Distributed Transaction Coordinator DNS Client
Error Reporting Service Event Log File Replication Help and Support HTTP SSL
Human Interface Device Access IIS Admin Service
IMAPI CD-Burning COM Service Indexing Service Intersite Messaging
IPSEC Services [如果使用了IP安全策略则自动,如无则禁用,可选操作] Kerberos Key Distribution Center License Logging
Logical Disk Manager [可选,多硬盘建议自动] Logical Disk Manager Administrative Service Messenger Microsoft Search
Microsoft Software Shadow Copy Provider MSSQLSERVER MSSQLServerADHelper
Net Logon
NetMeeting Remote Desktop Sharing Network Connections Network DDE Network DDE DSDM
Network Location Awareness (NLA) Network Provisioning Service NT LM Security Support Provider Performance Logs and Alerts Plug and Play
Portable Media Serial Number Service [微软反盗版工具,目前只针对多媒体类Print Spooler Protected Storage
Remote Access Auto Connection Manager Remote Access Connection Manager Remote Desktop Help Session Manager Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Removable Storage
Resultant Set of Policy Provider Routing and Remote Access
] Secondary Logon
Security Accounts Manager Server
Shell Hardware Detection Smart Card
Special Administration Console Helper SQLSERVERAGENT System Event Notification Task Scheduler TCP/IP NetBIOS Helper Telephony Telnet
Terminal Services
Terminal Services Session Directory Themes
Uninterruptible Power Supply Upload Manager Virtual Disk Service Volume Shadow Copy WebClient
Windows Audio [服务器没必要使用声音] Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA) Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions Windows Time
Windows User Mode Driver Framework WinHTTP Web Proxy Auto-Discovery Service Wireless Configuration WMI Performance Adapter Workstation
World Wide Web Publishing Service
以上操作完成以后是否就“最小的权限+最少的服务=最大的安全”呢?其实不然,任何事物都是相对的
依我个人而见,以上设置也只是最基本的一些东西而已,如有遗漏,稍后补上!
windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。
第一招:正确划分文件系统格式,选择稳定的操作系统安装盘
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版,这个一个完全破解了的版本,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。
第二招:正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:
1、系统盘权限设置
C:分区部分: c:\\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限