担心VPS不安全么 win2003安全策略设置攻略

本文介绍了担心VPS不安全么 win2003安全策略设置攻略，系统一管理理员账户最好少建，更改默许的管理员帐户名（Administrator）和描写，password最好认为合适而使用数码加体积写字母加数码的上档键组合，长度最好不少于14位。

一 设置和管理账户

1、系统一管理理员账户最好少建，更改默许的管理员帐户名（Administrator）和描写，password最好认为合适而使用数码加体积写字母加数码的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷坑帐号，为其设置最小的职权范围，而后轻易输入组合的最好不低于20位的password。

3、将Guest账户禁用并更改名字和描写，而后输入一个复杂的password，而后禁用。

4、着手-手续-管理工具-本地安全策略，挑选计算机配备布置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆失效”，“锁定时间为30分钟”，“复位锁定统计设为10分钟”。

5、在安全设置-本地策略-安全选项中将“不显露上次的用户名”设为开始使用。

6.本地策略-安全选项-对佚名连署的另外限止.挑选(不准许枚举SAM帐号和共享)

二 网络服务安全管理

1、严禁C$、D$、ADMIN$一类的缺省共享

敞开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右面的窗户中新建Dword值，名字设为AutoShareServer值设为0.注册表不成解.不要轻易更改.

2、去掉消除NetBios与TCP/IP协议的绑定右击网上邻舍-属性-右击本地连署-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3、关闭不必的服务，以下为提议选项

着手-全部手续-管理工具-服务

ComputerBrowser:保护网络计算机更新，禁用

DistributedFileSystem:局域网管理共享文件，不必禁用

Distributedlinktrackingclient：用于局域网更新连署信息，不必禁用

Errorreportingservice：严禁送出不正确报告陈述

MicrosoftSerch：供给迅速的单词搜索，不必可禁用

NTLMSecuritysupportprovide：telnet服务和MicrosoftSerch用的，不必禁用

PrintSpooler：假如没有打印机可禁用

RemoteRegistry：严禁长程改正注册表

RemoteDesktopHelpSessionManager：严禁长程辅佐

Messenger:信使服务(windows2000)

TaskScheduler:准许手续在指定时间运行(无须规划担任的工作就禁用掉)

TCP/IPNetBIOSHelperService:NetBIOS(Net变态)”服务以及NetBIOS名字解析的支持

注：新上架的服务器已经做过其它安全设置只开以下端口，需求开其它端口可以在。

右击网上邻舍-属性-Internet协议（TCP/IP）属性-高级-选项-TCP/IP用筛子选－属性-TCP端口－添加你想要开的端口.

默许开启的端口列表：

FTP:20.21

mail:25.110

Web:80

pcanywhere:5631

长程桌面儿：3389(3389不要关闭，否则将没有办法长程连署)

三 系统安全管理

1.对于系统的NTFS磁盘职权范围设置,C盘只给administrators和system职权范围，其它的职权范围不给，其它的盘也可以这么设置，这处给的system职权范围也不尽然需求给，只是因为某些第三方应用手续是以服务方式开始工作的，需求加上这个用户，否则导致开始工作不成。

2.Windows目次要加上给users的默许职权范围，否则ASP和ASPX等应用手续就没有办法运行。

3.额外在c:/DocumentsandSettings/这处相当关紧，后面的目次里的职权范围根本不会秉承以前的设置，假如仅只只是设置了C盘给administrators职权范围，而在AllUsers/ApplicationData目次下会显露出来everyone用户有绝对扼制职权范围，这么侵入国这可以跳转到这个目次，写入脚本代码或只文件，再接合其它破绽来提高职权范围.

4.net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe这些个文件都设置只准许administrators.system过访.guests严禁过访四敞开相应的审查核定策略着手-手续-管理工具-本地安全策略-安全设置-本地策略-审查核定策略

注:windows2003已经开启局部.windows2000没有开启.可以依据实际事情状况来设置.

引荐的要审查核定的项目是：

登录事情成功败绩

账户登录事情成功败绩

系统事情成功败绩

策略更改成功败绩

对象过访败绩

目次服务过访败绩

特别的权利运用败绩