(服务器安全配置.docxVIP

要求：1、配置一台堡垒主机；支持php、asp虚拟10个站的WEB的堡垒主机；就是说从新买来一台服务器，安装、配置、上架的过程。?一、安装系统，这里我选择的是windows?2000?server版，其实windows?2000是一个非常安全的一个操作系统，操作简单，而且Microsoft也对他这套系统很负责。安装时没什么特别的，也非常简单，其实我们只要注意以下几点就可以了。?1、安装时要采用NTFS格式的系统分区。NTFS格式分区的访问控制决不亚于*NIX系统，其实他的文件系统是按照UNIX而设计的，服务器上的 每个磁盘都应该采用。??2、在安装时一定要与公网断开、确保安装盘完好无损并可以信赖。?3、安装时只安装TCP/IP协议即可，同样安装时不安装任何程序及服务如图1所示，以最小化安装即可。为了安全，我们的服务器不加入域。?二、一般网上的教程常常说安装系统后就去“补丁铺”了，其实这样作是非常不安全的，这时系统的安全系数几乎为0，接入网络更新的时候很?有可能“中奖”，我们先打好系统底层基础安全。?1、开始运行输入“lusrmgr.msc”(引号不要以下相同)打开本地用户和组，在这里先建一个“Backup?Operators”组的用户，用来日常数据备份和维护工作，建立10个guests组的用户用来分配给那10个虚拟网站使用,如user1user10重命名管理员账号及来宾账号，并给予一个强壮的密码。?2、配置账户策略，打开“本地安全设置”。?密码策略：密码必须符合复杂性?已启用??密码长度最小值?13个字符（建议更高）??账户锁定策略设置：账户锁定阈值?3次?无效登录?账户锁定时间?30分钟?（可以根据需要更改）?如图2、3。3、配置日志审核。审核策略更改 成功+失败　　?　审核登录事件 成功+失败　　?　审核对象访问 失败　　?　审核目录服务访问 失败审核特权使用 失败审核账户管理 成功+失败　审核系统事件 成功+失败　　?　审核账户管理 成功+失败　如图4所示4、配置用户权利指派。 备份文件和目录 建议用管理员账号和刚建的那个Backup Operators组的那个账号。删除administrators组及其它组。本地登录 同上关闭系统 同上还原文件和目录 同上管理审核和安全日志 管理员账户配置单一进程 管理员账户取得文件或对象的所有权 管理员账户 从远端系统强制关机 无更改系统时间 无?装载卸载设备驱动程序 管理员账户磁盘配额 管理员账户根据你的须要添加，不授予其它组任何权限，除了你有别的特殊要求。三、停用系统提供不必要的服务。开始运行输入services.msc打开系统服务控制台。启用不必要的服务会给服务器带来一定的安全隐患，而且也会占用系统一部分资源。一般系统只运行以下服务即可，如果特别须要可视情况而定。 Event Log? 事件查看器 IIS Admin Service? 管理 Web 服务 Logical Disk Manager 磁盘管理 Plug and Play? 管理即插即用硬件设备 Protected Storage? 提供对敏感数据的保护性存储 Remote Procedure Call (RPC)? 系统进程调用 Security Accounts Manager存储本地用户帐户的安全信息 Windows Management Instrumentation? 提供系统管理信息 World Wide Web Publishing Service? 提供 Web 连接和管理?四、网络连接的安全配置1、在桌面的“网上邻居”上右键“属性”，找到“本地连接”右键“属性”如图5。我们只保留“internet 协议（TCP/IP）”，其它的对于我们这样的服务器没有用途而且还会带来安全隐患。[page_break]2、“internet 协议（TCP/IP）--属性--高级—WINS”选项卡，选择禁用TCP/IP上的NetBLOS(S)如图63、选择“选项TCP/IP筛选属性”，如果只提供WEB服务可只允许80端口的TCP数据通过，如果是多个WEB而用端口区分那就可视情况而定了。如图7所示。五、设定访问控制及文件权限 将所有的分区都改成NTFS格式，如果硬盘无数据可以在本地盘符上“右键格式化”在“文件系统(F)”选择NTFS。否则使用命令:convert d:/fs:ntfs，此时须要重新启动。取消默认的“Everyone”组对所有磁盘的完全控制权限，否则如果黑客传上来一个WEBSHELL就可以对服务器恶意破坏。打开“我的电脑”右键本地磁盘“属性”在安全选项中“EverOne” 删除，添加管理员名账号并设置完全控制，添加Backup Operators组刚才新建的那个用户，用来日常维护，而系统盘要