Part. 1 기본설정
* 작업 표시줄 시작 버튼(속성) -> 이전 시작 메뉴로 변경
* 바탕화면(속성) -> 화면 호보기 탭 -> 화면 보호기 사용 안함(없음)
* 내 컴퓨터(속성) -> 고급 탭 -> 성능(설정) -> 최적 성능으로 조정
* 레지스트리 수정 (시작 -> 실행 -> regedit 입력)
- 익명계정으로 access하는것을 막기 위한 작업
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSe\Control\Lsa\restrictanonymous 값을 2로 변경
- 널 세션으로 공유 자원에 접근 할 수 없도록 윈도우 관리목적의 기본 공유 폴더 제거
HKEY_LOCAL_MACHINE\System\CurrentControlSe\Services\lanmanserver\parameters 에서
DWORD형식으로 AutoShareServer 를 값 0 인 상태로 추가
※ 원격접속 포트 변경 방법
- 원격데스크톱(터미널) 기본포트 변경 (3389 -> 특정포트)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\Tcp
에서 PortNumber값을 원하는 포트로 변경 (10진수 선택)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
에서 PortNumber값을 원하는 포트로 변경 (10진수 선택)
Part. 2 네트워크 보안 설정
* 내 네트워크 환경(속성) -> 로컬 영역 연결(속성) -> 고급 탭(Windows 방화벽:설정) -> 예외 탭에서 포트 추가
(Windows 방화벽 사용시에만 설정)
25 : SMTP
80 : HTTP
1433 : MS-SQL
3389 : 원격데스크톱
inetinfo.exe : FTP서비스를 사용하는 IIS 설치 후 등록 가능 C:\windows\system32\inetsrv\inetinfo.exe
* 내 네트워크 환경(속성) 로컬 영역 연결(속성)
- 널 세션 연결을 막기 위해 “Microsoft 네트워크용 클라이언트” 체크 해제
- 널 세션 연결을 막기 위해 “Microsoft 네트워크용 파일 및 프린터 공유” 체크 해제
- 인터넷 프로토콜 TCP/IP(속성) -> 고급 -> WINS 탭 -> NetBIOS over TCP/IP 사용 안 함 체크
Part. 3 로컬 보안 정책 설정
* 로컬 보안 정책 수정 “시작 -> 프로그램 -> 관리도구 -> 로컬 보안 정책”
- 로컬 정책 -> 감사 정책
계정 관리 감사, 계정 로그온 이벤트 감사, 로그온 이벤트 감사, 시스템 이벤트 감사, 정책 변경 감사 의
5가지 정책 “성공, 실패” 체크
- 로컬 정책 -> 사용자 권한 할당
로컬 로그온 허용에서 Users 그룹 삭제
- 로컬 정책 -> 보안 옵션
네트워크 보안 : LAN Manager 인증 수준 : NTLM2 응답만 보냄\LM & NTLM 거부
네트워크 액세스 : 원격으로 액세스 할 수 있는 레지스트리 경로 : 모두 삭제
네트워크 액세스 : 원격으로 액세스 할 수 있는 레지스트리 경로 및 하위 경로 : 모두 삭제
네트워크 액세스 : 익명으로 액세스 할 수 있는 공유 : 모두 삭제
네트워크 액세스 : 익명으로 액세스 할 수 있는 명명된 파이프 : 모두 삭제
네트워크 액세스 : SAM 계정과 고유의 익명 열거 허용 안함 : 사용
대화형 로그온 : 마지막 사용자 이름 표시 안 함 : 사용
대화형 로그온 : 세션이 잠겨진 경우 사용자 정보 표시 : 사용자 정보 표시 안 함
도메인 구성원 : 고급 세션 키 요청(Windows 2000 또는 그 이상) : 사용
Part. 4 IIS 설치
* 시작 -> 설정 -> 제어판 -> 프로그램 추가/제거 -> Windows 구성 요소 추가/제거
- 응용프로그램 서버 -> ASP.NET 사용 체크 (인터넷 정보 서비스도 자동으로 체크 됨)
- 응용프로그램 서버 -> 인터넷 정보 서비스 IIS -> FTP 서비스 체크
- 응용프로그램 서버 -> 인터넷 정보 서비스 IIS -> SMTP Servise 체크
- 응용프로그램 서버 -> 인터넷 정보 서비스 IIS -> World Wide Web 서비스 -> Active Server Pages 체크
※ 다운로드 및 업로드 제한 용량 설정 방법
* C:\Windows\system32\inetsrv\Metabase.xml 파일 수정
- 수정하기 전에 “IIS -> 로컬컴퓨터(속성) -> 메타베이스 직접 편집 허용” 체크 하고 수정 후 체크 없에기
- AspBufferingLimit : 4194304에서 209715200 으로 변경 (200M로 다운로드 제한)
- AspMaxRequestEntityAllowed : 204800 에서 20971520 으로 변경 (20M로 업로드 제한)
Part. 5 사용자계정 보안 설정
* 권한 설정 “내 컴퓨터(관리) -> 로컬 사용자 및 그룹”
- 사용자 -> Guest 계정을 사용안함 으로 변경하고 이름을 guest_none 로 변경
- IUser_xxx, IWAM_xxx 계정 사용안함 으로 변경
Part. 6 불필요한 서비스 중지
* 시작 -> 프로그램 -> 관리도구 -> 서비스
- Computer Browser, DHCP Client, DNS Client, Print Spooler, Remote Registy, TCP/IP NetBIOS Helper,
WinHTTP Web Proxy Auto-Discovery Service 이렇게 7가지 서비스를 중지하고 사용안함 으로 변경
- ASP.NET State Service 서비스를 시작하고 자동으로 변경
Part. 7 터미널 서비스
* 시작 -> 프로그램 -> 관리도구 -> 터미널 서비스 구성 -> 연결 -> 오른쪽 화면의 RDP-Tcp(속성)
- 일반 탭 -> 암호화 수준[높음] 으로 변경
- 세션 탭 -> 사용자 설정 무시[체크] 후 유휴 세션 제한 [1시간] 으로 변경하고 바로 밑에 사용자 설정 무시 [체크]
- 클라이언트 설정 탭 -> 사용자 설정의 연결 설정 사용[체크해제] 후 로그온 시 클라이언트 드라이브 연결만 [체크] 나머지는 [체크해제]
[출처] Windows Server 2003 최적화 및 보안설정|작성자 smilemoon