分享
 
 
 

Windows服务器安全解决方案

王朝system·作者佚名  2006-01-09
窄屏简体版  字體: |||超大  

Windows服务器安全解决方案

目前Internet上的服务器,Windows Server是占有一定的比例的,但是由于Windows Sever的突出安全问题,Microsoft也迟迟没有提出比较可行的解决方案,只是推出这一个又一个的补丁,使得Windows Server的用户整天担惊受怕。

我们经过长期的摸索和考究,对网络的零零碎碎的安全文档进行了整理,总结出一套解决方案,具体如下:

解决方案:

一、系统安装

1. 磁盘分区格式

1)一台要用来作为网络服务器的Windows Server,硬盘的分区格式一定要是NTFS,NTFS的分区格式远比FAT分区格式来得安全的多,在NTFS格式下,用户可以对不同的文件夹设置不同的的权限,增强服务器的安全性。

2)另一点要注意的是,我们对硬盘进行分区,最好是一次性进行,把分区都分成NTFS格式,可别先分成FAT格式,再进行转换,这样很容易导致系统出问题,甚至崩溃。

3)由于NTFS分区格式的特殊性,用户无法通过软盘启动进行杀毒,所以要提醒用户,一定要做好系统的防毒工作。

2. 操作系统安装

1)操作系统安装,一定要做到一台服务器只安装一个系统,才不会给居心不良的人有可乘之机,增加了服务器的安全隐患。

2)操作系统安装时,系统文件不要装在默认的目录(WINNT),要选择安装一个新的目录进行安装;Web目录和系统不要放在同一个分区,防止有人通过Web权限漏洞,访问系统文件、文件夹。

3)安装完操作系统,一定要先更新系统必要的补丁,直到没有补丁可更新。

4)尽量少安装与Web服务不相关的软件。

二、系统设置

1. 帐户设置

1) 尽可能少的有效帐户,没有用的一律不要,多一个帐户就多一个安全隐患。

2) 可以有两个管理帐户,以防忘记密码,或者被人修改了密码,做后备用。

3) 要加强帐户管理,不要轻易给特殊权限。

4) 给管理帐户改名字,不要保留默认的名字,这个容易被猜到。其他非管理帐户也尽量遵循这一原则。

5) 将Guest帐户禁用,改成一个复杂的名称并加上密码,然后将它从Guests组删除。

6) 帐户密码规则,所有帐户(系统帐号除外)密码最好是8位以上,密码最好是特殊符号、数字、大小写字母的搭配。不要避免使用单词。

7) 帐户密码要定期进行更改,密码最好熟记在脑中,不要在其他地方做记录;另外,如果发现日志中有连续尝试登陆的帐户,要立即更改其帐户名及口令。

8) 在系统中加设帐户错误登陆锁定的次数,防止连续的登陆尝试,并能有效提高管理员的警惕性。

2. 网络设置

1)只保留TCP/IP协议,其他全部删除。

2)NetBIOS常常是网络黑客的扫描目标,这里我们要禁用它。

操作方法:网络连接->本地连接属性->高级->WINS选项->禁用Tcp/Ip上的NetBIOS->确定。

3)只允许一些必要的端口

如:

21 TCP FTP

25 TCP SMTP

53 TCP DNS

80 TCP HTTP

1433 TCP SQL SERVER

3389 TCP TERMINAL SERVICES

5631 TCP PCANYWHERE

等一些常用的端口。特别提醒:安装蓝芒域名虚拟主机关系系统需要开放19888端口。

4)

3. 删除没有必要的共享,提高安全性

操作方法:运行Regedit,

(1) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一值

Name: AutoShareServer

Type:REG-DWORD

Value:0

(2) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下增加一值

Name:restrictanonymous

Type:REG_DWORD

Value:0

4. 修改权限

Windows 2000 Server的NTFS分区默认权限都是Everyone完全控制权限,这样给服务器的安全带来了一定的安全隐患。我们建议,所有NTFS分区只给管理员和SYSTEM完全控制权限。有特殊权限需求的目录可单独设置。

5. 修改计算机某些特性

操作方法:控制面板->系统->高级->启动和故障恢复->取消显示操作系统列表->取消发送警报->取消写入调试信息->完成。

6. 禁止一些没有必要的服务。

具体操作位置:控制面版->管理工具->服务

需要停掉的服务,例如:Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。

7. 安全日志

Win2000的默认安装是不开任何安全审核的!

那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:

在账户策略->密码策略中设定:

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5次

最长存留期 30天

在账户策略->账户锁定策略中设定:

账户锁定 3次错误登录

锁定时间 20分钟

复位锁定计数 20分钟

同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)->权限->高级中配置安全审核,一般来说只要记录登录、注销事件就可以了

8. IIS设置

只安装管理器、公共文档和WWW服务。

尽量减少IIS中没有必要的映射,大多数用户只留asp,asa就可以了。

Web目录需要IUSR读写权限,IIS中只开放读取权限。

有效利用IIS中IP禁止访问列表。

完善日志功能,以便查找问题,加强监控。

9. FTP设置

禁止对FTP的匿名访问。

注意用户权限的开放度。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有