Win2000/2003服务器安全设置步步通
Win2000/2003服务器安全设置步步通
1.帐号安全设置
(1) 将系统管理员帐号administrator 改名,并设置较复杂的密码(建议10位以上,其中包括
数字、字母、特殊字符等);
(2) 禁用guest帐号,并设置密码;
(3) 设置一个名为administrator 无任何权限的帐号,作为虚假帐号,并设置密码;
(4) 删除其他可疑和不必要的帐号;
(5) 进入“控制面板”->“管理工具”-> “本地安全策略”-> “本地选项”,将“对匿名连接的额外限制”设置为“不允许枚举SAM账号和共享”;
(6) 进入“控制面板”->“管理工具”-> “本地安全策略”-> “账户锁定策略”;
将“复位账户锁定计数器”设置为“20”
将“账户锁定时间”设置为“20”
将“账户锁定阀值”设置为“13”
(7) 进入注册表[HKEY_LOCAL_MACHINES\SYSTEM\CurentControlSet\control\Lsa]
将“Restrictanonymous”的值设置为“1”, 禁止空用户连接;
(8) 隐藏上次登陆控制台的用户名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Dont Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。
(9) 进入“控制面板”->“管理工具”-> “本地安全策略”-> “密码策略”;
将“密码必须符合复杂性要求”设置为“已启用”
将“密码长度最小值”设置为“10”
将“密码最长留存期”设置为“30”
将“密码最短留存期”设置为“0”
将“强制密码历史”设置为“5”
将“为域中所有用户使用可还原的加密来存储密码”设置为“不启用”
备注:密码策略启用后立即更改系统管理员密码,密码在30日内必须进行更改,更改时注意最近使用过的5个密码无效。密码应由大小写字母,数字,特殊符号组成,不符合要求的密码无效。
2.系统安全设置
(1) “控制面板”->“管理工具”-> “本地安全策略”->“用户权利指派”,双击“从网络访问此计算机”,取消可疑和不必要的用户的网络访问权利;
备注:一般只保留系统管理员帐号,也可以全部取消,有需要再添加。
(2) 进入“控制面板”->“管理工具”-> “本地安全策略”-> “审核策略”;
将“审核策略更改”选择为“成功”“失败”
将“审核登录时间”选择为“成功”“失败”
将“审核对象访问”选择为“失败”
将“审核过程追踪”选择为“无审核”
将“审核目录服务访问”选择为“失败”
将“审核特权使用”选择为“失败”
将“审核系统事件”选择为“成功”“失败”
将“审核账户登录事件”选择为“成功”“失败”
将“审核账户管理”选择为“成功”“失败”
备注:服务器日志在“控制面板”->“管理工具”->“事件查看器”中查看。
(3) 进入“控制面板”->“管理工具”->“服务”,停止并禁用“Telnet”、“Terminal Services”、“server”、“Task Scheduler”、“Remote Registry Service”五项服务;
这几项服务说明:
Telnet -> 允许远程用户登录到系统并且使用命令行运行控制台程序。
Terminal Services -> 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。
Server -> 提供 RPC 支持、文件、打印以及命名管道共享。
Task Scheduler -> 允许程序在指定时间运行。
Remote Registry Service ->允许远程注册表操作。
(4) 进入“本地连接属性”删除“网络文件和打印机共享服务”;
(5) 进入“本地连接属性”->“TCP/IP协议”->“高级”->“WINS”,选择“禁用TCP/IP上的NetBIOS”。
(6) 端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选;
注:附件中是做好的计费服务器端口安全策略
其他注意事项
1. 计费系统安装文件应备份到优盘或者移动硬盘,同店内网络物理隔绝;
2. 不要给店内客户机上安装数据库软件;
3. 不要在收银机上安装多于的服务,例如:Internet信息服务(IIS),如果店内需要架设网站或着FTP,使用其他服务器;
4. 经常升级收银机操作系统,获得最新安全补丁,定期扫描系统漏洞,查杀病毒木马。