服务器安全设置规范

本文格式为Word版，下载可任意编辑——服务器安全设置规范服务器安好设置模范之相关制度和职责，服务器安装1.安装系统最少需要两个规律分区,主分区和规律分区格式都采用NTFS格式。windows2022操作系统系统分区不得低于60G,windows2022操作系统系统分区不得低于80G。2.硬盘及文件夹权限:...

服务器安装1.安装系统最少需要两个规律分区,主分区和规律分区格式都采用NTFS格式。windows2022操作系统系统分区不得低于60G,windows2022操作系统系统分区不得低于80G。

2.硬盘及文件夹权限:

⑴系统盘及其他规律磁盘只给Administrators组和System账户完全操纵权限:

Administrators

完全操纵

该文件夹,子文件夹及文件

SYSTEM

完全操纵

该文件夹,子文件夹及文件

⑵系统盘/Inetpub/目次下全体目次、文件只给Administrtors和System账户完全操纵权限:

Administrators

完全操纵

该文件夹,子文件夹及文件

SYSTEM

完全操纵

该文件夹,子文件夹及文件

⑶C:/DocumentsandSettings目次只给Administrtors和System账户完全操纵权限:

Administrators

完全操纵

该文件夹,子文件夹及文件

SYSTEM

完全操纵

该文件夹,子文件夹及文件

⑷C:/DocumentsandSettings/AllUsers目次只给Administrtors和System账户完全操纵权限:

Administrators

完全操纵

该文件夹,子文件夹及文件

SYSTEM

完全操纵

该文件夹,子文件夹及文件

其他权限片面:

Users

读取和运行

该文件夹,子文件夹及文件

USERS组的权限仅限制于读取和运行,十足不能加上写入权限

账户安好设置账户要尽可能少,并且要经常检查系统账户、账户权限及密码。删除已经不再使用的账户。停用Guest账号,并给Guest加一个繁杂的密码。把系统Administrator账号改名,尽量把它伪装成普遍用户,名称不要带有Admin字样。不让系统显示上次登录的用户名,概括操作如下:修改注册表“HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/DontDisplayLastUserName”的键值,把REG_SZ的键值改成1。

(5)应用密码策略,启用密码繁杂性要求,设置密码长度最小值。

本地安好策略设置开启“本地安好策略”(开头菜单—>管理工具—>本地安好策略)

A、本地策略——>审核策略(可选用)

审核系统登陆事情告成,失败

审核帐户管理告成,失败

审核登陆事情告成,失败

审核对象访问告成

审核策略更改告成,失败

审核特权使用告成,失败

审核系统事情告成,失败

B、本地策略——>用户权限调配

关闭系统:只有Administrators组、其它全部删除。

通过终端服务拒绝登陆:参与Guests、Users组

通过终端服务允许登陆:只参与Administrators组,其他全部删除

C、本地策略——>安好选项

交互式登陆:不显示上次的用户名启用

网络访问:可匿名访问的共享全部删除

网络访问:可匿名访问的命名管道全部删除

网络访问:可远程访问的注册表路径全部删除

网络访问:可远程访问的注册表路径和子路径全部删除

系统防火墙设置:开启系统防火墙功能,添加业务系统相关端口访问权限。修改系统默认远程桌面端口号3389为其他端口,并在防火墙允许通过(如不修改的话,务必将3389映射到外网的其他端口,不允许外网通过3389来远程服务器)7.操作系统安装完成,不要立刻把服务器接入网络,由于这时的服务器还没有打上各种补丁,存在各种漏洞,分外轻易感染病毒和被入侵。补丁的安装理应在全体应用程序安装完之后(概括依次如:IIS、.Net环境、数据库、应用系统),由于补丁程序往往要替换或修改某些系统文件,假设先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。在安装补丁时有些补丁不要盲目安装例如.Net的相关补丁尽量不要安装。

8.操作系统除安装以下工具软件:Office办公软件、解压缩软件、杀毒软件之外,遏止安装、迅雷等与使用此系统无关的软件,工具软件中对操作系统自动更新的功能需要关闭。

9.规划好各规律分区的功能分类,如:应用程序办公软件、数据库安装文件、.NET安装文件、补丁文件等。统一存放到命名为tools的文件夹中。

10.操作系统桌面上遏止存放程序安装包、程序升级脚本以及其他文件,可在规划的非系统分区建立文件夹并快键方式到桌面存储此类文件。

数据库设置1.各版本Sql数据库服务器务必安装相应的servicepack。

2.遏止Mssql数据库sa帐号的密码设置为空。保证sa的密码足够繁杂。

3.尽量每个数据库使用一个帐号和密码,譬如建立了一个数据库,只给PUBLIC和DB_OWNER权限,不使用sa帐号。

4.数据库访问端口1433如需外网访问,务必将1