我们所用的办事器大年夜多是windows平台的windows server 2000与windows server 2003 windows ，server2003是今朝最为成熟的收集办事器平台，安然性相对windows 2000有大年夜大年夜的进步,可是2003与2000默许的安然建设不必然合适我们的需要，所以，我们要按照实际环境来对win2003与 win2000进行周全安然建设。安然建设是一项比较有难度的收集手艺，权限建设的太严格，良多多少法度又运行不起，权限建设的太松，又很等闲被黑客进侵，做为治理员，要连络我们真实利用的环境与所利用的法度来设置响应安然的策略，确保办事器永久安然运行。

　　★以下是对我们此刻办事器环境所做出的一些安然策略：

　　1、windows系统帐号

　　1.将administrator改名,如改成别号，如：boco_ofm;或取中文名(如许可觉得黑客报复打击增加一层障碍)

　　2.将guest改名为administrator作为圈套帐户，并且设置一个个高强度的暗码，或直接禁用;(有的黑客东西恰是操纵了guest 的弱点，可以将帐号从一般用户晋升到治理员组。)

　　3.除治理员帐户、和办事必需要用到的用户外，禁用或删除其他一切用户。

　　(1)网站帐号一般只用来做系统保护，多余的帐号一个也不要，因为多一个帐号就会多 一份被攻破的危险。

　　(2)除过Administrator外，有需要再增加一个属于治理员组的帐号;(两个治理员组的帐号，一方面避免治理员一旦健忘一个帐号的口令还有一个备用帐 号;另方面，一旦黑客攻破一个帐号并更改口令，我们还有机缘从头在短时候内获得节制权。)

　　(3)给所有效户帐号一个复杂的口令(系统帐号出外)，长度起码在8位以上， 且必需同 时包含字母、数字、特别字符。同时不要利用大年夜家熟谙的单词(如boco)、熟谙的键盘顺 序(如qwert)、熟谙的数字(如2008)等。(口令是黑客报复打击的重点，口令一旦被冲破也就无任何系统安然可言了,经由过程在收集上查资料显示，仅字母加数字的5位口令在几分钟内就会被攻破)

　　2、暗码与用户策略

　　1.开启暗码策略

　　寄望利用暗码策略，启用暗码复杂性要求，设置暗码长度最小值为8位 ，设置强迫暗码汗青为5次，时候为31天。

　　2.开启用户策略

　　利用用户策略，别离设置复位用户锁定计数器时候为30分钟，用户锁按时候为30分钟，用户锁定阈值为3次。

　　3、Windows防火墙

　　Windows 2000默许不带防火墙，需要我们本身安装一个安然的软件防火墙;

　　1.开启前要先看看3389端口有没有加到例外里往，因为我们的办事器都放在机房，保护人员一般都是在长途保护，没有的话勾上“长途桌面”，然后再开启。

　　2.在例外中加进80、1433、21端口，总之，要甚么端辩才添加甚么端口，不要的端口一概不加。(也能够：windows防火墙“高级”本地连接“设置”办事，勾上所要办事，如：长途桌面、http、ftp、smtp)。

　　3.承诺ping办事器：windows防火墙—高级—本地连接“设置”ICMP，勾上第一个：承诺传进响应要求。

　　4.在防火墙策略中在添加一个承诺长途桌面的的IP地址经由过程。

　　4、本地策略

　　1.本地策略——>安然选项

　　交互式登岸：不显示前次的用户名 启用

　　收集拜候：不承诺SAM帐户和共享的匿名列举　 启用

　　收集拜候：不承诺为收集身份验证储存凭证 启用

　　收集拜候：可匿名拜候的共享　全数删除

　　收集拜候：可匿名拜候的定名管道　全数删除

　　收集拜候：可长途拜候的注册表路径全数删除

　　收集拜候：可长途拜候的注册表路径和子路径全数删除

　　收集拜候：限制匿名拜候定名管道和共享

　　2.本地策略——>审核策略

　　审核策略更改　成功　掉败

　　审核登录事务　成功　掉败

　　审查对象拜候　 　掉败

　　审核过程跟踪　无审核

　　审核目次办事拜候掉败

　　审核特权利用掉败

　　审核系统事务　成功　掉败

　　审核账户登录事务　成功　掉败

　　审核账户治理　成功　掉败

　　3.本地策略——>用户权限分派

　　封锁系统：只有Administrators组、其它全数删除。

　　从收集拜候些计较机：只有系统治理员与指定帐号。

　　4.利用NTFS格局分区

　　把办事器的所有分区都改成NTFS格局。NTFS文件系统要比FAT,FAT32的文件系统安然良多。

　　5.设置屏幕呵护暗码

　　很简单也很有需要，设置屏幕呵护暗码也是避免内部人员粉碎办事器的一个樊篱。寄望不要利用一些复杂的屏幕呵护法度，华侈系统资本，让他黑屏便可以了。所有系统用户所利用的机械最好也加上屏幕呵护暗码。

　　6.把共享文件的权限从”everyone”组改成“授权用户”

　　“everyone” 在win2000与win3003中意味着任何有权进进你的收集的用户都可以或许获得这些共享资料。任甚么时辰候都不要把共享文件的用户设置成”everyone”组。包含打印共享，默许的属性就是”everyone”组的。

　　7.保障备份盘的安然

　　一旦系统资料被粉碎，备份盘将是恢复资料的独一路子。备份完资料后，把备份放在安然的处所。千万别把资料备份在统一台办事器上，我们在3001房间已摆设了备份办事器。

　　5、封锁无用的办事

　　1.我们一般封锁以下办事：

　　Computer Browser (浏览器更新)

　　Help and Support (计较机帮忙)

　　Messenger (客户端与办事器之间的netsend和alerter办事动静)

　　Print Spooler (内存中便迟打印)

　　Remote Registry (长途用户点窜注册表)

　　TCP/IP NetBIOS Helper (netbios名称解析)

　　Workstation (成立和保护长途计较机的客户端收集连接)

　　Telnet (承诺长途用户登录到些计较机)

　　把不需要的办事都避免掉落，虽然这些不必然能被报复打击者操纵得上，可是遵循安然法则和尺度上来讲，多余的东西就没需要开启，削减一份隐患。

　　2.在"收集连接"里，把不需要的和谈和办事都删掉落，只保留根基的Internet和谈(TCP/IP)，在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。

　　3.禁用空会话

　　查抄是不是禁用了空会话，避免与办事器成立匿名(不进行身份验证的)会话。要进行查抄，请运行 Regedt32.exe，确认“RestrictAnonymous”项已设置为 1，以下所示。

　　HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

　　4.要审查共享和相干的权限，运行“计较机治理”MMC 治理单位，然后选择“共享文件夹”下的“共享”。查抄所有共享是不是是需要的共享。删除所有不需要的共享。

　　删除默许共享bat脚本：

　　Net share /delete C$

　　Net share /delete D$

　　Net share /delete E$

　　Net share /delete IPC$

　　Net share /delete ADMIN$

　　或经由过程点窜注册表的编制打消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改成0便可

　　5.不要在办事器上安装与利用法度无关的利用。

　　6. IIS：IIS是微软的组件中缝隙最多的一个，平均两三个月就要出一个缝隙，微软的IIS默许安装的建设是重点，我们此刻用IIS办事的就公司一些网站。

　　起首，把C盘阿谁甚么Inetpub目次完全删掉落，在D盘建一个Inetpub(如果你不安心用默许目次名也能够改一个名字，可是本身要记得)在IIS治理器中将主目次指向D:\Inetpub;

　　其次，IIS安装时默许虚拟目次一概删除，当然已把Inetpub从系统盘挪出来了，可是仍是谨慎，假定需要甚么权限的目次可以本身渐渐建，需要甚么权限开甚么.(寄望写权限和履行法度的权限)

　　6、点窜端标语

　　1. 更改长途桌面端口

　　顺次展开

　　HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

　　右边键值中 PortNumber 改成想用的端标语.利用十进制(例 40228 )

　　HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

　　WINSTATIONS/RDP-TCP/

　　右边键值中 PortNumber 改成你想用的端标语.寄望利用十进制(例 40228 )

　　寄望：在WINDOWS2003自带的防火墙给+上40228端口

　　点窜终了.从头启动办事器.设置生效.

　　2.一般禁用以下端口

　　135 138 139 443 445 4000 4899 7626

　　3.更改TTL值

　　黑客可以按照ping回的TTL值来大年夜致鉴定你的把持系统，如：

　　TTL=107(WINNT);

　　TTL=108(win2000);

　　TTL=127或128( xp);

　　TTL=240或241(linux);

　　TTL=252(solaris);

　　TTL=240(Irix);

　　更改端标语：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默许值128)改成一个莫名其妙的数字如258，悟道一般的黑客侵进。

　　★ 以下是办事器平常保护策略：

　　1. 系统帐号暗码一个月改换一次知足复杂性;

　　2. 每礼拜清理一次系统日记文件，并查看作记实;

　　3. 每半个月周全杀毒一次，杀毒软件打开主动更新并半个月手动更新一次;

　　4. 系统更新设置为主动，并半个月查抄更新一次;

　　5. 办事器硬件状况每个月查抄一次，CPU、内存、硬盘利用率每个月做一次统计;

　　6. 安装补丁、安装杀毒软件。