win2003サーバのセキュリティポリシーを専門家が共有する

win2003システムでは、比較的高いセキュリティ性能を備えた比較的安定したシステムですが、win2003サーバのセキュリティ問題に対してさまざまな操作がありますので、ここでエキスパートの統合を行います。最も詳細なサーバーセキュリティ戦略を統合して、全員と共有できます。

戦略1：Windows用の不要なサービスをオフにする2003

·コンピュータのブラウザネットワーク上のコンピュータの最新リストを管理し、このリストを提供する

·タスクスケジューラでプログラムを指定できますTime Run

·ルーティングとリモートアクセスLANおよびWAN環境の企業向けのルーティングサービス

·リムーバブルストレージリムーバブルメディア、ドライバ、ライブラリの管理

·リモートレジストリサービスリモートレジストリ操作を許可

· PRintスプーラファイルを後で印刷するためにメモリにロードします。

· ipsec policy agent ipセキュリティポリシーを管理し、isakmp /oakleyike）とip security driverを起動します。

·分散リンク追跡クライアントファイルがネットワークドメインのntfsボリュームに移動したときに通知を送信する

· com + eventシステムcomコンポーネントを購読するためのイベントの自動公開を提供します。

· alerter選択したユーザーに通知し、コンピュータ管理の警告を発します。

·エラー報告サービス例外のアプリケーションをマイクロソフトに送信、保存、および報告する

·メッセンジャーによるクライアントとサーバー間のネット送信および警告サービスメッセージの転送

· telnetにより、リモートユーザーはこのコンピュータにログインできます。プログラムを実行します。

戦略2：ディスクのアクセス権の設定

cドライブは管理者とシステムのアクセス権を与えるだけです。他のアクセス権は与えられていません。サードパーティ製のアプリケーションの中にはサービスとして起動されているものもあり、このユーザーを追加する必要があるという理由だけで、指定する必要があります。そうしないと起動しません。

windowsディレクトリは、ユーザーのデフォルトのアクセス許可に追加する必要があります。そうしないと、aspやaspxなどのアプリケーションが実行されません。

戦略3：Windowsシステムが空の接続を確立しないようにする

レジストリで対応するキーの値hkey_local_machine /system /currentcontrolset /control /lsaを見つけ、dWordの値を1に変更します。

戦略4：不要なポートを無効にする

ローカル接続 - プロパティ - インターネットプロトコル（tcp /ip） - 詳細設定 - オプション - tcp /ipフィルタ - プロパティ - - フックを掛けて、必要なポートを追加してください。 （例：3389、21、1433、3306、80）

リモート接続ポートの方法を変更する

[スタート] - > [ファイル名を指定して実行] - > Enter regedit

3389を検索：

次の手順で検索してください。

1、hkey_local_machinesystemcurrentcontrolsetcontrol portwumber = 3389の下のserverwds dpwd ds cpをBaoyiのポート番号に変更しました。

2、hkey_local_machinesystemcurrentcontrolset control erminal portnumber = 3389の下のServerwinstations dp-tcpが、Baoyiのポート番号に変更されました。

必要な番号（33進数）を3389に変更します----二重16進数（システムは自動的に変換します） ）----ついに！これで大丈夫です。

3389ポートは変更されましたが、ホストは再起動する必要があるため、3389ポートは正常に変更されたと見なされます！3389を再起動しない場合、

は変更されません。新しいポートで入力することができます！

TCP /IPでNetBIOSを無効にする

ローカル接続 - 属性 - インターネットプロトコル（TCP /IP） - 詳細 - 勝利 - 無効tcp /ipでのNetBIOS

ポリシー5：デフォルトの共有で空の接続を無効にする

まず、次の内容のバッチファイルを作成します。

@echo off

ネットシェアc $ /削除

ネットシェアd $ /削除

ネットシェアe $ /削除

ネットシェアf $ /削除

net共有admin $ /delete

上記のファイルの内容は、必要に応じて変更できます。 delshare.batとして保存し、システムフォルダの下のsystem32grouppolicyuserscriptslogonディレクトリに保存します。次に、[スタート]メニューに「gpedit.msc」と入力し、[ファイル名を指定して実行]をクリックします。

Enterキーを押して、グループポリシーエディタを開きます。 [ユーザーの構成]→[Windowsの設定]→[スクリプト]（ログイン/ログアウト）→[ログイン]の順にクリックします。

表示される[ログインのプロパティ]ウィンドウで[ログインの追加]をクリックすると、[スクリプトの追加]が表示されます。 'ダイアログボックスで、ウィンドウの[スクリプト名]列にdelshare.batと入力し、[OK]ボタンをクリックします。

コンピュータシステムを再起動すると、システムのすべての隠し共有フォルダが自動的にキャンセルされるため、システムのセキュリティ上のリスクを最小限に抑えることができます。

戦略6：iisセキュリティ設定

1.デフォルトのWebサイトを使用しない場合は、iisディレクトリをシステムディスクから切り離します。

2、デフォルトでiisによって作成されたinetpubディレクトリ（インストールシステムのディスク上）を削除します。

3、システムディスクの下の仮想ディレクトリを削除します（_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc）。

4.不要なiis拡張マッピングを削除します。

[既定のWebサイト]、[プロパティ]、[ホームディレクトリ]、[設定]の順に右クリックし、アプリケーションウィンドウを開き、不要なアプリケーションマッピングを削除します。主に.shtml、shtm、stm。

5、IISログのパスを変更します。

[既定のWebサイト]を右クリックし、[プロパティ] - [Webサイト]の順にクリックします。戦略7：登録テーブル関連のセキュリティ設定

1.重要なファイル/ディレクトリを非表示にする

「checkvalue」を右クリックして、「変更」を選択して値を1から1に変更します。 0

2、synフラッド攻撃を防ぐ

hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

synattackprotectという名前の新しいDWORD値2

3、応答icmpルート通知を禁止するメッセージ

hkey_local_machinesystem currentcontrolset services cpipparametersinterfacesinterface

performrouterdiscoveryという名前の新しいDWORD値を0の値で作成します。

4、icmpリダイレクトメッセージ攻撃を防ぐために

hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

enableicmpredirectsの値を0に設定してください。 >

hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

値0を持つigmplevelという名前の新しいDWORD値を作成します。

win2003は比較的成熟したシステムであるため、多くのハッカーやトロイの木馬が長い間それを調査してきましたが、外部の不安定な勢力の包囲を防ぐために、win2003サーバーのセキュリティを設定する必要があります。もっと厳密に言うと、これらの紹介が皆さんに役立つことを願っています。