服务器安全设置的规范.doc

服务器安全设置的规范
服务器安装
,主分区和逻辑分区格式都采用NTFS格式。windows2003操作系统系统分区不得低于60G,windows2008操作系统系统分区不得低于80G。
:
⑴系统盘及其他逻辑磁盘只给Administrators组和System账户完全控制权限:
Administrators
完全控制
该文件夹,子文件夹及文件
 
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
⑵系统盘\Inetpub\ 目录下所有目录、文件只给Administrtors和System账户完全控制权限:
Administrators
完全控制
该文件夹,子文件夹及文件
 
<继承于c:\>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承于c:\>
⑶C:\Documents and Settings目录只给Administrtors和System账户完全控制权限:
Administrators
完全控制
该文件夹,子文件夹及文件
 
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
⑷ C:\Documents and Settings\All Users目录只给Administrtors和System账户完全控制权限:
Administrators
完全控制
该文件夹,子文件夹及文件
 
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
其他权限部分:
Users
读取和运行
该文件夹,子文件夹及文件
<不是继承的>
USERS组的权限仅限制于读取和运行,绝对不能加上写入权限
账户安全设置
账户要尽可能少,并且要经常检查系统账户、账户权限及密码。删除已经不再使用的账户。
停用Guest账号,并给Guest 加一个复杂的密码。
把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。
不让系统显示上次登录的用户名,具体操作如下:
修改注册表“HKLM\Software\Microsoft\ WindowsNT\Current Version\Winlogon\Dont Display Last User Name”的键值,把REG_SZ 的键值改成1。
(5)应用密码策略,启用密码复杂性要求,设置密码长度最小值
。
本地安全策略设置
打开“本地安全策略”(开始菜单—>管理工具—>本地安全策略)
A、本地策略——>审核策略(可选用)
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名启用
网络访问:可匿名访问的共享全部删