸!圜生成安全審核圈替換進(jìn)程級別標(biāo)記跳跳過痛歷檢查躅通過器端服資拒細(xì)登一回通過鮮端服弱■允許登遐］同步目錄服務(wù)贊據(jù)二、 服務(wù)器性能優(yōu)化，穩(wěn)定性優(yōu)化1.“我的電腦”右鍵屬性——高級——性能——設(shè)置——設(shè)置為“性能最佳”系統(tǒng)屋性常規(guī)〕計算機(jī)名］硬件高纏I自動更新］遠(yuǎn)程］要進(jìn)行大多數(shù)改動，您必須作為管理員登錄口I-性能 視覺效果，處理器計劃，內(nèi)存使用，以及虛擬內(nèi)存設(shè)置0用戶配置文件性能選項(xiàng)視覺效果I高級］數(shù)據(jù)執(zhí)行保護(hù)］選擇您想在此計算機(jī)上使用的WinC讓W(xué)mdowz選擇計算機(jī)的最佳C調(diào)整為最佳外觀追)W蠲整為最佳性能正工C自定義?：I口搬入淡出或滑動菜單到視圖2. “我的電腦”右鍵屬性——高級——性能——設(shè)置——高級頁面為如圖設(shè)置視覺效果高皴'數(shù)據(jù)執(zhí)行保護(hù)］「處理器計劃 選擇如何分配處理器資源口調(diào)整以?優(yōu)化性能：「程序凹 底逅套整鱉內(nèi)存使用 選擇如何分配系現(xiàn)內(nèi)存口調(diào)整以優(yōu)化性能：「程序⑹ W系統(tǒng)繪存（?）停止暫時未用到的服務(wù)在開始“運(yùn)行”中輸入:services.msc停止并禁用以下服務(wù)COmputerBrOwser 計算機(jī)瀏覽DistributedLinkTrackingClient如果此服務(wù)被停用，這臺計算機(jī)上的鏈接將不會維護(hù)或跟蹤。PrintSpooler（如果沒有打印需求可以停止該服務(wù)）RemOteRegistry遠(yuǎn)程注冊表RemoteRegistry（如果沒有無線設(shè)備可以停止該服務(wù)）TCP/IPNetBIOSHelper三、系統(tǒng)安全及網(wǎng)絡(luò)安全設(shè)置. 開啟自動更新“我的電腦”右鍵“屬性”——“自動更新”WindowsServer2003會自動下載更新，無須人為打補(bǔ)丁。A*tSΛt章掘Ittfi?ι?]??‘函：吸線;Iffii?I幫助保職輜計算機(jī)IHIIaEM可以電彈］在^并為您安魅它們，以在安301沱更新之前先自?ti更新Yinil匹l?dktfl軟件］.a√j????∏f≡ιτft?-自動船薦）d?,?l自動下期?落的史特.并安?t它巾〉IWS二］在|由仙?j.關(guān)閉端口，減少受攻擊面（此處以僅提供HTTP協(xié)議為例），盡量少安裝不必要的組件。a）開始運(yùn)行中輸入。1^，運(yùn)行命令提示符b）在命令提示符中輸入netstat -an命令察看當(dāng)前打開端口C：^DocunentsandSettin^s?Adιιiπis?jkat□r>netstat—anAct?ueConnect?onsFvotoTCPTCPUDPLocalAddress0.β.Q-0zl35:445:102600:1390.θ.0.0:4450.β.0.0∑50β:4560:123±37.0-0.1:103500:12300:13700:138Foreign0.β.Q,0Address：00

0-0■00.StateLISTENINGLISTENINGLISTENINGLISTENINGPPPDPDUFDPDPPDFD:0:0圖片中開放了TCP135,139,445,1026四個端口，可以通過禁用TCP/IP上的NetBIOS和禁用SMB來關(guān)閉它們。c）禁用TCP/IP上的NetBIOS右鍵單擊“我的電腦”，然后單擊“屬性”。點(diǎn)選“硬件”選項(xiàng)卡后，單擊“設(shè)備管理器”按鈕。系裝屈性Γ宿觀十直稱□∣高級I目動更新］遠(yuǎn)程I謖備營理器包得密管理等列出所后守裝在計賀機(jī)上的硬件設(shè)備口諾恒

一.看用被存管強(qiáng)器并營改得務(wù)的屆怦.被備管理器右鍵單擊“設(shè)備管理器”，指向“查看”，再選擇“顯示隱藏設(shè)備”?設(shè)備育理等文忤⑥操作?直看理］幫助如的四-禺BC4申??都DVD/CB-EON+IDEATVAI-4-礙ΞCΞI和RJ十事處理器?性類型井序設(shè)備（??依連接排序設(shè)備（v?儂類型排序資源⑦休直端排序貨源理J顯示照菽的設(shè)備（V+磁盤驅(qū)動器自定義（U）+?電油 Iy端口Ccom和ILPT）展開“非即插即用驅(qū)動程序”。DVD/CU-ROMSS???IIiEATVATAIbI控制SS

ΞCΞI和RJLLD?≠i]?≡.處理器

因盤驅(qū)動器?j???Λ^>后;市著卷5.右鍵單擊“TCP/IP上的NetBios”，然后單擊“禁用”(COM和LFrl北即插艮n用韭??s序"-?>F≡it-titi□ΓLΓ?iF?tf??r∣qM∣PCDI∣R?n∣'jteAc■:"√f?mr∣teAcc∣ι卸載,掃描檢測硬件改動?0屋性WZiZi^^??ΓLLLLJ-∣i1V>Zi禁用后，再重啟計算機(jī)，用命令查看只有135和1026端口開放了。C=lXDDCLinentsandSettin?sh√ldninistvatoifc>nets=tat-anActiueConnectionsProtoLocalAddressFore?gnAddi'essStateTCPβ.0.0.0:1350.0.0.β：0LISTENINGTCPβ.0.0.0110260.0.0.β:θLISTENINGUDFβ.0.0.01500*：?UDFβ.0.0.0:45Θ0?：UDP±:133?:UDP127.0.0,:1025?:UDP172.IC.222.200:123÷÷:?3.如何防止其他計算機(jī)對本地計算機(jī)進(jìn)行Ping測試準(zhǔn)備兩臺PC機(jī)，在配置windowsserver2003計算機(jī)前，確認(rèn)兩臺計算機(jī)可以Ping通。C:?DθGumentsandSettings×Λdministrator>ping17Ξ.16.222.2ββIPingfinq1?2.16.Ξ2Ξ.200with3Ξbytesofdata：Replyfrom172.16_2Ξ2.200：∣I?plyfrom172_16_222_200：KEPIyfrom172_16_222_200：

??plyfrom172_16_222_200：bytes=32bytes=32bytes=32bytes=32tine<lnstine<ln≡tine<ln≡tine<ln≡TTL=128TTL=128TTL=128TTL=128操作步驟：使用IPSEC策略阻止Ping測試。第一步，點(diǎn)擊“開始”菜單/設(shè)置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP安全策略，在本地計算機(jī)”在右邊窗格的空白位置右擊鼠標(biāo)，彈出快捷菜單，選擇“創(chuàng)建IP安全策略”（如右圖），于是彈出一個向?qū)?。文?操作?查看團(tuán)）幫助QD8，笥到囪造I國國I置土色安全謾置+國帖尸策喑+等本地策喑+_!公鑰策唱+口軟件限制策略IP安全策略，在本管理ιryin??:名稱g?tcp13E面］服多器（請求安全）

堂］容尸端C恒響應(yīng)）務(wù)器靖要.一篩選器掾作?一.對所有IP通子

正常通訊壞不

對所有工F≡it創(chuàng)建IF安全策略.曼所有任務(wù)國）查看（Y）刷新￠）導(dǎo)出列表（D.一幫助第在向?qū)е悬c(diǎn)擊“下一步”按鈕，為新的安全策略命名；。再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認(rèn)相應(yīng)規(guī)則”左邊的鉤去掉，點(diǎn)擊“完成”按鈕就創(chuàng)建了一個新的IP安全策略取消下圖紅圈處的勾.添加第一個新IP安全規(guī)則，禁止Ping測試。取消紅圈1處的勾，點(diǎn)擊紅圈2處的添加Lmi屬性上兇規(guī)則］常規(guī)］晶和其它計算機(jī)通詞的安全也則IP安全規(guī)明工|什話士器亞益 I靖也器操隹f場群""Kerteros?÷?1IE.??勵?…而?...I ]Γ使用“添E向?qū)А?口黑值哨應(yīng)…”:?: ?:::;:S:::::;::￥:?::￥::::::1確定I取消選擇“所有ICMP通訊"單擊”添加”2. 添加新的篩選規(guī)則取消下圖紅圈的勾，在紅圈處填寫新規(guī)則的名稱"ruping”后，單擊紅圈處“添加”在“地址”選項(xiàng)卡中，選擇如下圖所示：Tχ∣地址］協(xié)謖I指迷II任何IP地址 3 1??I取消I在“協(xié)議”選項(xiàng)卡中，選擇如下圖所示后，點(diǎn)擊確定，選擇---請求安全（可選）,再單擊-應(yīng)用，單擊-確定。單擊--確定指派斡本地安全設(shè)置|口|X文件(?)操作?查看W)幫助Ql)直面IX囪造I陷回查全上石S安全設(shè)置÷通帖戶策略+為本地策略+_!公鑰策略+ 軟件限制策略?IF安全策略，在本地計算機(jī)所有任務(wù)區(qū))卜屋性(?)所有IF通訊總是使...

再通訊壞安全的)....

聽有IF通訊總是使...刪除?重命名迪)I策