发布时间 : 星期三 文章win2003安全策略更新完毕开始阅读
将%SystemRoot%\\Security下所有的.log文件移到这个新建的子文件夹中.
在%SystemRoot%\\Security\\database\\下找到\安全数据库并将其改名,如改为\
启动\安全配置和分析\管理单元:\开始\运行\启动管理控制台,\添加/删除管理单元\将\安全配置和分析\管理单元添加上.
右击\安全配置和分析\打开数据库\浏览\文件夹,输入文件名\单击\打开\
当系统提示输入一个模板时,选择\单击\打开\
如果系统提示\拒绝访问数据库\不管他.
你会发现在\子文件夹中重新生成了新的安全数据库,在\子文件夹下重新生成了log文件.安全数据库重建成功.
win 2003 server的一些优化设置 1.禁用配置服务器向导: 禁止“配置你的服务器”(Manage Your Server)向导的出现:在控制面板(Control Panel) -> 管理员工具 (Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“登录时不要显示该页”(Don't display this page at logon)。
2.启用硬件和DirectX加速 ★硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级(Advanced )--疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保存退出。这期间可能出现一瞬的黑屏是完全正常。★DirectX加速:打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct 3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。
3. 启用声卡:
系统安装后,声卡是禁止状态,所以要在 控制面板 -> 声音 -> 启用,重启之后再设置它在任务栏显示。
如果你使用的是Windows server 2003标准版请从第二步xx作,因为标准版已允许声音服务。 ★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“Windows Audio”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK) ★打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具” (DirectX Tools),在“Sound”(Display)页面,把“声音的硬件加速级别” (Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。
4. 如何启用 ASP 支持:
Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6,还需要单独开启对于 ASP 的支持。方法是: 控制面板 -> 管理工具 -> Web服务扩展 -> Active Server Pages -> 允许。
5. 如何启用 XP 的桌面主题: ★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,选themes“ 主题”(默认是禁止的),然后改为“自动”,按“应用”,选“开启”。 ★接着点“桌面”的属性,在“主题”里选“windows xp”
★我的电脑----属性----高级----性能-----在桌面上为图标标签使用阴影 6. 禁止关机时出现的关机理由选择项:
关机事件跟踪(Shutdown Event Tracker)也是Windows server 2003区别于其他工作站系统的一个设置,对于服务器来说这是一个必要的选择,但是对于工作站系统却没什么用,我们同样可以 禁止它。 打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrativ e Templates ) -> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框
中选择“禁止” (Disabled),点击然后“确定”(OK)保存后退出,这样,你将看到类似于windows 2000的关机窗口
7. 如何使用USB硬盘、U盘,添加已经有分区的硬盘
我的电脑(单击右键)----管理----磁盘管理-----在相应的硬盘上执行导入和分配盘符操作 8. 在控制面板里显示全部组件:
把 Windows\\inf 目录中的 sysoc.inf 文件里的 \替换掉。
9.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现在IE工具选项中自定义设置IE的安全级别。在”安全“(Security)选项卡上拉动滚动条把Internet区域安全设置为”中“(Medium)或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用”。
10. 禁用开机 CTRL+ALT+DEL和实现自动登陆
★方法1:打开注册表(运行->“Regedit”),再打开:
HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段, 在此段中按右键,新建二个字符串段,AutoAdminLogon=“1”,DefaultPassword=“为超级用户Administrator所设置的Password”。
注意,一定要为Administrator设置一个密码,否则不能实现自启动。 然后,重新启动 Windows即可实现自动登录。
★方法2:管理工具 -> Local Security Settings(本地安全策略) -> 本地策略 -> 安全选项 ->
interactive logon: Do not require CTRL+ALT+DEL,启用之。 ★方法3(自动登陆):使用Windows XP的Tweak UI来实现Server 2003自动登陆。 下载:Tweak UI http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe
下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名(如果没有就不写),点击下面的Set Password,输入用户名的密码 ,然后点击OK。
2003服务器安全设置教程(全)
2003服务器安全设置教程(全) 一、硬盘分区与操作系统的安装
1. 硬盘分区
总的来讲在硬盘分区上面没什么值得深入剖析的地方,无非就是一个在分区前做好规划知道要去放些什么东西, 如果实在不知道。那就只一个硬盘只分一个区,分区要一次性完成,不要先分成FAT32再转成NTFS。一次性分成 NTFS格式,以我个人习惯,系统盘一般给12G。建议使用光盘启动完成分区过程,不要加载硬盘软件。
2. 系统安装
以下内容均以2003为例
安装过程也没什么多讲的,安装系统是一个以个人性格为参数的活动,我建议在安装路径上保持默认路径,好多文章上写什么安装路径要改成什么呀什么的,这是没必要的。路径保存在注册表里,怎么改都没用。在安装过程中就要选定你需要的服务,如一些DNS、DHCP没特别需要也就不要装了。在安装过程中网卡属性中可以只保留TCP/IP 这一项,同时禁用NETBOIS。安装完成后如果带宽条件允许可用系统自带在线升级。
二、系统权限与安全配置
前面讲的都是屁话,润润笔而已。(俺也文人一次) 话锋一转就到了系统权限设置与安全配置的实际操作阶段
系统设置网上有一句话是\最小的权限+最少的服务=最大的安全\。此句基本上是个人都看过,但我好像没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!
2.1 最小的权限如何实现?
NTFS系统权限设置
在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户,进入系统盘:权限如下
? ?
C:\\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改
其它目录删除Everyone用户,切记C:\\Documents and Settings下All Users\\Default User目录及其子目录 如C:\\Documents and Settings\\All Users\\Application Data 目录默认配置保留了Everyone用户权限
C:\\WINDOWS 目录下面的权限也得注意,如 C:\\WINDOWS\\PCHealth、C:\\windows\\Installer也是保留了Everyone权限.
? ? ?
删除C:\\WINDOWS\\Web\\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击 默认IIS错误页面已基本上没多少人使用了。建议删除C:\\WINDOWS\\Help\\iisHelp目录
删除C:\\WINDOWS\\system32\\inetsrv\\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
?
打开C:\\Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com; regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
关闭445端口
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\netBT\\Parameters 新建 \值\值名为 \数据为默认值\
禁止建立空连接
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa 新建 \值\值名为 \数据值为\默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters 新建 \值\值名为 \数据值为\
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters 新建 \值\值名为 \数据值为\
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters 新建 \值\值名为 \数据值为\
禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。
关闭华医生Dr.Watson
在开始-运行中输入\,或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统里的华医生Dr.Watson ,只保留\转储全部线程上下文\选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
本地安全策略配置
开始 > 程序 > 管理工具 > 本地安全策略
? ? ? ? ?
账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步] 账户策略 > 账户锁定策略 >账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置] 本地策略 > 审核策略 > 账户管理 成功 失败 登录事件 成功 失败