首先,系统的安装
1.根据Windows2003安装光盘的提示进行安装。默认情况下,2003系统中不安装iis6.0。
2.iis6.0的安装
开始菜单-控制面板-添加或删除程序-添加/删除Windows组件
应用程序——-ASP.NET(可选)
|——启用网络COM访问(必需)
|——Internet信息服务(IIS) ——-Internet信息服务管理器(必需)
|——公共文件(必需)
| ——万维网服务——-活动服务器页面(必需)
| ——互联网数据连接器(可选)
|——WebDAV发布(可选)
|——万维网服务(必需)
|——在服务器端包含文件(可选)
然后单击确定-下一次安装。(详见附件1)
3.系统补丁的更新
单击开始菜单-所有程序-—Windows Update。
按照提示安装补丁程序。
4.备用系统
用ghost备份系统。
5、安装常用软件
比如:杀毒软件,解压软件等。安装后配置杀毒软件,扫描系统漏洞,安装后用ghost再次备份系统。
6.首先,关闭不必要的端口,打开防火墙导入IPSEC策略。
在“网络连接”中,删除了所有不必要的协议和服务,这里只安装了基本的互联网协议(TCP/IP)。为了控制带宽流量服务,安装了一个附加的Qos数据包规划器。
在高级tcp/ip设置中-“NetBIOS”设置“禁用tcp/IP上的NetBIOS”。在高级选项中,使用“Internet连接防火墙”,这是windows 2003附带的防火墙。
2000系统没有的功能,虽然没有功能,但是可以屏蔽端口,基本达到了一个IPSec的功能。
修改3389远程连接端口
修改注册表。
开始-运行-注册表编辑
依次展开HKEY _ LOCAL _ MACHINE/SYSTEM/current CONTROL set/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
将右边的键值中的端口号更改为您想要使用的端口号。注意十进制(比如10000)。
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
将右边的键值中的端口号更改为您想要使用的端口号。注意十进制(比如10000)。
注意:不要忘记在WINDOWS2003附带的防火墙上连接10000端口。
修改完毕.重新启动服务器.设置生效.
二、用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间,
借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
7、不让系统显示上次登录的用户名
方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置
、磁盘权限
系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给Administrators 组和SYSTEM 的完全控制权限
另将\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。
删除c:\inetpub目录
、本地安全策略设置
开始菜单—管理工具—本地安全策略
A、本地策略——审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问失败
审核过程跟踪 无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
C、本地策略——安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
、禁用不必要的服务开始-运行-services.msc
TCP/IPNetBIOS Helper提供TCP/IP 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持而使用户能够共享
文件、打印和登录到网络
Server支持此计算机通过网络的文件、打印、和命名管道共享
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的NET SEND 和警报器服务消息
Distributed File System: 局域网管理共享文件,不需要可禁用
Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
Error reporting service:禁止发送错误报告