当前位置：文档库 › 服务器基本安全策略配置

服务器基本安全策略配置

windows服务器安全策略设置

为加强windows服务器的安全性，针对windows服务器运行的程序和服务，制定相关安全策略。

一、服务器基本情况

二、计算机安全策略配置

(一)修改远程桌面端口：将默认端口XXX修改为XXX。

(二)帐户：对系统管理员默认帐户administrator进行重命名，停用

guest用户。

(三)开启windows防火墙：

取消网络连接中的文件和打印共享。

在例外里面添加远程桌面端口XXX。

在防火墙高级设置时勾选Web 服务和安全的Web服务。

在防火墙开放FTP端口XX。

开放短信发送平台端口：XXX

(四)禁用无关服务。

Print spooler 打印服务

Wireless configuration 无线服务

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务。

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch 服务使用。

Telnet 允许远程用户登录到此计算机并运行程序。

Remote Desktop Help Session Manager：远程协助服务。

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序。

Remote Registry 远程注册表操作。

(五)禁止IPC空连接：打开注册表，找到

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymo

us 把这个值改成”1”即可。

(六)删除默认共享：打开注册表，找到

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanSer

ver\Parameters，新建AutoShareServer类型是REG_DWORD把值改为

0。

(七)策略配置

1.组策略配置:gpedit—>计算机配置—>windows设置—>安全设置—>

本地策略。

在用户权利分配下，从通过网络访问此计算机中删除Power Users和Backup Operators;

启用不允许匿名访问SAM帐号和共享;

启用不允许为网络验证存储凭据或Passport;

从文件共享中删除允许匿名登录的DFS$和COMCFG;

启用交互登录：不显示上次的用户名;

启用在下一次密码变更时不存储LANMAN哈希值;

禁止IIS匿名用户在本地登录。

2.本地安全策略设置:

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组

通过终端服务允许登陆：只加入Administrators组，其他全部删除。

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的名全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

D：本地策略>软件限制策略>其它规则

新建规则不允许运行以下文件: scrrun.dll,shell.dll，

QQ.exe,thunder.exe,telnet.exe等等。随着维护的深入，逐步

追加服务器不需要运行的应用程序。

三、安全策略的作用

对服务器进行以上的设置和相关策略的制定，可以有效的增加服务器的自身防御能力，防止黑客利用常见的攻击手段和方法对服务器进行入侵和破坏。

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项交互式登录:不显示上次的用户名；——启动交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项网络访问：可匿名访问的共享；——清空网络访问：可匿名访问的命名管道；——清空网络访问：可远程访问的注册表路径；——清空网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口安全是重中之重，以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务，这样最大程度来提高安全性。作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务都可以禁用。当然了，你的系统补丁也需要更新到最新，一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多，而win2008相比win2003本身就要安全很多。那我们为什么还要谈关闭端口呢，因为我们要防患于未然，万一服务器被黑就不好玩了。禁用不必要的服务控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务，所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有，则禁用

Print Spooler Remote Registry 因为我们使用的是云主机，跟单机又不一样，所以有些服务并不能一概而论，如上面的Server服务。例如天翼云的主机，上海1和内蒙池的主机就不一样，内蒙池的主机需要依赖Server服务，而上海1的不需要依赖此服务，所以上海1的可以禁用，内蒙池就不能禁用了。所以在禁用某一项服务时必须要小心再小心。删除文件打印和共享本地连接右击属性，删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。

DELL服务器RAID配置教程

在启动电脑的时候按CTRL+R 进入RAID 设置见面如下图名称解释： Disk Group：磁盘组，这里相当于是阵列，例如配置了一个RAID5，就是一个磁盘组 VD(Virtual Disk)：虚拟磁盘，虚拟磁盘可以不使用阵列的全部容量，也就是说一个磁盘组可以分为多个VD PD(Physical Disk)：物理磁盘 HS：Hot Spare 热备 Mgmt：管理【一】创建逻辑磁盘 1、按照屏幕下方的虚拟磁盘管理器提示，在VD Mgmt菜单（可以通过CTRL+P/CTRL+N 切换菜单），按F2展开虚拟磁盘创建菜单 2、在虚拟磁盘创建窗口，按回车键选择”Create New VD”创建新虚拟磁盘

3、在RAID Level选项按回车，可以出现能够支持的RAID级别，RAID卡能够支持的级别有RAID0/1/5/10/50，根据具体配置的硬盘数量不同，这个位置可能出现的选项也会有所区别。选择不同的级别，选项会有所差别。选择好需要配置的RAID级别（我们这里以RAID5为例），按回车确认。

4、确认RAID级别以后，按向下方向键，将光标移至Physical Disks列表中，上下移动至需要选择的硬盘位置，按空格键来选择（移除）列表中的硬盘，当选择的硬盘数量达到这个RAID级别所需的要求时，Basic Settings的VD Size中可以显示这个RAID的默认容量信息。有X标志为选中的硬盘。选择完硬盘后按Tab键，可以将光标移至VD Size栏，VD Size可以手动设定大小，也就是说可以不用将所有的容量配置在一个虚拟磁盘中。如果这个虚拟磁盘没有使用我们所配置的RAID5阵列所有的容量，剩余的空间可以配置为另外的一个虚拟磁盘，但是配置下一个虚拟磁盘时必须返回VD Mgmt创建（可以参考第13步，会有详细说明）。VD Name根据需要设置，也可为空。注：各RAID级别最少需要的硬盘数量，RAID0=1，RAID1=2，RAID5=3，RAID10=4，RAID50=6 5、修改高级设置，选择完VD Size后，可以按向下方向键，或者Tab键，将光标移至Advanced Settings处，按空格键开启（禁用）高级设置。如果开启后（红框处有X标志为开启），可以修改Stripe Element Size大小，以及阵列的Read Policy与Write Policy，Initialize 处可以选择是否在阵列配置的同时进行初始化。高级设置默认为关闭（不可修改），如果没有特殊要求，建议不要修改此处的设置。

服务器安全方案

服务器安全方案一、操作系统安全配置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。1 1安装操作系统(NTFS分区)。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 2.安装系统补丁，扫描漏洞全面杀毒。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 3.删除Windows Server 2003默认共享。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 4.禁用IPC连接。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 5.删除"网络连接"里的协议和服务。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 6.启用windows连接防火墙。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 7.磁盘权限。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。3 8.本地安全策略设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。3 系统检查检测。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。4 二iis配置(包括网站所在目录)。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 1.新建自己的网站。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 2.删掉系统盘\inetpub目录。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 3.删除不用的映射。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 4.为网站创建系统用户。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 5.设置应用程及子目录的执行权限。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 6.应用程序池设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 Iis检查检测。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 1.密码设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。6 2.删除危险的扩展存储过程和相关.dll。。。。。。。。。。。。。。。。。。。。。。。。。。。。6 四、远程访问配置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。7 第一步，远程桌面设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。7 第二步.设客户端。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。8 第三步，远程连接。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。8 远程访问检查检测。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。9 五、其它设置(选用)。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。10 六、可以关闭的系统服务列表。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。10 七、禁止或卸载危险组件。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。11 八、windows自带防火墙设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。12 九、天网防火墙设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。15

小白搭建服务器教程

小白搭建服务器教程小白搭建服务器教程如下。在阿里云上搭建使用个人博客主要分为以下几个步骤： 1、购买阿里云ECS主机 2、购买域名 3、申请备案 4、环境配置 5、安装wordpress 6、域名解析声明一下，本人对服务器端的知识不是很熟悉，但一心想做个自己的个人网站装一下哔，特此记录一下完整的配置过程，也算是给其他小白们的一剂福利吧。开发环境：物理机版本：Win7旗舰版(64位) xshell版本：Xshell5Build0806 xftp版本：Xftp5Build0780 wordpress版本：wordpress-4.3.1-zh_CN phpMyAdmin版本：phpMyAdmin-4.5.1-all-languages 备注：以上所有的安装包工具在文章的末尾都附有打包下载，都是从官方下载的，请绝对放心使用，拿走不谢~ 一、购买阿里云ECS服务器：

登录阿里云官方网站，在“产品与服务”中选择云服务器ECS，选择立即购买。运气好的话还能赶上阿里的一些优惠活动。比如说，我买的就是学生价：先凑合着用呗，反正目前又没有高并发的访问，所以也没必要搞辣么高的配置，毕竟价格昂贵，我等屌丝学生承担不起呀。配置选择：根据自己的需要选择合适的配置，如果仅仅是做wordpress个人博客的话，那么以下配置可以参考：当然大家也可以买一年的，这样可以优惠2个月，价格在1K左右。二、购买域名：在阿里云官网右上角点击“万网”，然后可以进行域名的购买，需要注意的是首次购买域名是有优惠的，所以请选择合适的购买时长，否则不断的续费可能会造成经济损失，购买完域名之后建议去实名认证。三、域名备案：需要提醒大家的是，如果你买了阿里云的服务器，并且想要通过域名访问，那域名是必须要备案的，总结一句：必须先将域名备案，才能通过域名访问阿里云的服务器。一提到备案，可能你会觉得备案这个事情很麻烦，各种流程啊，手续啊。其实没这么麻烦，因为阿里云已经提供了一条龙服务(呵呵，我特么这样搞传销，阿里云也不会给我啥优惠啥)，通过阿里云的代备案系统，一些都会变得容易很多呢，不管是个人网站的备案，还是企业网站的备案，都只是时间上的问题，一般备案审核需要二十天左右。废话不说，下面开始上图。 (1)申请备案服务号：(非常重要) 既然打算要用阿里云的代备案系统，这件事是必不可少的。

Web服务器配置方法教程

Web服务器配置方法教程服务器是一种高性能计算机，作为网络的节点，存储、处理网络上80%的数据、信息，因此也被称为网络的灵魂。那么该如何配置Web服务器呢?如果你不知道，请看的Web服务器配置方法详解吧! 一般在安装操作系统时不默认安装IIS，所以在第一次配置Web 服务器时需要安装IIS。安装方法为： 1、打开“控制面板”，打开“添加/删除程序”，弹出“添加/删除程序”窗口。 2、单击窗口中的“添加/删除Windows组件”图标，弹出“Windows组件向导”对话框。 3、选中“向导”中的“应用程序服务器”复选框。单击“详细信息”按钮，弹出“应用程序服务器”对话框。 4、选择需要的组件，其中“Inter信息服务(IIS)”和“应用程序服务器控制台”是必须选中的。选中“Inter信息服务(IIS)”后，再单击“详细信息”按钮，弹出“Inter信息服务(IIS)”对话框。

5、选中“Inter信息服务管理器”和“万维网服务”。并且选中“万维网服务”后，再单击“详细信息”按钮，弹出“万维网服务”对话框。 6、其中的“万维网服务”必须选中。如果想要服务器支持ASP，还应该选中“Active Server Pages”。逐个单击“确定”按钮，关闭各对话框，直到返回图1的“Windows组件向导”对话框。 7、单击“下一步”按钮，系统开始IIS的安装，这期间可能要求插入Windows Server xx安装盘，系统会自动进行安装工作。 8、安装完成后，弹出提示安装成功的对话框，单击“确定”按钮就完成了IIS的安装。友情提示：如果想要同时装入FTP服务器，在“Inter信息服务(IIS)”对话框中应该把“文件传输协议(FTP)服务”的复选框也选中。打开“Inter 信息服务管理器”，在目录树的“网站”上单击右键，在右键菜单中选择“新建→网站”，弹出“网站创建向导”：

AWS服务器配置部署手册

A W S服务器配置部署手册 Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998

aws服务器配置部署手册一、实例的启动（创建） 1.什么是实例在所有工作之前，我们来看一看什么是AmazonEC2.根据其官方文档的解释如下：在知道什么是AmazonEC2,之后我们就可以开始我们的工作了。 AmazonEC2提供不同的实例类型，以便可以选择需要的CPU、内存、存储和网络容量来运行应用程序。登录帐号，进入EC2的控制面板，启动实例。 2.实例的相关配置根据我们的需求选择MicrosoftWindowsServer2012R2Base，。其他过程直接选择默认配置，点击配置安全组。默认的安全组只有一个规则，这条规则对应的是远程桌面连接的端口。但是只有这条规则是不够的，为了方便我们之后服务器的配置以及网站的部署，我们得添加其他的规则，下图是我配置帕累托后台所用的安全组。（有关安全组端口作用在附件中有部分说明，详见附件1）完成相关工作之后，点击审核和启动，会跳出如下页面，这一步很重要！因为在这创建的密钥对，以后都会用到。在保存好密钥对之后就可以启动实例了。 3.绑定弹性IP 在导航栏中找到弹性IP，点击分配新地址。创建好之后右击，选择关联地址，将其关联到我们的实例上。

二、服务器的配置 1.远程桌面连接实例在创建完成之后，就要配置服务器了。在配置服务器时，需要通过远程桌面连接进入实例进行配置。首先查看我们实例的安全组有没有配置远程连接的端口，如果没有进行添加配置（导航栏中找到安全组，点击进入）。若实例需要添加安全组，在安全组创建之后可以右击实例更改安全组进行安全组的绑定。在完成端口的开放之后，就可以进行远程桌面连接了。右击我们的实例，点击连接，跳出如下画面。首先通过之前保存的密钥对获取密码，然后通过下载的远程桌面文件和解密得到的密码进行连接。 2.服务器配置之添加角色和功能进入后点击开始按钮，选择服务器管理器（实例中默认的服务器只有一个，我们的工作只需要一个，所以暂不做添加修改。）点击第二项添加角色和功能，一路下一步，直到服务器和角色页面，勾选Web 服务器（IIS）选项（根据个人需求进行相关筛选），在功能页面同样勾选需要的功能，最后确认并安装。 3.服务器配置之防火墙配置在服务器配置中还有一个非常重要的步骤——防火墙的配置。之前因为没有对防火墙进行相关配置，导致本人焦头烂额，始终无法从外部网络连接至服务器。

DELL服务器RAID配置详细教程

DELL服务器RAID配置教程在启动电脑的时候按CTRL+R 进入RAID 设置见面如下图名称解释： Disk Group：磁盘组，这里相当于是阵列，例如配置了一个RAID5，就是一个磁盘组VD(Virtual Disk)：虚拟磁盘，虚拟磁盘可以不使用阵列的全部容量，也就是说一个磁盘组可以分为多个VD PD(Physical Disk)：物理磁盘 HS：Hot Spare 热备 Mgmt：管理【一】创建逻辑磁盘 1、按照屏幕下方的虚拟磁盘管理器提示，在VD Mgmt菜单（可以通过CTRL+P/CTRL+N 切换菜单），按F2展开虚拟磁盘创建菜单 2、在虚拟磁盘创建窗口，按回车键选择”Create New VD”创建新虚拟磁盘

web服务器的安全配置(以windows为例)

6、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。然后点击确定—>下一步安装。（具体见本文附件1）３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。４、备份系统用GHOST备份系统。５、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份

修改3389远程连接端口修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )

2003服务器安全配置教程

WEB+FTP+Email服务器安全配置手册作者：阿里西西 2006-8-11

目录第一章：硬件环境第二章：软件环境第三章：系统端口安全配置第四章：系统帐户及安全策略配置第五章：IIS和WEB站点文件夹权限配置第六章：FTP服务器安全权限配置第七章：Email服务器安全权限配置第八章：远程管理软件配置第九章：其它安全配置建议第十章：篇后语

一、硬件环境服务器采用1U规格的机架式托管主机，大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。二、软件环境操作系统：Windows Server 2003 Enterprise Edition sp1 WEB系统：Win操作系统自带IIS6，支持.NET 邮件系统：MDaemon 8.02英文版 FTP服务器系统：Serv-U 6.0.2汉化版防火墙: BlackICE Server Protection，中文名：黑冰杀毒软件：NOD32 2.5 远程管理控件：Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库：MSSQL2000企业版相关支持组件：JMail 4.4专业版，带POP3接口；ASPJPEG图片组件相关软件：X-SCAN安全检测扫描软件；ACCESS；EditPlus [相关说明] *考虑服务器数据安全，把160G*2硬盘做成了阵列，实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区；NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。操作系统安装完后，第一时间安装NOD32杀毒软件，装完后在线更新病毒库，接着在线Update操作系统安全补丁。 *安装完系统更新后，运行X-SCAN进行安全扫描，扫描完后查看安全报告，根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。

服务器硬件配置和服务器安全配置信息(全能)

WEB 服务器硬件配置方案一、入门级常规服务器硬配置方案：备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。二、顶级服务器配置方案

备注： 1，系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80% 无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95% 无冷凝 3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000 WEB 服务器软件配置和安全配置方案一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。２、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———https://www.wendangku.net/doc/ad10787652.html,（可选） |——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选） |——公用文件（必选） |——万维网服务———Active Server pages（必选） |——Internet 数据连接器（可选） |——WebDAV 发布（可选） |——万维网服务（必选） |——在服务器端的包含文件（可选）然后点击确定—>下一步安装。３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。４、备份系统用GHOST备份系统。５、安装常用的软件例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。二、系统权限的设置１、磁盘权限系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限２、本地安全策略设置开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败 B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除

服务器主机安全规范

服务器主机安全规范启用防火墙阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的，不过这个一定要检查！补丁更新启用windows更新服务，设置为自动更新状态，以便及时打补丁。阿里云windows Server 2008 R2默认为自动更新状态，2012可能也是这样的，不过这个一定要检查！账号口令优化账号口令策略

网络服务优化服务（1）操作目的关闭不需要的服务，减小风险加固方法“Win+R”键调出“运行”->services.msc，以下服务改为禁用： Application Layer Gateway Service（为应用程序级协议插件提供支持并启用网络/协议连接） Background Intelligent Transfer Service（利用空闲的网络带宽在后台传输文件。如果服务被停用，例如Windows Update 和 MSN Explorer的功能将无法自动下载程序和其他信息） Computer Browser（维护网络上计算机的更新列表，并将列表提供给计算机指定浏览） DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry（使远程用户能修改此计算机上的注册表设置） Print Spooler（管理所有本地和网络打印队列及控制所有打印工作） Server（不使用文件共享可以关闭，关闭后再右键点某个磁盘选属性，“共享”这个页面就不存在了） Shell Hardware Detection TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络）

服务器配置详解

Windows VPN服务器配置图文教程超详细版作者：字体：[ ] 类型：转载 VPN可以虚拟出一个专用网络，让远处的计算机和你相当于处在同一个局域网中，而中间的数据也可以实现加密传输，用处很大，特别是在一些大公司，分公司处在不同的区域。当然VPN的用处远不止于此，比如游戏代理等等。下面介绍一下在Windows下面架设VPN 的详细教程。希望对需要的朋友能有所帮助。首先是准备工作：windows自带防火墙（windows firewall/internet connection sh aring(ICS)）要停止（或允许1723端口通过）；远程注册表服务(remote Registry) 并且开启；server服务(Server)必需开启；router路由服务(Routing and Remote Access)必需开启。如果服务器使用局域网地址，则要在出口路由器上配置端口（1723）映射。配置过程：1、启动系统服务默认情况下所需服务中，远程注册表服务(remote Registry)和server服务(Server)是自动启动的，只有router路由服务(Routing and Remote Access)默认禁止，下面启动相应的服务。右击桌面上“我的电脑”→“管理”，如下图：进入“计算机管理”后，点左侧的“服务和应用程序”－＞“服务”，如下图所示：在服务列表的右侧找到“Routing and Remote Access”，右击点击“属性”，如下图所示：对所选服务单击右键选属性，如下图所示：

更改服务启动类型为自动，如下图所示：右击点击“Routing and Remote Access”，点“启动，如下图所示：系统服务设置完成，不一定完全按照这个步骤进入系统服务，还有很多方法。最终只要达到服务器启动就可以了。 2、VPN服务的相关配置右键单击桌面上的“网上邻居”→“属性”进入“网络连接”，如下图所示：您会发现比平常多了一个“传入的连接”，单击右键选择“属性”，如下图：在“传入的连接属性”的“常规”选项卡中，选中“允许他人通过 Internet 或其它网络以“隧道操作”方式建立到我的计算机的专用链接(W)”前面的复选框，如图所示：点击上面的“用户”选项卡，点击下面的“新建(N)…”建立一个用户名和密码并选中，也可以选中已有的用户名和密码，如图到“网络”选项卡中，点击“安装(I)…”→“协议”选择包含“IPX协议”那个，点击确定，如下图所示：稍等片刻协议就安装好了如果VPN服务器所在的网络没有开启自动获取IP地址（DHCP)，则需要配置传入连接的IP范围，双击“Internet 协议（TCP/IP）”，在弹出的窗口中选择“指定 TCP/IP 地址”，并填写与VPN服务器同一网段的空闲地址，推荐为双数。

Apache服务器配置安全规范以及其缺陷

Apache服务器配置安全规范以及其缺陷！正如我们前言所说尽管Apache服务器应用最为广泛，设计上非常安全的程序。但是同其它应用程序一样，Apache也存在安全缺陷。毕竟它是完全源代码，Apache服务器的安全缺陷主要是使用HTTP 协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行拒绝服务(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷。主要安全缺陷（1）使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增，最终造成Apache系统变慢甚至完全瘫痪。（2）缓冲区溢出的安全缺陷该方法攻击者利用程序编写的一些缺陷，使程序偏离正常的流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出。（3）被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程)，攻击者会通过它获得root权限，进而控制整个Apache系统。（4）恶意的攻击者进行拒绝服务(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞，它主要是存在于Apache的chunk encoding中，这是一个HTTP协议定义的用于接受web用户所提交数据的功能。所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性，由于Apache服务器其庞大的项目，难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题：（1）Apache服务器配置文件Apache Web服务器主要有三个配置文件，位于 /usr/local/apache/conf目录下。这三个文件是：httpd.conf-----主配置文件srm.conf------填加资源文件access.conf---设置文件的访问权限（2）Apache服务器的目录安全认证在Apache Server中是允许使用 .htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案，档名为.htaccss。AuthName 会员专区 AuthType BasicAuthUserFile /var/tmp/xxx.pw -----把password放在网站外 require valid-user 到apache/bin目录，建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 -----第一次建档要用参数-c % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容，进入要用合法的用户。注：采用了Apache内附的模组。也可以采用在httpd.conf中加入：options indexes followsymlinks allowoverride authconfig order allow,deny allow from all （3）Apache服务器访问控制我们就要看三个配置文件中的第三个文件了，即access.conf文件，它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令，再使用allow from指令打开访问权限。order deny,allowdeny from allallow from https://www.wendangku.net/doc/ad10787652.html, 设置允许来自某个域、IP地址或者IP段的访问。（4）Apache服务器的密码保护问题我们再使用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打开目录的访问控制。如：AuthName PrivateFilesAuthType BasicAuthUserFile /path/to/httpd/usersrequire Phoenix# htpasswd -c /path/to/httpd/users Phoenix设置Apache服务器的WEB和文件服务器我们在Apache服务器上存放WEB 服务器的文件，供用户访问，并设置/home/ftp/pub目录为文件存放区域，用

某世界500强公司的服务器操作系统安全配置标准

某世界500强公司的服务器操作系统安全配置标准－Windows 中国××公司服务器操作系统安全配置标准－Windows V 1.1 2006年03 月30 日文档控制拟制: 审核: 标准化: 读者：版本控制版本提交日期相关组织和人员版本描述 V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用 8.3 格式文件名的自动生成 8 4.5 禁用 LMHASH 创建 8 4.6 配置 NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11 6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16

8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用NTFS文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 18 1 概述本文档规定了中国××公司企业围安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用围本规的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本规适用的围包括：支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施本规的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准一经颁布，即为生效。 1.3 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制基本策略：用户被赋予唯一的用户名、用户ID（UID）。 3.1 密码策略默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住 4 个密码密码最长期限 42 天 42 天密码最短期限 0 天 0 天最短密码长度 0 个字符 8 个字符密码必须符合复杂性要求禁用启用

服务器安全设置策略

一、基于帐户的安全策略 1、帐户改名 Administrator和guest是Windows系统默认的系统帐户，正因如此它们是最可能被利用，攻击者通过破解密码而登录服务器。对此，我们可以通过为其改名进行防范。 administrator改名：“开始→运行”，在其中输入Secpol.msc回车打开本地安全组策略，在左侧窗格中依次展开“安全设置→本地策略→安全选项”，在右侧找到并双击打开“帐户：重命名系统管理员帐户”，然后在其中输入新的名称比如test即可。 guest改名：作为服务器一般是不开启guest帐户的，但是它往往被入侵者利用。比如启用guest后将其加入到管理员组实施后期的控制。我们通过改名可防止类似的攻击，改名方法和administrator一样，在上面的组策略项下找到“帐户：重命名来宾帐户”，然后在其中输入新的名称即可。 2、密码策略；作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的加密来存储密码。对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法：执行“开始→管理工具→本地安全策略”打开“本地安全设置”窗口。打开“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。然后双击相应的项打开“属性”后进行配置。需要说明的是，“强制密码

历史”和“用可还原的加密来储存密码”这两项密码策略最好保持默认，不要去修改。 3、帐户锁定当服务器帐户密码不够“强壮”时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的安全风险。那如何来防止黑客猜解或者爆破服务器密码呢? 其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。其设置方法如下：在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器，然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下。双击右侧的“帐户锁定阈值”，此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间，默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置，比如设置为5。二、安全登录系统 1、远程桌面