伺服器維護安全策略

  我們所用的伺服器大多是windows平臺的windows server系列的系統,而且伺服器安全也是我們現在很多人關注的一點,那麼你知道是什麼嗎?下面是小編整理的一些關於的相關資料,供你參考。

  一、windows系統帳號

  1.將administrator改名,如改為別名,如:boco_ofm;或者取中文名***這樣可以為黑客攻擊增加一層障礙***

  2.將guest改名為administrator作為陷阱帳戶,並且設定一個個高強度的密碼,或直接禁用;***有的黑客工具正是利用了guest 的弱點,可以將帳號從一般使用者提升到管理員組。***

  3.除了管理員帳戶、以及服務必須要用到的使用者外,禁用或刪除其他一切使用者。

  ***1***網站帳號一般只用來做系統維護,多餘的帳號一個也不要,因為多一個帳號就會多 一份被攻破的危險。

  ***2***除過Administrator外,有必要再增加一個屬於管理員組的帳號;***兩個管理員組的帳號,一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳 號;另方面,一旦黑客攻破一個帳號並更改口令,我們還有機會重新在短期內取得控制權。***

  ***3***給所有使用者帳號一個複雜的口令***系統帳號出外***,長度最少在8位以上, 且必須同 時包含字母、數字、特殊字元。同時不要使用大家熟悉的單詞***如boco***、熟悉的鍵盤順 序***如qwert***、熟悉的數字***如2008***等。***口令是黑客攻擊的重點,口令一旦被突破也就無任何系統安全可言了,通過在網路上查資料顯示,僅字母加數字的5位口令在幾分鐘內就會被攻破***

  二、密碼與使用者策略

  1.開啟密碼策略

  注意應用密碼策略,啟用密碼複雜性要求,設定密碼長度最小值為8位 ,設定強制密碼歷史為5次,時間為31天。

  2.開啟使用者策略

  使用使用者策略,分別設定復位使用者鎖定計數器時間為30分鐘,使用者鎖定時間為30分鐘,使用者鎖定閾值為3次。

  三、Windows防火牆

  Windows 2000預設不帶防火牆,需要我們自己安裝一個安全的軟體防火牆;

  1.開啟前要先看看3389埠有沒有加到例外裡去,因為我們的伺服器都放在機房,維護人員一般都是在遠端維護,沒有的話勾上“遠端桌面”,然後再開啟。

  2.在例外中加入80、1433、21埠,總之,要什麼端口才新增什麼埠,不要的埠一律不加。***也可以:windows防火牆“高階”本地連線“設定”服務,勾上所要服務,如:遠端桌面、http、ftp、smtp***。

  3.允許ping伺服器:windows防火牆—高階—本地連線“設定”ICMP,勾上第一個:允許傳入響應請求。

  4.在防火牆策略中在新增一個允許遠端桌面的的IP地址通過。

  四、本地策略

  1.本地策略——>安全選項

  互動式登陸:不顯示上次的使用者名稱 啟用

  網路訪問:不允許SAM帳戶和共享的匿名列舉  啟用

  網路訪問:不允許為網路身份驗證儲存憑證 啟用

  網路訪問:可匿名訪問的共享 全部刪除

  網路訪問:可匿名訪問的命名管道 全部刪除

  網路訪問:可遠端訪問的登錄檔路徑全部刪除

  網路訪問:可遠端訪問的登錄檔路徑和子路徑全部刪除

  網路訪問:限制匿名訪問命名管道和共享

  2.本地策略——>稽核策略

  稽核策略更改 成功 失敗

  稽核登入事件 成功 失敗

  稽核物件訪問   失敗

  稽核過程跟蹤 無稽核

  稽核目錄服務訪問失敗

  稽核特權使用失敗

  稽核系統事件 成功 失敗

  稽核賬戶登入事件 成功 失敗

  稽核賬戶管理 成功 失敗

  3.本地策略——>使用者許可權分配

  關閉系統:只有Administrators組、其它全部刪除。

  從網路訪問些計算機:只有系統管理員與指定帳號。

  4.使用NTFS格式分割槽

  把伺服器的所有分割槽都改成NTFS格式。NTFS檔案系統要比FAT,FAT32的檔案系統安全得多。

  5.設定螢幕保護密碼

  很簡單也很有必要,設定螢幕保護密碼也是防止內?a href='//' target='_blank'>咳嗽逼蘋搗?衿韉囊桓銎琳稀W⒁獠灰?褂靡恍└叢擁鈉聊槐;こ絛潁?朔嚴低匙試矗?盟?諂輛塗梢粵恕K?邢低秤沒??褂玫幕?髯詈靡布由掀聊槐;っ藶搿?/p>

  6.把共享檔案的許可權從”everyone”組改成“授權使用者”

  “everyone” 在win2000與win3003中意味著任何有權進入你的網路的使用者都能夠獲得這些共享資料。任何時候都不要把共享檔案的使用者設定成”everyone”組。包括列印共享,預設的屬性就是”everyone”組的。

  7.保障備份盤的安全

  一旦系統資料被破壞,備份盤將是恢復資料的唯一途徑。備份完資料後,把備份放在安全的地方。千萬別把資料備份在同一臺伺服器上,我們在3001房間已經部署了備份伺服器。

  五、關閉無用的服務

  1.我們一般關閉如下服務:

  Computer Browser ***瀏覽器更新***

  Help and Support ***計算機幫助***

  Messenger ***客戶端與伺服器之間的netsend和alerter服務訊息***

  Print Spooler ***記憶體中便遲列印***

  Remote Registry ***遠端使用者修改登錄檔***

  TCP/IP NetBIOS Helper ***netbios名稱解析***

  Workstation ***建立和維護遠端計算機的客戶端網路連線***

  Telnet ***允許遠端使用者登入到些計算機***

  把不必要的服務都禁止掉,儘管這些不一定能被攻擊者利用得上,但是按照安全規則和標準上來說,多餘的東西就沒必要開啟,減少一份隱患。

  2.在"網路連線"裡,把不需要的協議和服務都刪掉,只保留基本的Internet協議***TCP/IP***,在高階tcp/ip設定裡--"NetBIOS"設定"禁用tcp/IP上的NetBIOS***S***"。

  3.禁用空會話

  檢查是否禁用了空會話,避免與伺服器建立匿名***不進行身份驗證的***會話。要進行檢查,請執行 Regedt32.exe,確認“RestrictAnonymous”項已設定為 1,如下所示。

  HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

  4.要審查共享和相關的許可權,執行“計算機管理”MMC 管理單元,然後選擇“共享資料夾”下的“共享”。檢查所有共享是否是需要的共享。刪除所有不必要的共享。

  刪除預設共享bat指令碼:

  Net share /delete C$

  Net share /delete D$

  Net share /delete E$

  Net share /delete IPC$

  Net share /delete ADMIN$

  或者通過修改登錄檔的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer型別是REG_DWORD把值改為0即可

  5.不要在伺服器上安裝與應用程式無關的應用。

  6. IIS:IIS是微軟的元件中漏洞最多的一個,平均兩三個月就要出一個漏洞,微軟的IIS預設安裝的配置是重點,我們現在用IIS服務的就公司一些網站。

  首先,把C盤那個什麼Inetpub目錄徹底刪掉,在D盤建一個Inetpub***要是你不放心用預設目錄名也可以改一個名字,但是自己要記得***在IIS管理器中將主目錄指向D:\Inetpub;

  其次,IIS安裝時預設虛擬目錄一概刪除,雖然已經把Inetpub從系統盤挪出來了,但是還是小心,如果需要什麼許可權的目錄可以自己慢慢建,需要什麼許可權開什麼.***注意寫許可權和執行程式的許可權***

  六、修改埠號

  1. 更改遠端桌面埠

  依次展開

  HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

  右邊鍵值中 PortNumber 改為想用的埠號.使用十進位制***例 40228 ***

  HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

  WINSTATIONS/RDP-TCP/

  右邊鍵值中 PortNumber 改為你想用的埠號.注意使用十進位制***例 40228 ***

  注意:在WINDOWS2003自帶的防火牆給+上40228埠

  修改完畢.重新啟動伺服器.設定生效.

  2.一般禁用以下埠

  135 138 139 443 445 4000 4899 7626

  3.更改TTL值

  黑客可以根據ping回的TTL值來大致判斷你的作業系統,如:

  TTL=107***WINNT***;

  TTL=108***win2000***;

  TTL=127或128*** xp***;

  TTL=240或241***linux***;

  TTL=252***solaris***;

  TTL=240***Irix***;

  更改埠號:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff***0-255 十進位制,預設值128***改成一個莫名其妙的數字如258,悟道一般的黑客侵入。

 

 

  看過文章“

  1.如何提升伺服器安全等級

  2.如何防護網路伺服器安全

  3.如何維護網路伺服器安全

  4.伺服器如何防攻擊

  5.Windows伺服器的基礎安全加固方法

  6.入侵伺服器的基礎知識

  7.伺服器怎麼防攻擊

  8.怎麼利用伺服器的DHCP維護區域網安全

  9.怎麼設定網件PR2000為公共熱點安全模式

  10.伺服器物理安全