Windows终端安全配置手册

1 用户账号策略 (1)

1.1 修改缺省帐户名称 (1)

1.2 禁用其他用户 (2)

1.3 账号锁定策略 (3)

2 用户密码策略 (6)

3 屏幕保护锁屏 (8)

4 审核策略 (10)

5 用户权利分配 (13)

5.1 从远端系统强制关机 (13)

5.2 关闭系统 (14)

5.3 取得文件或其它对象的所有权 (15)

6 关闭系统默认共享 (15)

7 关闭自动播放 (17)

8 关闭不必要的服务 (19)

8.1 关闭不必要的windows系统服务 (19)

8.2 关闭其他软件安装的不必要服务 (21)

9 补丁更新 (22)

10 防病毒软件 (23)

11 终端监控软件 (25)

12 卸载不必要软件 (28)

13 配置合规检查 (29)

1用户账号策略

1.1修改缺省帐户名称

按住“win”键+“R”键，打开“运行”窗口，输入lusrmgr.msc，点击“确定”。

选择->“用户”->右击“Administrator”账号->选择“重命名”。

1.2禁用其他用户

选择->“用户”->右击“guest”账号->“属性”->“常规”->勾取“账号已禁用”。

点击“确定”后，在guest账号上会出现一个向下的箭头号，表明操作成

功。(禁止其他不用的账户，可按此方法操作)

1.3账号锁定策略

按住“Win”键+“R”键，打开“运行”窗口，输入“gpedit.msc”，打开“组策略”窗口。

在“组策略”窗口中，选择“计算机配置”->“Windows设置”->“安全设置”->“账户策略”->“账户锁定策略”，进入“账户锁定策略”窗口。

在此窗口中，双击“帐户锁定阈值”，设置错误密码输入次数后点击“确定”，同时会弹出提醒，点击确定。

同样在“账户锁定策略”窗口，双击“账户锁定时间”，设置锁定时间后，

点击“确定”。

备注：锁定策略对administrator这个内置账户无效。

2用户密码策略

按住“Win”键+“R”键，打开“运行”窗口，输入gpedit.msc后回车。

依次找到“计算机配置”->Windows设置”->“安全设置”->“账户策略”->“密码策略”，将其中进行如下图所示的修改。

右击桌面空白处，选择“个性化”。

选择“屏幕保护程序”。

设置屏幕保护等待分钟数，建议设置为“5”分钟，并勾选“在恢复时显示登录屏幕”，点击“应用”后，单击“确定”完成。

4审核策略

按住“Win”键+“R”键，打开“运行”窗口，输入gpedit.msc后回车。

依次找到“计算机配置”->“Windows设置”->安全设置”->“本地策略”->“审核策略”。

如双击“审核账户登录事件”，勾取“成功”和“失败”，之后确定。

推荐要审核的项目如下：

审核策略更改：成功，失败。

审核登录事件：成功，失败。

审核对象访问：失败。

审核对象追踪：成功，失败。

审核目录服务访问：失败。

审核特权使用：失败。

审核系统事件：成功，失败。

审核账户登录事件：成功，失败。审核账户管理：成功，失败。

5用户权利分配

5.1从远端系统强制关机

按住“Win”键+“R”键，打开“运行”窗口，输入gpedit.msc后回车。

依次找到“计算机配置”->“Windows设置”->“安全设置”->“本地策略”->“用户权限分配”，查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。

5.2关闭系统

查看是否“关闭系统”设置为“只指派给Administrators组”。

5.3取得文件或其它对象的所有权

查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。

6关闭系统默认共享

按住”Win”键+”R”键，打开“运行”窗口，输入regedit后回车。

HKLM\System\CurrentControlSet\Services\LanmanServer\Paramete rs\下，增加REG_DWORD类型的AutoShareServer 键，值为0，增加

REG_DWORD类型的AutoShareWks 键，值为0。

7关闭自动播放

按住”Win”键+”R”键，打开“运行”窗口，输入gpedit.msc后回车。

打开“组策略”。

在左窗格的“本地计算机策略”下，展开“计算机配置→管理模板→所有设置”，然后在右窗格的“设置”标题下，找到“关闭自动播放”，双击“关闭自

动播放”，进入设置界面。

选择“已启用”，下面的设置窗口选择“所有驱动器”。

8关闭不必要的服务

8.1关闭不必要的windows系统服务

关闭windows系统服务里不必要且危险的服务，Remote Registry服务和Telnet服务(win7以后产品没有默认安装)。在XP或者win2003上关闭Telnet 服务，参照下面关闭Remote Registry服务的方法。

按住“Win”键+“R”键，打开“运行”窗口，输入services.msc后回车。

找到“Remote Registry”服务，点击“停止”。

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口安全是重中之重，以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务，这样最大程度来提高安全性。作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务都可以禁用。当然了，你的系统补丁也需要更新到最新，一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多，而win2008相比win2003本身就要安全很多。那我们为什么还要谈关闭端口呢，因为我们要防患于未然，万一服务器被黑就不好玩了。禁用不必要的服务控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务，所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有，则禁用

Print Spooler Remote Registry 因为我们使用的是云主机，跟单机又不一样，所以有些服务并不能一概而论，如上面的Server服务。例如天翼云的主机，上海1和内蒙池的主机就不一样，内蒙池的主机需要依赖Server服务，而上海1的不需要依赖此服务，所以上海1的可以禁用，内蒙池就不能禁用了。所以在禁用某一项服务时必须要小心再小心。删除文件打印和共享本地连接右击属性，删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。

终端服务器安装流程

终端服务器安装一：操作系统环境配置： 1：装好Windows 2003 Server系统，安装SP2补丁。一般终端服务的使用期限是120天，为了延长期限，确保系统能正常使用，在安装终端服务器组件时必须先修改系统日期，可以将系统日期设置为后几十年，如2050年，设置日期后才能添加组件(其他方法见文档：Windows Server 2003终端服务的安装与激活)。通过控制面板—添加或删除程序—添加/删除Windows组件，安装应用程序服务器组件和终端服务器组件。选择应用程序服务器，终端服务器，下一步安装即可。终端服务器安装模式有宽松安全模式和完整安全模式，我们选择宽松安全模式。文件复制和配置完成后，重新启动系统即可完成终端服务器安装 2：确认Windows 2003 Server系统中，我的电脑—管理—计算机管理—系统工具—本地用户和组是否存在。 3：在开始—运行中输入命令gpedit.msc确认组策略编辑器中计算机配置—管理模板—Windows组件—终端服务，是否存在。如果上面两项不存在那么必须重装操作体统，直到存在为止才能安装金蝶客户端。二：安装K3客户端 1：打开金蝶安装程序文件夹点击setup.exe 2：单击环境检测，选择客户端，点击检测，根据系统提示安装缺省的资源软件3：确定，选择相应组件的安装路径，安装完成以后，重新单击环境检测，直到环境已满足安装要求。手工安装完成以后重新进行环境检测，如果还有未安装的

组件，重新手工安装，直到点击检测马上出现如下界面完成环境检测。（每次提示错误以后都会有这个界面，但重新检测还会有未安装组件，必须点击检测后马上提示环境符合K3系统条件） 4：打开安装程序文件夹，双击setup.exe 单击安装金蝶K3 单击安装金蝶下一步单击”是”，填入用户名：ERP_Client 公司名称:天地(常州)自动化股份有限公司序列号：默认单击下一步，选择安装路径，默认的安装路径为：C:\progran files\kingdee\ERP 单击“浏览”改变默认路径，选择磁盘空间较大，安全性较好的磁盘，若是为了做镜像文件，以便及时恢复也可安装在系统盘下。点击“下一步”继续。单击所需的安装类型，选择“01 自定义安装”点击下一步继续。选择安装的组件，勾选“客户端部件”“、K/3系统工具”、“K/3 BOS运行平台”，单击下一步等待安装过程。安装完毕后点击“完成” 安装完成后，在开始菜单中显示有金蝶K3程序，即可表明安装成功三：客户端配置客户端程序安装完毕后开始客户端系统配置以及中间层注册 1：添加新用户添加远程登录第一层用户和密码(注意在终端服务器上添加的用户必须跟中间层服务器添加的客户一致，用户名和密码都必须一致)

IT运维人员工作手册通用版

企业运维(IT)人员工作手册通用版2012/05 企业运维(IT)人员工作手册作者:职道 1.目地：为了明确运维技术人员工作职责、规范运维人员工作行为、保证运维服务质量和做好运维服务管理工作。 2.范围：适用范围：企业总部各中心各部门、分公司、子公司的运维部门发布范围：企业总部各中心各部门、分公司、子公司、各门店的运维部门 3.运维人员工作职责： 3.1.电脑设备软、硬件维护和周边外设的维护; 3.1.1.新电脑的硬件安装须做到安全、整洁、规范 3.1.1.1.不带电安装操作，安装过程防止静电，安装完成后进行各种连接线的整理，设备、配件的摆放合理，如显示器调整到最适合的高度等。 3.1.1.2.硬件安装完成后进行操作系统的安装和设置，如果安装的是WINDOWS视窗操作系统，硬盘分区应为NTF格式，以利于将来的安全设置； 3.1.1.3.设置计算机名，如果是个人使用的电脑，可以人员姓名为计算机名，如果是多人共用的电脑，以部门名字相关设置计算机名； 3.1.1. 4.分配网内已规划好的唯一固定的IP地址，分配计算机登录帐号，如果使用域控制器管理则建立与域服务器的连接并分配域帐号。进行计算机的安全设置，如组策略设置等； 3.1.1.5.安装安全软件(杀毒软件\防火墙软件等)； 3.1.1.6.安装办公软件、业务软件； 3.1.1.7.互联网上网配置，如浏览器的配置； 3.1.1.8.如果有需要，进行打印机等外围设备的安装与调试； 3.1.1.9.响应使用人的合理需要安装其它工作软件； 3.1.1.10.所有软件安装完成并调试正常后，进行系统备份，备份文件存于电脑的最后一个分区，在最后一个分区内建立运维文件夹，并留下“不可删除”的提醒标志，将备份文件、已装软件的安装程序（通用超大文件除外）、相关设置信息存于此文件夹内。 3.1.2.日常维护工作 1 / 9

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项交互式登录:不显示上次的用户名；——启动交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项网络访问：可匿名访问的共享；——清空网络访问：可匿名访问的命名管道；——清空网络访问：可远程访问的注册表路径；——清空网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

AWS服务器配置部署手册

A W S服务器配置部署手册 Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998

aws服务器配置部署手册一、实例的启动（创建） 1.什么是实例在所有工作之前，我们来看一看什么是AmazonEC2.根据其官方文档的解释如下：在知道什么是AmazonEC2,之后我们就可以开始我们的工作了。 AmazonEC2提供不同的实例类型，以便可以选择需要的CPU、内存、存储和网络容量来运行应用程序。登录帐号，进入EC2的控制面板，启动实例。 2.实例的相关配置根据我们的需求选择MicrosoftWindowsServer2012R2Base，。其他过程直接选择默认配置，点击配置安全组。默认的安全组只有一个规则，这条规则对应的是远程桌面连接的端口。但是只有这条规则是不够的，为了方便我们之后服务器的配置以及网站的部署，我们得添加其他的规则，下图是我配置帕累托后台所用的安全组。（有关安全组端口作用在附件中有部分说明，详见附件1）完成相关工作之后，点击审核和启动，会跳出如下页面，这一步很重要！因为在这创建的密钥对，以后都会用到。在保存好密钥对之后就可以启动实例了。 3.绑定弹性IP 在导航栏中找到弹性IP，点击分配新地址。创建好之后右击，选择关联地址，将其关联到我们的实例上。

二、服务器的配置 1.远程桌面连接实例在创建完成之后，就要配置服务器了。在配置服务器时，需要通过远程桌面连接进入实例进行配置。首先查看我们实例的安全组有没有配置远程连接的端口，如果没有进行添加配置（导航栏中找到安全组，点击进入）。若实例需要添加安全组，在安全组创建之后可以右击实例更改安全组进行安全组的绑定。在完成端口的开放之后，就可以进行远程桌面连接了。右击我们的实例，点击连接，跳出如下画面。首先通过之前保存的密钥对获取密码，然后通过下载的远程桌面文件和解密得到的密码进行连接。 2.服务器配置之添加角色和功能进入后点击开始按钮，选择服务器管理器（实例中默认的服务器只有一个，我们的工作只需要一个，所以暂不做添加修改。）点击第二项添加角色和功能，一路下一步，直到服务器和角色页面，勾选Web 服务器（IIS）选项（根据个人需求进行相关筛选），在功能页面同样勾选需要的功能，最后确认并安装。 3.服务器配置之防火墙配置在服务器配置中还有一个非常重要的步骤——防火墙的配置。之前因为没有对防火墙进行相关配置，导致本人焦头烂额，始终无法从外部网络连接至服务器。

web服务器的安全配置(以windows为例)

6、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。然后点击确定—>下一步安装。（具体见本文附件1）３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。４、备份系统用GHOST备份系统。５、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份

修改3389远程连接端口修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )

服务器主机安全规范

服务器主机安全规范启用防火墙阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的，不过这个一定要检查！补丁更新启用windows更新服务，设置为自动更新状态，以便及时打补丁。阿里云windows Server 2008 R2默认为自动更新状态，2012可能也是这样的，不过这个一定要检查！账号口令优化账号口令策略

网络服务优化服务（1）操作目的关闭不需要的服务，减小风险加固方法“Win+R”键调出“运行”->services.msc，以下服务改为禁用： Application Layer Gateway Service（为应用程序级协议插件提供支持并启用网络/协议连接） Background Intelligent Transfer Service（利用空闲的网络带宽在后台传输文件。如果服务被停用，例如Windows Update 和 MSN Explorer的功能将无法自动下载程序和其他信息） Computer Browser（维护网络上计算机的更新列表，并将列表提供给计算机指定浏览） DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry（使远程用户能修改此计算机上的注册表设置） Print Spooler（管理所有本地和网络打印队列及控制所有打印工作） Server（不使用文件共享可以关闭，关闭后再右键点某个磁盘选属性，“共享”这个页面就不存在了） Shell Hardware Detection TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络）

12终端服务的安装与配置

第十二章终端服务的安装与配置
1.终端服务概述 2.安装终端服务器与客户端 3.远程管理与远程控制 4.终端服务器的设置
1

1.终端服务概述 (1)终端服务
? 使用户能够在本地计算机连接、登录并操作远程的Windows Server 2003计算机。
2

(2)终端服务器的功能
? Windows Server 2003的终端服务提供两大功能（两种运行模式）：
* 远程桌面管理：系统管理员可以从任何一个终端客户端登录，远程管理网络与计算机。此功能已内置在Windows Server 2003中，但同时只能有两个连接。
? 应用服务器：可在服务器上安装各种应用程序 (例如Office等)，供网络上的多个用户可以同时使用。（需要安装“终端服务”组件，使用期限120天，除非网络内有一台已经被激活的 “终端服务器授权服务器”）.
3

2. 终端服务器的架设与连接设置
(1) 架设终端服务器
? 启用远程桌面管理
控制面板→系统→远程→允许用户远程连接到这台计算机
? 安装终端服务器
控制面板→添加/删除程序→添加/删除 Windows组件→选择“终端服务”
操作演示
4

(2) 安装远程桌面连接（客户端） ? Windows 2003/XP自动安装了远程桌面
连接：
运行：开始→所有程序→附件→通讯→远程桌面连接
? 其他Windows系统：从
C:\Windows\system32\clients\tsclients\w in32下取得
5

2003服务器安全配置教程

WEB+FTP+Email服务器安全配置手册作者：阿里西西 2006-8-11

目录第一章：硬件环境第二章：软件环境第三章：系统端口安全配置第四章：系统帐户及安全策略配置第五章：IIS和WEB站点文件夹权限配置第六章：FTP服务器安全权限配置第七章：Email服务器安全权限配置第八章：远程管理软件配置第九章：其它安全配置建议第十章：篇后语

一、硬件环境服务器采用1U规格的机架式托管主机，大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。二、软件环境操作系统：Windows Server 2003 Enterprise Edition sp1 WEB系统：Win操作系统自带IIS6，支持.NET 邮件系统：MDaemon 8.02英文版 FTP服务器系统：Serv-U 6.0.2汉化版防火墙: BlackICE Server Protection，中文名：黑冰杀毒软件：NOD32 2.5 远程管理控件：Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库：MSSQL2000企业版相关支持组件：JMail 4.4专业版，带POP3接口；ASPJPEG图片组件相关软件：X-SCAN安全检测扫描软件；ACCESS；EditPlus [相关说明] *考虑服务器数据安全，把160G*2硬盘做成了阵列，实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区；NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。操作系统安装完后，第一时间安装NOD32杀毒软件，装完后在线更新病毒库，接着在线Update操作系统安全补丁。 *安装完系统更新后，运行X-SCAN进行安全扫描，扫描完后查看安全报告，根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。

WebSphere-Web服务器安全配置基线

WebSphere Web服务器安全配置基线中国移动通信有限公司管理信息系统部 2012年 04月

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权 (5) 2.1帐号 (5) 2.1.1应用程序角色 (5) 2.1.2控制台帐号安全 (5) 2.1.3口令管理 (6) 2.1.4密码复杂度 (6) 2.2认证授权 (7) 2.2.1控制台安全 (7) 2.2.2全局安全性与Java2安全 (7) 第3章日志配置操作 (9) 3.1日志配置 (9) 3.1.1日志与记录 (9) 第4章备份容错 (10) 4.1备份容错 (10) 第5章设备其他配置操作 (11) 5.1安全管理 (11) 5.1.1控制台超时设置 (11) 5.1.2示例程序删除 (11) 5.1.3错误页面处理 (12) 5.1.4文件访问限制 (12) 5.1.5目录列出访问限制 (13) 5.1.6控制目录权限 (13) 5.1.7补丁管理* (13) 第6章评审与修订 (15)

第1章概述 1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web 服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。 1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。 1.3适用版本 6.x版本的WebSphere Web服务器。 1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。 1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

在windows server 中安装终端服务器组件

在Windows Server 2003中安装终端服务器组件在远程治理方面，Windows Server 2003系统一个最明显的进步确实是增加了“远程桌面”功能。如此一来，从Windows 2000保留下来的终端服务大概就显得有点多余了。然而情况并不是如此，因为在不安装“终端服务器”的前提下，“远程桌面”功能的可治理性比较有限。搭建终端服务器以后，对Windows 2000 Server和Windows Server 2003系统的远程治理操作将更加灵活。在Windows Server 2003（SP1）中默认没有安装终端服务器组件，用户需要手动添加该组件。安装终端服务组件的步骤如下所述：

第1步，在开始菜单中依次单击“操纵面板”→“添加或删除程序”菜单项，打开“添加或删除程序”窗口。然后单击“添加/删除Windows组件”按钮，打开“Windows组件向导”对话框。在“组件”列表中选中“终端服务器”复选框，如图2008112107所示。图2008112107 选中“终端服务器”复选框第2步，打开“配置警告”对话框，提示用户关于IE安全配置方面的信息。因为配置终端服务器的目的要紧是为了远程治理Windows Server 2003服务器，关于扫瞄Internet方面的要求并不高，因此直接单击“是”按钮。返回“Windows组件”对

话框，选中“终端服务器授权”复选框，并单击“下一步”→“下一步”按钮即可，如图2008112108所示。图2008112108 “配置警告”对话框第3步，在打开的为应用程序兼容性选择默认权限对话框中列出两种安装模式，即“完整安全模式”和“宽松安全模式”。选择不同的模式会应用到Windows Server 2003系统的不同安全级不。选中“完整安全模式”单选框，并单击“下一步”按钮，如图2008112109所示。

服务器硬件配置和服务器安全配置信息(全能)

WEB 服务器硬件配置方案一、入门级常规服务器硬配置方案：备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。二、顶级服务器配置方案

备注： 1，系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80% 无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95% 无冷凝 3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000 WEB 服务器软件配置和安全配置方案一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。２、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———https://www.360docs.net/doc/a812662982.html,（可选） |——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选） |——公用文件（必选） |——万维网服务———Active Server pages（必选） |——Internet 数据连接器（可选） |——WebDAV 发布（可选） |——万维网服务（必选） |——在服务器端的包含文件（可选）然后点击确定—>下一步安装。３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。４、备份系统用GHOST备份系统。５、安装常用的软件例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。二、系统权限的设置１、磁盘权限系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限２、本地安全策略设置开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败 B、本地策略——>用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——>安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除

HOW TO：为远程管理模式配置 Windows 终端服务

HOW TO：为远程管理模式配置Windows 终端服务概要本分步指南介绍了如何在Windows 2000 Server 中为"远程管理"模式配置终端服务，该模式允许您远程管理所有计算机。本文描述如何安装和配置"终端服务"以及如何安装和运行客户端，并简述如何使"终端服务"通过防火墙工作。安装终端服务可以在两种模式下安装"终端服务"："应用程序服务器"模式和"远程管理"模式。"应用程序服务器"模式用于瘦客户端环境，在该环境下用户可拥有轻量PC，并在服务器上而不是在本地运行程序。"应用程序服务器"模式要求每个连接用户均有许可证。 "远程管理"模式允许两种低资源并发连接，该模式非常适用于远程管理。无需额外的许可证，而且该限制无法增加。本文描述"远程管理"模式。安装终端服务的步骤 1.在CD-ROM 或DVD-ROM 驱动器中插入Windows 2000 Server 光盘。 2.如果在插入光盘后自动出现对话框，请单击安装附加组件。如果未出现对话框，请单击开始，指向设置，然后单击控制面板。双击添加/删除程序，然后单击添加/删除Windows 组件。 3.在组件列表中，单击以选中终端服务复选框。 4.如果选中了终端服务授权复选框，请单击以清除该复选框。对于"远程管理"模式，您无需该服务。单击下一步。 5.单击远程管理模式，然后单击下一步。 6."终端服务向导"运行并安装"终端服务"。完成后关闭该向导，在出现提示时重新启动计算机。连接到终端服务若要连接到运行在服务器上的"终端服务"，您必须使用"终端服务"客户端。该客户端位于装有"终端服务"的服务器上的以下文件夹中： %SystemRoot%\System32\Clients\Tsclient\Net\Win32 在服务器上创建共享位置，以便在任何计算机上方便地安装该客户端。在服务器上创建共享位置 1.使用"Windows 资源管理器"找到%SystemRoot%\System32\Clients\Tsclient\Net\Win32 文件夹。请注意，%SystemRoot% 可能是C:\Winnt 文件夹。

Apache服务器配置安全规范以及其缺陷

Apache服务器配置安全规范以及其缺陷！正如我们前言所说尽管Apache服务器应用最为广泛，设计上非常安全的程序。但是同其它应用程序一样，Apache也存在安全缺陷。毕竟它是完全源代码，Apache服务器的安全缺陷主要是使用HTTP 协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行拒绝服务(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷。主要安全缺陷（1）使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增，最终造成Apache系统变慢甚至完全瘫痪。（2）缓冲区溢出的安全缺陷该方法攻击者利用程序编写的一些缺陷，使程序偏离正常的流程。程序使用静态分配的内存保存请求数据，攻击者就可以发送一个超长请求使缓冲区溢出。（3）被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程)，攻击者会通过它获得root权限，进而控制整个Apache系统。（4）恶意的攻击者进行拒绝服务(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞，它主要是存在于Apache的chunk encoding中，这是一个HTTP协议定义的用于接受web用户所提交数据的功能。所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性，由于Apache服务器其庞大的项目，难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题：（1）Apache服务器配置文件Apache Web服务器主要有三个配置文件，位于 /usr/local/apache/conf目录下。这三个文件是：httpd.conf-----主配置文件srm.conf------填加资源文件access.conf---设置文件的访问权限（2）Apache服务器的目录安全认证在Apache Server中是允许使用 .htaccess做目录安全保护的，欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案，档名为.htaccss。AuthName 会员专区 AuthType BasicAuthUserFile /var/tmp/xxx.pw -----把password放在网站外 require valid-user 到apache/bin目录，建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 -----第一次建档要用参数-c % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容，进入要用合法的用户。注：采用了Apache内附的模组。也可以采用在httpd.conf中加入：options indexes followsymlinks allowoverride authconfig order allow,deny allow from all （3）Apache服务器访问控制我们就要看三个配置文件中的第三个文件了，即access.conf文件，它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令，再使用allow from指令打开访问权限。order deny,allowdeny from allallow from https://www.360docs.net/doc/a812662982.html, 设置允许来自某个域、IP地址或者IP段的访问。（4）Apache服务器的密码保护问题我们再使用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打开目录的访问控制。如：AuthName PrivateFilesAuthType BasicAuthUserFile /path/to/httpd/usersrequire Phoenix# htpasswd -c /path/to/httpd/users Phoenix设置Apache服务器的WEB和文件服务器我们在Apache服务器上存放WEB 服务器的文件，供用户访问，并设置/home/ftp/pub目录为文件存放区域，用

某世界500强公司的服务器操作系统安全配置标准

某世界500强公司的服务器操作系统安全配置标准－Windows 中国××公司服务器操作系统安全配置标准－Windows V 1.1 2006年03 月30 日文档控制拟制: 审核: 标准化: 读者：版本控制版本提交日期相关组织和人员版本描述 V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用 8.3 格式文件名的自动生成 8 4.5 禁用 LMHASH 创建 8 4.6 配置 NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11 6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16

8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用NTFS文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 18 1 概述本文档规定了中国××公司企业围安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用围本规的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本规适用的围包括：支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施本规的解释权和修改权属于中国××公司，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准一经颁布，即为生效。 1.3 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护根据中国××公司经营活动的需要，每年检查和评估本标准，并做出适当更新。如果在突发事件处理过程中，发现需对本标准进行变更，也需要进行本标准的维护。任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制基本策略：用户被赋予唯一的用户名、用户ID（UID）。 3.1 密码策略默认情况下，将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住 4 个密码密码最长期限 42 天 42 天密码最短期限 0 天 0 天最短密码长度 0 个字符 8 个字符密码必须符合复杂性要求禁用启用

售后服务终端服务

（售后服务）终端服务

从终端服务3389讲起昨天我们讲到了提升权限的问题，好当下我们就来说壹个简单的入侵，从3389找个肉鸡（没有肉鸡的话，对自己的技术提高是没好处的，不能老是见却不练啊，陈同学你说对吗？）请各位注意，我这里且不是说什么烂鬼输入法漏洞。这种漏洞差不多已经绝迹了，太难找了，如果有人找到了，那恭喜你啦。众所周知，有开3389的壹般均是服务器，也就是说有很大可能带局域网的，而内部入侵比外部要方便壹点，这对大家是很好的，我想见我这个东西的很多均是学生吧(声明我就个学生哦）。如何能快速方便的得到开了终端的肉机呢？这需要用到俩个工具，均是扫描工具来的，scanner3.0和焦点的xscan。打开scanner，输入壹段IP，范围要大壹点，scanner 速度很快的。于“所有端口从”那里均填3389，点击“开始”就能够开工了。很快的，扫描完成，结果出来了。点击右下脚的“删除”把多余的IP删了，只留下开了3389的IP。再点击“保存”，把结果保存到文件夹里。找到保存文件的目录，打开它。用记事本的替换功能把它保存为壹个纯IP的TXT文件。“编辑－替换”于“查找内容”里输入要删除的垃圾，再点“全部替换”就行了。打开xscan，点击左边的蓝色按钮，进入“扫描板块”，只需于“SQL-Server弱口令”“NT-Server弱口令”前打钩，其他均清除掉。再点击右边的蓝色按钮，进入“扫描参数”，钩上“从文件获取主机列表”，打开刚才替换成纯IP的TXT 文件，确定之后就能够扫描了。这时需要比较长的时间！（注意我是拿3.0为例的，其他的也差不多）。确定目标，用mstsc（登陆终端的工具，这个我不喜欢用，但确实很容易上手的）登陆对方主机后，打开对方cmd.exe，输入“netuse”，先见见有没有人也于连接这部机（安全壹点好，毕竟不是于学雷峰啊）。

明御安全网关快速配置手册

目录防火墙配置一：SNAT配置 (3) 防火墙配置二：DNAT配置 (5) 防火墙配置三：透明模式配置 (10) 防火墙配置四：混合模式配置 (13) 防火墙配置五：DHCP配置 (16) 防火墙配置六：DNS代理配置 (17) 防火墙配置七：DDNS配置 (19) 防火墙配置八：负载均衡配置 (21) 防火墙配置九：源路由配置 (23) 防火墙配置十：双机热备配置 (24) 防火墙配置十一：IP-QoS配置 (27) 防火墙配置十二：应用QoS配置 (30) 防火墙配置十三：Web认证配置 (33) 防火墙配置十四：会话控制配置 (39) 防火墙配置十五：IP-MAC绑定配置 (40) 防火墙配置十六：禁用IM配置 (42) 防火墙配置十七：URL过滤配置 (44) 防火墙配置十八：网页内容过滤配置 (48) 防火墙配置十九：基于路由静态IPSEC配置 (50) 防火墙配置二十：基于路由动态IPSEC配置 (55) 防火墙配置二十一：基于策略静态IPSEC配置 (64) 防火墙配置二十二：SSLVPN配置 (72) 防火墙配置二十三：防病毒配置 (77) 防火墙配置二十四：IPS配置 (81) 防火墙配置二十五：日志服务器配置 (84) 防火墙配置二十六：邮件形式输出日志信息 (86) 防火墙配置二十七：记录上网URL日志配置 (88)

防火墙配置二十八：Web外发信息控制 (89) 防火墙配置二十九：配置管理及恢复出厂 (92)

防火墙配置一：SNAT配置一、网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet 三、配置步骤第一步：配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置，通过Webui登录防火墙界面如下：输入缺省用户名admin，密码adminadmin后点击登录，配置外网接口地址

CISCO终端服务器配置方法

Cisco路由器的异步串口支持反向Telnet，因此可以用这个功能将一台2509配置成终端服务器，连接实验环境的其他Cisco设备，具体做法如下：将Cisco 2509安装八爪鱼线缆，注意只安装线缆，不装DB25-RJ45转换器。将八爪鱼线缆RJ45一头插入其他Cisco设备的Console口。然后配置这台2509： Line tty 1 8 No exec Transport input all 对于要使用AUX接口的，还要： Line AUX 0 No exec Transport input all 如果要登录tty1(1号辫子)连接的Cisco设备，就要在用于终端服务器的2509上： telnet X.X.X.X 2001 (X.X.X.X为2509的loopback地址) 同理，如果要登录tty2(2号辫子)连接的Cisco设备，就要在用于终端服务器的2509上： telnet X.X.X.X 2002 如果要登录tty65(AUX)连接的Cisco设备，就要在用于终端服务器的2509上： telnet X.X.X.X 2065 也就是说：对哪个端口使用反向telnet，就要： telnet X.X.X.X （2000＋Line号）对于Line号的查询，可使用： show Line 特别注意：一定要在使用反向Telnet的Line上配置： Line tty X No exec Transport input all 否则无法打开端口配置2509需要了解:反向TELNET：反向TELNET用TELNET从异步端口向外建立连接。配置终端服务器的步骤是: 1.配置环回接口环回接口被用于为反向telnet提供激活的IP地址.由于环回接口总是处于工作状态,所以选择环回接口是最稳定的.不会轻易失效.

Windows终端安全配置手册

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口

终端服务器安装流程

IT运维人员工作手册通用版

服务器基本安全配置

AWS服务器配置部署手册

web服务器的安全配置(以windows为例)

服务器主机安全规范

12终端服务的安装与配置

2003服务器安全配置教程

WebSphere-Web服务器安全配置基线

在windows server 中安装终端服务器组件

服务器硬件配置和服务器安全配置信息(全能)

HOW TO：为远程管理模式配置 Windows 终端服务

最新最新版本服务器系统安全配置

Apache服务器配置安全规范以及其缺陷

某世界500强公司的服务器操作系统安全配置标准

售后服务终端服务

明御安全网关快速配置手册

CISCO终端服务器配置方法