Windows Server 2003是目前成熟的網絡服務器系統，提供了強人的網絡服務功能，而且極易上手，網絡管理者不需要太多的培訓即可配置和管理。不過，要配置一個安全的網絡服務器難度是比較高的，需要有經驗的網絡管理者手動配置很長時間。筆者為網絡管理員，結合近幾年的網絡安全管理實施過程，總結出一些經驗來提高網絡服務器的安全性。

　　一、安裝Windows Server 2003時應注意的問題

　　1.確保操作系統的來源合法性。不要使用非正常渠道得到的系統安裝盤。防止在安裝操作系統的同時就被安裝了木馬或者間諜軟件。

　　2.保證硬件設備的可靠性。盡量使系統運行在RAIDS方式的磁盤陣列中，確保服務器環境的穩定。

　　3.將操作系統安裝在一個十凈的系統中。在軟件安裝之前，確定磁盤所有的數據都已經刪除十凈，磁盤完好無損。

　　4.在操作系統安裝完成但沒有正式運行前，保證系統在安裝過程中不與仟何公共的系統相連。如果必須要有網絡安裝，要確保服務器在一個獨立可信的網段中，建議拔掉網線安裝操作系統。

　　5.盡量安裝操作系統的笑文版木。因為微軟總是最先發布笑文版木的補丁，中文版木的補丁相對滯后一段時間。

　　6.使用NTFS分區作為唯一的系統文件分區標準。NTFS是真正的日志性文件系統，使用日志和檢查點信息，即使在系統崩潰或者電源故障時也能保證文件系統的一致性。

　　7.安裝TCP/IP協議，不要安裝其他仟何協議。

　　8.在選擇安裝程序的時候不要安裝仟何額外的程序和服務。

　　9.服務器最好不加入到域，要安裝成獨立服務器模式。

　　10.為系統管理員設置一個足夠強壯的密碼，長度最好在20位以上。

　　二、安裝防病毒系統

　　防病毒軟件設置時應注意的問題:

　　1.確認防病毒軟件來源的合法性、完整性及可升級性。

　　2.在沒有接人網絡環境前安裝防病毒軟件，同時安裝最新防病毒軟件的病毒庫。

　　3.運行防病毒程序的病毒實時監測系統，同時配置防病毒軟件的自動更新、掃描、受感染文件的處理方式等操作。

　　4.對剛安裝完成的操作系統進行一次完整的病毒掃描。

　　5.經常查看防病毒系統產生的日志文件。

　　三、配置應用程序

　　在服務器上安裝正常使用的應用程序(包括更新的IE瀏覽器版木)，同時安裝配置網絡服務的程序(如微軟的IIS服務、FTP服務、SQL Server數據庫服務等)。

　　注意事項:

　　1.不要安裝仟何多余的程序。服務器僅提供網絡服務，不是個人電腦，不需要安裝其他程序。

　　2.安裝服務和應用程序，盡量選擇最新的安裝版木，這通常可以保證沒有近期發布的程序漏洞。不需要的應用程序服務盡量不要安裝，或者配置成禁止使用的模式。

　　3.不要在服務器上運行系統提供的應用程序訪問網絡，服務器的漏洞有時會被惡意利用。

　　4.為安全起見，建議將系統附件中除寫字板、記事木以外的所有應用程序刪除。

　　5.不要在服務器上安裝仟何開發工具、軟件調試器、扇區讀寫編輯器等可對系統底層進行操作的應用軟件，可執行程序越少越好。

　　四、賬戶管理注意事項

　　配置服務器系統時，應當注意對系統賬戶的管理。

　　1.重新命名管理員賬號。這是為了防止對“Administrator"賬號的密碼猜測行為。

　　2.禁用或者刪除“Guest"賬號。Windows 2003操作系統默認此賬號禁止使用，必須檢查此賬號是否處于啟用狀態。

　　3.檢查系統中存在的賬號的狀況。審核不必要的賬號和組，審核賬號隸屬的組權限和用戶權限井定期記錄;對于長時間不使用的賬號應該查明原因;對于因為員工離職等原因廢棄的賬號要立即刪除。

　　4.建議使用非管理員賬號來管理系統，只有在必須使用管理員權限的時候才采用管理員賬號。

　　5.建議新用戶賦予User或者Guest組權限，不要賦予“Power Users”組權限，對于仟何特定的操作在建立一個特定組的同時賦予其權限來執行。

　　五、啟用日志審核

　　審核是Windows 2003中木地安全策略的一部分，它是一個維護系統安全性的工具，允許跟蹤用戶的活動和Windows NT/2000系統的活動。

　　根據監控審核結果，管理員可以將計算機資源的非法使用消除或減到最小。

　　微軟操作系統的日志審核默認是關閉的，必須手動開啟。

　　六、禁止遠程注冊表訪問

　　Windows Server 2003在默認安裝的時候啟用了允許遠程訪問注冊表如果開啟此功能，服務的啟動、ACL權限的修改、用戶名的建立等信息，都可以在注冊表中完成，嚴禁使用遠程注冊表訪問功能。

　　七、設定訪問控制的文件權限

　　在使用NTFS文件系統的基礎上定制分區和文件訪問條件，加強Windows Server 2003在默認狀態下的訪問權限，構建一個更加安全的系統。

　　1.取消默認安裝時“Everyone”組擁有的對所有磁盤的完全控制權限。

　　2.取消系統的文件保護功能。移除系統中備份的系統文件，包括在根分區“Winnt Driver cache”目錄下的所有文件以及如果在安裝SP包時選擇了“存檔”選項時要移除的存檔文件夾。移除系統文件以后，在命令行模式下先執行“SFC/Purgccache”命令清除緩存文件，再執行“SFC/cachcsize=0”命令井重新啟動系統，就可以取消操作系統的文件保護功能。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：網絡服務器安全配置最佳實踐

本文網址：http://www.guhuozai8.cn/html/consultation/1083953910.html