亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 網(wǎng)絡(luò)知識(shí) > 網(wǎng)絡(luò)基礎(chǔ)知識(shí) > 服務(wù)器維護(hù)安全策略

      服務(wù)器維護(hù)安全策略

      時(shí)間: 權(quán)威724 分享

      服務(wù)器維護(hù)安全策略

        我們所用的服務(wù)器大多是windows平臺(tái)的windows server系列的系統(tǒng),而且服務(wù)器安全也是我們現(xiàn)在很多人關(guān)注的一點(diǎn),那么你知道服務(wù)器維護(hù)安全策略是什么嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于服務(wù)器維護(hù)安全策略的相關(guān)資料,供你參考。

        服務(wù)器維護(hù)安全策略一、windows系統(tǒng)帳號(hào)

        1.將administrator改名,如改為別名,如:boco_ofm;或者取中文名(這樣可以為黑客攻擊增加一層障礙)

        2.將guest改名為administrator作為陷阱帳戶,并且設(shè)置一個(gè)個(gè)高強(qiáng)度的密碼,或直接禁用;(有的黑客工具正是利用了guest 的弱點(diǎn),可以將帳號(hào)從一般用戶提升到管理員組。)

        3.除了管理員帳戶、以及服務(wù)必須要用到的用戶外,禁用或刪除其他一切用戶。

        (1)網(wǎng)站帳號(hào)一般只用來(lái)做系統(tǒng)維護(hù),多余的帳號(hào)一個(gè)也不要,因?yàn)槎嘁粋€(gè)帳號(hào)就會(huì)多 一份被攻破的危險(xiǎn)。

        (2)除過(guò)Administrator外,有必要再增加一個(gè)屬于管理員組的帳號(hào);(兩個(gè)管理員組的帳號(hào),一方面防止管理員一旦忘記一個(gè)帳號(hào)的口令還有一個(gè)備用帳 號(hào);另方面,一旦黑客攻破一個(gè)帳號(hào)并更改口令,我們還有機(jī)會(huì)重新在短期內(nèi)取得控制權(quán)。)

        (3)給所有用戶帳號(hào)一個(gè)復(fù)雜的口令(系統(tǒng)帳號(hào)出外),長(zhǎng)度最少在8位以上, 且必須同 時(shí)包含字母、數(shù)字、特殊字符。同時(shí)不要使用大家熟悉的單詞(如boco)、熟悉的鍵盤順 序(如qwert)、熟悉的數(shù)字(如2008)等。(口令是黑客攻擊的重點(diǎn),口令一旦被突破也就無(wú)任何系統(tǒng)安全可言了,通過(guò)在網(wǎng)絡(luò)上查資料顯示,僅字母加數(shù)字的5位口令在幾分鐘內(nèi)就會(huì)被攻破)

        服務(wù)器維護(hù)安全策略二、密碼與用戶策略

        1.開啟密碼策略

        注意應(yīng)用密碼策略,啟用密碼復(fù)雜性要求,設(shè)置密碼長(zhǎng)度最小值為8位 ,設(shè)置強(qiáng)制密碼歷史為5次,時(shí)間為31天。

        2.開啟用戶策略

        使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為30分鐘,用戶鎖定時(shí)間為30分鐘,用戶鎖定閾值為3次。

        服務(wù)器維護(hù)安全策略三、Windows防火墻

        Windows 2000默認(rèn)不帶防火墻,需要我們自己安裝一個(gè)安全的軟件防火墻;

        1.開啟前要先看看3389端口有沒(méi)有加到例外里去,因?yàn)槲覀兊姆?wù)器都放在機(jī)房,維護(hù)人員一般都是在遠(yuǎn)程維護(hù),沒(méi)有的話勾上“遠(yuǎn)程桌面”,然后再開啟。

        2.在例外中加入80、1433、21端口,總之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墻“高級(jí)”本地連接“設(shè)置”服務(wù),勾上所要服務(wù),如:遠(yuǎn)程桌面、http、ftp、smtp)。

        3.允許ping服務(wù)器:windows防火墻—高級(jí)—本地連接“設(shè)置”ICMP,勾上第一個(gè):允許傳入響應(yīng)請(qǐng)求。

        4.在防火墻策略中在添加一個(gè)允許遠(yuǎn)程桌面的的IP地址通過(guò)。

        服務(wù)器維護(hù)安全策略四、本地策略

        1.本地策略——>安全選項(xiàng)

        交互式登陸:不顯示上次的用戶名 啟用

        網(wǎng)絡(luò)訪問(wèn):不允許SAM帳戶和共享的匿名枚舉  啟用

        網(wǎng)絡(luò)訪問(wèn):不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用

        網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的共享 全部刪除

        網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道 全部刪除

        網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑全部刪除

        網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑全部刪除

        網(wǎng)絡(luò)訪問(wèn):限制匿名訪問(wèn)命名管道和共享

        2.本地策略——>審核策略

        審核策略更改 成功 失敗

        審核登錄事件 成功 失敗

        審核對(duì)象訪問(wèn)   失敗

        審核過(guò)程跟蹤 無(wú)審核

        審核目錄服務(wù)訪問(wèn)失敗

        審核特權(quán)使用失敗

        審核系統(tǒng)事件 成功 失敗

        審核賬戶登錄事件 成功 失敗

        審核賬戶管理 成功 失敗

        3.本地策略——>用戶權(quán)限分配

        關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。

        從網(wǎng)絡(luò)訪問(wèn)些計(jì)算機(jī):只有系統(tǒng)管理員與指定帳號(hào)。

        4.使用NTFS格式分區(qū)

        把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多。

        5.設(shè)置屏幕保護(hù)密碼

        很簡(jiǎn)單也很有必要,設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要使用一些復(fù)雜的屏幕保護(hù)程序,浪費(fèi)系統(tǒng)資源,讓他黑屏就可以了。所有系統(tǒng)用戶所使用的機(jī)器最好也加上屏幕保護(hù)密碼。

        6.把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”

        “everyone” 在win2000與win3003中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成”everyone”組。包括打印共享,默認(rèn)的屬性就是”everyone”組的。

        7.保障備份盤的安全

        一旦系統(tǒng)資料被破壞,備份盤將是恢復(fù)資料的唯一途徑。備份完資料后,把備份放在安全的地方。千萬(wàn)別把資料備份在同一臺(tái)服務(wù)器上,我們?cè)?001房間已經(jīng)部署了備份服務(wù)器。

        服務(wù)器維護(hù)安全策略五、關(guān)閉無(wú)用的服務(wù)

        1.我們一般關(guān)閉如下服務(wù):

        Computer Browser (瀏覽器更新)

        Help and Support (計(jì)算機(jī)幫助)

        Messenger (客戶端與服務(wù)器之間的netsend和alerter服務(wù)消息)

        Print Spooler (內(nèi)存中便遲打印)

        Remote Registry (遠(yuǎn)程用戶修改注冊(cè)表)

        TCP/IP NetBIOS Helper (netbios名稱解析)

        Workstation (創(chuàng)建和維護(hù)遠(yuǎn)程計(jì)算機(jī)的客戶端網(wǎng)絡(luò)連接)

        Telnet (允許遠(yuǎn)程用戶登錄到些計(jì)算機(jī))

        把不必要的服務(wù)都禁止掉,盡管這些不一定能被攻擊者利用得上,但是按照安全規(guī)則和標(biāo)準(zhǔn)上來(lái)說(shuō),多余的東西就沒(méi)必要開啟,減少一份隱患。

        2.在"網(wǎng)絡(luò)連接"里,把不需要的協(xié)議和服務(wù)都刪掉,只保留基本的Internet協(xié)議(TCP/IP),在高級(jí)tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。

        3.禁用空會(huì)話

        檢查是否禁用了空會(huì)話,避免與服務(wù)器創(chuàng)建匿名(不進(jìn)行身份驗(yàn)證的)會(huì)話。要進(jìn)行檢查,請(qǐng)運(yùn)行 Regedt32.exe,確認(rèn)“RestrictAnonymous”項(xiàng)已設(shè)置為 1,如下所示。

        HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

        4.要審查共享和相關(guān)的權(quán)限,運(yùn)行“計(jì)算機(jī)管理”MMC 管理單元,然后選擇“共享文件夾”下的“共享”。檢查所有共享是否是需要的共享。刪除所有不必要的共享。

        刪除默認(rèn)共享bat腳本:

        Net share /delete C$

        Net share /delete D$

        Net share /delete E$

        Net share /delete IPC$

        Net share /delete ADMIN$

        或者通過(guò)修改注冊(cè)表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可

        5.不要在服務(wù)器上安裝與應(yīng)用程序無(wú)關(guān)的應(yīng)用。

        6. IIS:IIS是微軟的組件中漏洞最多的一個(gè),平均兩三個(gè)月就要出一個(gè)漏洞,微軟的IIS默認(rèn)安裝的配置是重點(diǎn),我們現(xiàn)在用IIS服務(wù)的就公司一些網(wǎng)站。

        首先,把C盤那個(gè)什么Inetpub目錄徹底刪掉,在D盤建一個(gè)Inetpub(要是你不放心用默認(rèn)目錄名也可以改一個(gè)名字,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub;

        其次,IIS安裝時(shí)默認(rèn)虛擬目錄一概刪除,雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來(lái)了,但是還是小心,如果需要什么權(quán)限的目錄可以自己慢慢建,需要什么權(quán)限開什么.(注意寫權(quán)限和執(zhí)行程序的權(quán)限)

        服務(wù)器維護(hù)安全策略六、修改端口號(hào)

        1. 更改遠(yuǎn)程桌面端口

        依次展開

        HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

        右邊鍵值中 PortNumber 改為想用的端口號(hào).使用十進(jìn)制(例 40228 )

        HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

        WINSTATIONS/RDP-TCP/

        右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 40228 )

        注意:在WINDOWS2003自帶的防火墻給+上40228端口

        修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效.

        2.一般禁用以下端口

        135 138 139 443 445 4000 4899 7626

        3.更改TTL值

        黑客可以根據(jù)ping回的TTL值來(lái)大致判斷你的操作系統(tǒng),如:

        TTL=107(WINNT);

        TTL=108(win2000);

        TTL=127或128( xp);

        TTL=240或241(linux);

        TTL=252(solaris);

        TTL=240(Irix);

        更改端口號(hào):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258,悟道一般的黑客侵入。

        看過(guò)文章“服務(wù)器維護(hù)安全策略”的人還看了:

        1.如何提升服務(wù)器安全等級(jí)

        2.如何防護(hù)網(wǎng)絡(luò)服務(wù)器安全

        3.如何維護(hù)網(wǎng)絡(luò)服務(wù)器安全

        4.服務(wù)器如何防攻擊

        5.Windows服務(wù)器的基礎(chǔ)安全加固方法

        6.入侵服務(wù)器的基礎(chǔ)知識(shí)

        7.服務(wù)器怎么防攻擊

        8.怎么利用服務(wù)器的DHCP維護(hù)局域網(wǎng)安全

        9.怎么設(shè)置網(wǎng)件PR2000為公共熱點(diǎn)安全模式

        10.服務(wù)器物理安全

      603848