计算存储管理

信息技术室服务器操作系统安全配置规范

发布日期: 2023-11-14 浏览次数:

一、磁盘的初始规划与设置

1、正确划分文件系统格式,确保所有磁盘分区为NTFS分区。

2、C盘安装操作系统,D盘安装常用软件及存放用户网站目录文件。

二、禁用以下不必要的服务

  • Computer Browser:维护网络上计算机的最新列表以及提供这个列表

  • Routing and Remote Access:在局域网以及广域网环境中为企业提供路由服务

  • Remote Registry Service:允许远程注册表操作

  • Print Spooler:将文件加载到内存中以便以后打印。

  • IPSEC Policy Agent:管理IP安全策略以及启动ISAKMP/OakleyIKE和IP安全驱动程序

  • Distributed Link Tracking Client:当文件在网络域的NTFS卷中移动时发送通知

  • Com+ Event System:提供事件的自动发布到订阅COM组件

  • Error Reporting Service:收集、存储和向 Microsoft 报告异常应用程序

  • Messenger:传输客户端和服务器之间的 NET SEND 和 警报器服务消息

  • Telnet:允许远程用户登录到此计算机并运行程序

    三、修改以下存在安全风险的注册表项

    1、禁止响应ICMP路由通告报文

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \interface,新建DWORD值,名为PerformRouterDiscovery 值为0。

    2、防止ICMP重定向报文的攻击

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters,将EnableICMPRedirects 值设为0。

    3、不支持IGMP协议

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters,新建DWORD值,名为IGMPLevel 值为0。

    4、修改远程桌面服务端口

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp,将PortNumber改为1024,不与其它服务冲突即可。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp,方法同上,修改的端口号和上面修改的一样。

    5、限制IPC空连接:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,将restrictanonymous的值改成“1”即可。

    6、删除默认共享

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,将REG_DWORD值的AutoShareServer和AutoShareWks修改为0。如没有该键值则手动增加后再更改。

    四、重新设定具有特定功能执行文件的权限

    对操作系统安装目录中的以下文件重新设定访问权限,只允许administrators组访问:

  • net.exe

  • net1.exet

  • cmd.exe

  • tftp.exe

  • netstat.exe

  • regedit.exe

  • at.exe

  • attrib.exe

  • cacls.exe

  • format.com

    五、其它操作系统安全设置

    1、启用系统自带防火墙,根据服务类型只打开80、21、1433等必要端口。

    2、将Windows自动更新更改为使用校内WSUS服务器。

    3、防病毒软件应安装学校瑞星网络版。

    (请增加Linux系统的配置规范)