建筑堡垒服务器(1)

建筑堡垒服务器(1)

要求：1、配置一台堡垒主机；支持php、asp虚拟10个站的WEB的堡垒主机；就是说从新买来一台服务器，安装、配置、上架的过程。
一、安装系统，这里我选择的是windows 2000 server版，其实windows 2000是一个非常安全的一个操作系统，操作简单，而且Microsoft也对他这套系统很负责。安装时没什么特别的，也非常简单，其实我们只要注意以下几点就可以了。
  1、安装时要采用NTFS格式的系统分区。NTFS格式分区的访问控制决不亚于*NIX系统，其实他的文件系统是按照UNIX而设计的，服务器上的每个磁盘都应该采用。
  2、在安装时一定要与公网断开、确保安装盘完好无损并可以信赖。
3、安装时只安装TCP/IP协议即可，同样安装时不安装任何程序及服务如图1所示，以最小化安装即可。为了安全，我们的服务器不加入域。

二、一般网上的教程常常说安装系统后就去“补丁铺”了，其实这样作是非常不安全的，这时系统的安全系数几乎为0，接入网络更新的时候很有可能“中奖”，我们先打好系统底层基础安全。
  1、开始运行输入“lusrmgr.msc”(引号不要以下相同)打开本地用户和组，在这里先建一个“Backup Operators”组的用户，用来日常数据备份和维护工作，建立10个guests组的用户用来分配给那10个虚拟网站使用,如user1----user10重命名管理员账号及来宾账号，并给予一个强壮的密码。
2、配置账户策略，打开“本地安全设置”。
密码策略：密码必须符合复杂性  ----已启用
            密码长度最小值      ----13个字符建议更高）
  账户锁定策略设置：账户锁定阈值  ----3次     无效登录
账户锁定时间  ----30分钟 可以根据需要更改）
如图2、3。


3、配置日志审核。
审核策略更改      成功+失败  
审核登录事件      成功+失败  
审核对象访问      失败  
审核目录服务访问  失败
审核特权使用      失败
审核账户管理      成功+失败
审核系统事件      成功+失败  
审核账户管理      成功+失败　如图4所示

4、配置用户权利指派。
备份文件和目录     ---- 建议用管理员账号和刚建的那个Backup Operators组的那个账号。删除administrators组及其它组。
本地登录              ---- 同上
关闭系统              ---- 同上
还原文件和目录        ---- 同上
管理审核和安全日志    ---- 管理员账户
配置单一进程          ---- 管理员账户
取得文件或对象的所有权---- 管理员账户
从远端系统强制关机    ---- 无
更改系统时间          ---- 无
装载卸载设备驱动程序  ----管理员账户
磁盘配额              ----管理员账户
根据你的须要添加，不授予其它组任何权限，除了你有别的特殊要求。
三、停用系统提供不必要的服务。
开始运行输入services.msc打开系统服务控制台。启用不必要的服务会给服务器带来一定的安全隐患，而且也会占用系统一部分资源。一般系统只运行以下服务即可，如果特别须要可视情况而定。
  Event Log  事件查看器
  IIS Admin Service  管理 Web 服务
  Logical Disk Manager 磁盘管理
  Plug and Play  管理即插即用硬件设备
  Protected Storage  提供对敏感数据的保护性存储
  Remote Procedure Call (RPC)  系统进程调用
  Security Accounts Manager    存储本地用户帐户的安全信息
  Windows Management Instrumentation  提供系统管理信息
  World Wide Web Publishing Service  提供 Web 连接和管理
  四、网络连接的安全配置
1、在桌面的“网上邻居”上右键“属性”，找到“本地连接”右键“属性”如图5。我们只保留“internet 协议TCP/IP）”，其它的对于我们这样的服务器没有用途而且还会带来安全隐患。

2、“internet 协议TCP/IP）--属性--高级—WINS”选项卡，选择禁用TCP/IP上的NetBLOS(S)如图6
3、选择“选项---TCP/IP筛选---属性”，如果只提供WEB服务可只允许80端口的TCP数据通过，如果是多个WEB而用端口区分那就可视情况而定
了。如图7所示。