加固Wind2003平台的WEB服务器

　安装操作系统，在安装前先要先去调整服务器的BIOS设置，关闭不需要的I/O，这样节省资源又可以避免一些硬件驱动问题。务必断开服务器与网络的连接，在系统没有完成安全配置前不要将它接入网络。在安装过程中如果网卡是PNP类型的，那么应当为其网络属性只配置允许使用TCP/IP协议，并关闭在 TCP/IP上的NETBIOS，为了提供更安全的保证，应该启用TCP/IP筛选，并不开放任何TCP端口。完成操作系统的安装后，首次启动 W2K3SP1，会弹出安全警告界面，主要是让你立刻在线升级系统更新补丁，并配置自动更新功能，这个人性化的功能是W2K3SP1所独有的，在没有关闭这个警告窗口前，系统是一个安全运行的状态，这时我们应当尽快完成系统的在线更新。

　　修改Administrator和Guest这两个账号的密码使其口令变的复杂，并通过组策略工具为这两个敏感账号更名。修改位置在组策略中Computer Configuration-Windows Settings-Security Setting-Local Policies-Security Options下，这样做可以避免入侵者马上发动对此账号的密码穷举攻击。

　　服务器通常都是通过远程进行管理的，所以我使用系统自带的组件 “远程桌面”来对系统进行远程管理。之所以选择它，因为它是系统自带的组件缺省安装只需要去启用它就可以使用，支持驱动器映射、剪切板映射等应用，并且只要客户端是WindowsXP PRO都会自带连接组件非常方便，最主要还有一点它是免费的。当然第三方优秀的软件也有如:PCAnyWhere，使用它可以解决Remote Desktop无法在本地环境模式下工作的缺点。为了防止入侵者轻易地发现此服务并使用穷举攻击手段，可以修改远程桌面的监听端口:

1. 运行 Regedt32 并转到此项:

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

　　注意:上面的注册表项是一个路径;它已换行以便于阅读。

　　2. 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。

　　要更改终端服务器上某个特定连接的端口，请按照下列步骤操作: 运行 Regedt32 并转到此项:

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection

　　注意:上面的注册表项是一个路径;它已换行以便于阅读。

　　3. 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。

　　注意:由于在终端服务器 4.0 版中尚未完全实现备用端口功能，因此只是“在合理的限度内尽量”提供支持，如果出现任何问题，Microsoft 可能要求您将端口重设为 3389。

　　原文来源:微软知识库KB187623。当然为了达到更加安全的访问，还可以采用IPSec来保护远程桌面的连接访问。

　　禁用不必要的服务不但可以降低服务器的资源占用减轻负担，而且可以增强安全性。下面列出了可以禁用的服务:

　　Application Experience Lookup Service

　　Automatic Updates

　　BITS

　　Computer Browser

　　DHCP Client

　　Error Reporting Service

　　Help and Support

　　Network Location Awareness

　　Print Spooler

　　Remote Registry

　　Secondary Logon

　　Server

　　Smartcard

　　TCP/IP NetBIOS Helper

　　Workstation

　　Windows Audio

　　Windows Time

　　Wireless Configuration

上一页  [1] [2] [3] 下一页