Web Server 2008 R2服務(wù)器簡單安全設(shè)置

1、新做系統(tǒng)一定要先打上已知補(bǔ)丁，以后也要及時(shí)關(guān)注微軟的漏洞報(bào)告。

2、所有盤符根目錄只給system和Administrator的權(quán)限，其他的刪除。

3、將所有磁盤格式轉(zhuǎn)換為NTFS格式。

命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統(tǒng)。

4、開 啟 Windows Web Server 2008 R2自帶的高級防火墻。默認(rèn)情況下已經(jīng)開啟。

5、安裝必要的殺毒軟件如mcafee，安裝一款 ARP防火墻，安天ARP好像不錯。

6、設(shè)置屏幕屏保護(hù)。

7、關(guān)閉光盤和磁盤的自動播放功能。

8、刪除系統(tǒng)默認(rèn)共享。

命令：net share c$/del這種方式下次啟動后還是會出現(xiàn)，不徹底。也可以做成一個批處理文件，然后設(shè)置開機(jī)自動執(zhí)動這個批處理。但是還是推薦下面的方法，直修改注冊表的方法。

HKEY_LOCAL_MACHINESYS TEM Current Control SetSer

vicesLanmanserverparameters下面新建AutoShareServer,值為 0。重啟一下，測試。已經(jīng)永久生效了。

9、重命 Administrator和 Guest帳戶,密碼必須復(fù)雜。GUEST用戶我們可以復(fù)制一段文本作為密碼，你說這個密碼誰能破...也只有自己了...

重命名管理員用戶組Administrators。

10、創(chuàng)建一個陷阱用戶Administrator，權(quán)限最低。

上面二步重命名最好放在安裝IIS和SQL之前做好。

11、本地策略->審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對象訪問 失敗

審核過程跟蹤 無審核

審核目錄服務(wù)訪問 失敗

審核特權(quán)使用 失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

12、本地策略->用戶權(quán)限分配

關(guān)閉系統(tǒng)：只有Administrators組、其它的全部刪除。

管理模板->系統(tǒng) 顯示“關(guān)閉事件跟蹤程序”更改為已禁用。這個看大家喜歡。

13、本地策略->安全選項(xiàng)

交互式登陸：不顯示最后的用戶名 啟用

網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉 啟用

網(wǎng)絡(luò)訪問:不允許存儲網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports啟用

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑 全部刪除

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑 全部刪除

14、禁止 dump file的產(chǎn)生。

系統(tǒng)屬性-高級-啟動和故障恢復(fù)把寫入調(diào)試信息改成“無”。

15、禁用不必要的服務(wù)。

TCP/IP NetBIOS Helper

Server

Distributed Link Tracking Client Print Spooler

Remote Registry

Workstation

16、站點(diǎn)方件夾安全屬性設(shè)置

刪除C:inetpub目錄。刪不了，不研究了。把權(quán)限最低...禁用或刪除默認(rèn)站點(diǎn)。我這里不刪除了。停止即可。一般給站點(diǎn)目錄權(quán)限為：

System完全控制

Administrator完全控制

Users讀

IIS_Iusrs讀、寫

在IIS7中刪除不常用的映射建立站點(diǎn)試一下。一定要選到程序所在的目錄，假如這里是www.aaaa.com目錄，如果只選擇到wwwroot目錄的話，站點(diǎn)就變成子目錄或虛擬目錄安裝了，比較麻煩。所以一定要選擇站點(diǎn)文件所在的目錄，填上主機(jī)頭。因?yàn)槲覀兪窃谔摂M機(jī)上測試，所以對hosts文件修改一下，模擬用域名訪問。真實(shí)環(huán)境中，不需要修改hosts文件，直接解釋域名到主機(jī)就行。目錄權(quán)限不夠，這個下個教程繼續(xù)說明。至少，我們的頁面已經(jīng)正常了。

17、禁用 IPV6?？床僮?。

OVER!重啟下服務(wù)器吧。