说明:网上跟多关于win 2000 服务器系统的安全配置文章,但是都很零星,于是今天总结了一下,并且详细测试经过以下配置的机器,已经完全符合一个高安全级别网站的要求。希望对大家在服务器配置过程中有个引导作用。
一、 Windows 系统配置
1.将所有磁盘分区为NTFS分区
只安装TCP/IP协议
安装Service Pack 4
安装最新的hotfix(到2004年8月30日为止共有25个补丁)
2. 关闭所有不需要的服务
Alerter (disable)
ClipBook Server (disable)
Computer Browser (disable)
DHCP Client (disable)
License Logging Service (disable)
Messenger (disable)
Netlogon (disable)
Network DDE (disable)
Network DDE DSDM (disable)
Plug and Play (disable after all hardware configuration)
Remote Procedure Call (RPC) locater (disable)
Schedule (disable)
Server (disable)
Simple Services (disable)
Spooler (disable)
TCP/IP Netbios Helper (disable)
3.保护文件和目录
将C:\winnt, C:\winnt\config, C:\限做限制,限制everyone的写权限,限制winnt\system32, C:\winnt\system等目录的访问权,users组的读写权限。
4.注册表一些条目的安全修改
1) 隐藏上次登陆的用户名
将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中
DontDisplayLastUserName REG_SZ 值设为1
2)限制LSA匿名访问
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中
RestricAnonymous REG_DWORD 值设为1
3) 去除所有网络共享
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中
AutoShareServer REG_DWORD 值设为0
5. 移动部分重要文件并加访问控制:
创建一个只有系统管理员能够访问的目录,将system32目录下的一些重要文件移动到此目录
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe , telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,
at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe,
ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,
edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe
6. 使用Hisecweb.inf安全模板来配置
该模板配置基本的 Windows 2000 系统安全策略将该模板复制到 %windir%\security
\templates 目录。
打开“安全模板”工具,查看这些设置。
打开“安全配置和分析”工具,然后装载该模板。
右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即分析计算机”。
等候操作完成。
查看结果,如有必要就更新该模板。
右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即配置计算机”。
7.安全日志的设置:“审核策略更改”的9个项目,在“成功、失败”的选框上进行选择。
名称