Windows Server 2003是目前成熟的網(wǎng)絡(luò)服務(wù)器系統(tǒng)，提供了強人的網(wǎng)絡(luò)服務(wù)功能，而且極易上手，網(wǎng)絡(luò)管理者不需要太多的培訓即可配置和管理。不過，要配置一個安全的網(wǎng)絡(luò)服務(wù)器難度是比較高的，需要有經(jīng)驗的網(wǎng)絡(luò)管理者手動配置很長時間。筆者為網(wǎng)絡(luò)管理員，結(jié)合近幾年的網(wǎng)絡(luò)安全管理實施過程，總結(jié)出一些經(jīng)驗來提高網(wǎng)絡(luò)服務(wù)器的安全性。

　　一、安裝Windows Server 2003時應(yīng)注意的問題

　　1.確保操作系統(tǒng)的來源合法性。不要使用非正常渠道得到的系統(tǒng)安裝盤。防止在安裝操作系統(tǒng)的同時就被安裝了木馬或者間諜軟件。

　　2.保證硬件設(shè)備的可靠性。盡量使系統(tǒng)運行在RAIDS方式的磁盤陣列中，確保服務(wù)器環(huán)境的穩(wěn)定。

　　3.將操作系統(tǒng)安裝在一個十凈的系統(tǒng)中。在軟件安裝之前，確定磁盤所有的數(shù)據(jù)都已經(jīng)刪除十凈，磁盤完好無損。

　　4.在操作系統(tǒng)安裝完成但沒有正式運行前，保證系統(tǒng)在安裝過程中不與仟何公共的系統(tǒng)相連。如果必須要有網(wǎng)絡(luò)安裝，要確保服務(wù)器在一個獨立可信的網(wǎng)段中，建議拔掉網(wǎng)線安裝操作系統(tǒng)。

　　5.盡量安裝操作系統(tǒng)的笑文版木。因為微軟總是最先發(fā)布笑文版木的補丁，中文版木的補丁相對滯后一段時間。

　　6.使用NTFS分區(qū)作為唯一的系統(tǒng)文件分區(qū)標準。NTFS是真正的日志性文件系統(tǒng)，使用日志和檢查點信息，即使在系統(tǒng)崩潰或者電源故障時也能保證文件系統(tǒng)的一致性。

　　7.安裝TCP/IP協(xié)議，不要安裝其他仟何協(xié)議。

　　8.在選擇安裝程序的時候不要安裝仟何額外的程序和服務(wù)。

　　9.服務(wù)器最好不加入到域，要安裝成獨立服務(wù)器模式。

　　10.為系統(tǒng)管理員設(shè)置一個足夠強壯的密碼，長度最好在20位以上。

　　二、安裝防病毒系統(tǒng)

　　防病毒軟件設(shè)置時應(yīng)注意的問題:

　　1.確認防病毒軟件來源的合法性、完整性及可升級性。

　　2.在沒有接人網(wǎng)絡(luò)環(huán)境前安裝防病毒軟件，同時安裝最新防病毒軟件的病毒庫。

　　3.運行防病毒程序的病毒實時監(jiān)測系統(tǒng)，同時配置防病毒軟件的自動更新、掃描、受感染文件的處理方式等操作。

　　4.對剛安裝完成的操作系統(tǒng)進行一次完整的病毒掃描。

　　5.經(jīng)常查看防病毒系統(tǒng)產(chǎn)生的日志文件。

　　三、配置應(yīng)用程序

　　在服務(wù)器上安裝正常使用的應(yīng)用程序(包括更新的IE瀏覽器版木)，同時安裝配置網(wǎng)絡(luò)服務(wù)的程序(如微軟的IIS服務(wù)、FTP服務(wù)、SQL Server數(shù)據(jù)庫服務(wù)等)。

　　注意事項:

　　1.不要安裝仟何多余的程序。服務(wù)器僅提供網(wǎng)絡(luò)服務(wù)，不是個人電腦，不需要安裝其他程序。

　　2.安裝服務(wù)和應(yīng)用程序，盡量選擇最新的安裝版木，這通�？梢员ＷC沒有近期發(fā)布的程序漏洞。不需要的應(yīng)用程序服務(wù)盡量不要安裝，或者配置成禁止使用的模式。

　　3.不要在服務(wù)器上運行系統(tǒng)提供的應(yīng)用程序訪問網(wǎng)絡(luò)，服務(wù)器的漏洞有時會被惡意利用。

　　4.為安全起見，建議將系統(tǒng)附件中除寫字板、記事木以外的所有應(yīng)用程序刪除。

　　5.不要在服務(wù)器上安裝仟何開發(fā)工具、軟件調(diào)試器、扇區(qū)讀寫編輯器等可對系統(tǒng)底層進行操作的應(yīng)用軟件，可執(zhí)行程序越少越好。

　　四、賬戶管理注意事項

　　配置服務(wù)器系統(tǒng)時，應(yīng)當注意對系統(tǒng)賬戶的管理。

　　1.重新命名管理員賬號。這是為了防止對“Administrator"賬號的密碼猜測行為。

　　2.禁用或者刪除“Guest"賬號。Windows 2003操作系統(tǒng)默認此賬號禁止使用，必須檢查此賬號是否處于啟用狀態(tài)。

　　3.檢查系統(tǒng)中存在的賬號的狀況。審核不必要的賬號和組，審核賬號隸屬的組權(quán)限和用戶權(quán)限井定期記錄;對于長時間不使用的賬號應(yīng)該查明原因;對于因為員工離職等原因廢棄的賬號要立即刪除。

　　4.建議使用非管理員賬號來管理系統(tǒng)，只有在必須使用管理員權(quán)限的時候才采用管理員賬號。

　　5.建議新用戶賦予User或者Guest組權(quán)限，不要賦予“Power Users”組權(quán)限，對于仟何特定的操作在建立一個特定組的同時賦予其權(quán)限來執(zhí)行。

　　五、啟用日志審核

　　審核是Windows 2003中木地安全策略的一部分，它是一個維護系統(tǒng)安全性的工具，允許跟蹤用戶的活動和Windows NT/2000系統(tǒng)的活動。

　　根據(jù)監(jiān)控審核結(jié)果，管理員可以將計算機資源的非法使用消除或減到最小。

　　微軟操作系統(tǒng)的日志審核默認是關(guān)閉的，必須手動開啟。

　　六、禁止遠程注冊表訪問

　　Windows Server 2003在默認安裝的時候啟用了允許遠程訪問注冊表如果開啟此功能，服務(wù)的啟動、ACL權(quán)限的修改、用戶名的建立等信息，都可以在注冊表中完成，嚴禁使用遠程注冊表訪問功能。

　　七、設(shè)定訪問控制的文件權(quán)限

　　在使用NTFS文件系統(tǒng)的基礎(chǔ)上定制分區(qū)和文件訪問條件，加強Windows Server 2003在默認狀態(tài)下的訪問權(quán)限，構(gòu)建一個更加安全的系統(tǒng)。

　　1.取消默認安裝時“Everyone”組擁有的對所有磁盤的完全控制權(quán)限。

　　2.取消系統(tǒng)的文件保護功能。移除系統(tǒng)中備份的系統(tǒng)文件，包括在根分區(qū)“Winnt Driver cache”目錄下的所有文件以及如果在安裝SP包時選擇了“存檔”選項時要移除的存檔文件夾。移除系統(tǒng)文件以后，在命令行模式下先執(zhí)行“SFC/Purgccache”命令清除緩存文件，再執(zhí)行“SFC/cachcsize=0”命令井重新啟動系統(tǒng)，就可以取消操作系統(tǒng)的文件保護功能。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：網(wǎng)絡(luò)服務(wù)器安全配置最佳實踐

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083953910.html