windows 2003服务器我们如何做好安全设置

2017-09-01    来源:互联网

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

我们所用的服务器大多是windows平台的windows server 2000windows server 2003 windows server2003是目前最为常用的网络服务器平台,安全性相对于windows 2000有大大的提高,但是20032000默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003win2000进行全面安全配置。安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为管理员,要结合我们真实使用的情况与所应用的程序来设置相应安全的策略,确保服务器永久安全运行。

  ★以下是对我们现在服务器情况所做出的一些安全策略:

  一、windows系统帐号

  1.administrator改名,如改为别名,如:boco_ofm;或者取中文名(这样可以为黑客攻击增加一层障碍)

  2.guest改名为administrator作为陷阱帐户,并且设置一个个高强度的密码,或直接禁用;(有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。)

  3.除了管理员帐户、以及服务必须要用到的用户外,禁用或删除其他一切用户。

  (1)网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多 一份被攻破的危险。

  (2)除过Administrator外,有必要再增加一个属于管理员组的帐号;(两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐 号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。)

  (3)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同 时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(boco)、熟悉的键盘顺 序(qwert)、熟悉的数字(2008)等。(口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,通过在网络上查资料显示,仅字母加数字的5位口令在几分钟内就会被攻破)

  二、密码与用户策略

  1.开启密码策略

  注意应用密码策略,启用密码复杂性要求,设置密码长度最小值为8位 ,设置强制密码历史为5次,时间为31天。

  2.开启用户策略

  使用用户策略,分别设置复位用户锁定计数器时间为30分钟,用户锁定时间为30分钟,用户锁定阈值为3次。

  三、Windows防火墙

  Windows 2000默认不带防火墙,需要我们自己安装一个安全的软件防火墙;

  1.开启前要先看看3389端口有没有加到例外里去,因为我们的服务器都放在机房,维护人员一般都是在远程维护,没有的话勾上“远程桌面”,然后再开启。

  2.在例外中加入80143321端口,总之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墙“高级”本地连接“设置”服务,勾上所要服务,如:远程桌面、httpftpsmtp)

  3.允许ping服务器:windows防火墙―高级―本地连接“设置”ICMP,勾上第一个:允许传入响应请求。

  4.在防火墙策略中在添加一个允许远程桌面的的IP地址通过。

  四、本地策略

  1.本地策略――>安全选项

  交互式登陆:不显示上次的用户名 启用

  网络访问:不允许SAM帐户和共享的匿名枚举  启用

  网络访问:不允许为网络身份验证储存凭证 启用

  网络访问:可匿名访问的共享 全部删除

  网络访问:可匿名访问的命名管道 全部删除

  网络访问:可远程访问的注册表路径全部删除

  网络访问:可远程访问的注册表路径和子路径全部删除

  网络访问:限制匿名访问命名管道和共享

  2.本地策略――>审核策略

  审核策略更改 成功 失败

  审核登录事件 成功 失败

  审核对象访问   失败

  审核过程跟踪 无审核

  审核目录服务访问失败

  审核特权使用失败

  审核系统事件 成功 失败

  审核账户登录事件 成功 失败

  审核账户管理 成功 失败

  3.本地策略――>用户权限分配

  关闭系统:只有Administrators组、其它全部删除。

  从网络访问些计算机:只有系统管理员与指定帐号。

  4.使用NTFS格式分区

  把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。

  5.设置屏幕保护密码

  很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。

  6.把共享文件的权限从”everyone”组改成“授权用户”

  everyone” 在win2000win3003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的。

  7.保障备份盘的安全

  一旦系统资料被破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份放在安全的地方。千万别把资料备份在同一台服务器上,我们在3001房间已经部署了备份服务器。

  五、关闭无用的服务

  1.我们一般关闭如下服务:

  Computer Browser (浏览器更新)

  Help and Support (计算机帮助)

  Messenger (客户端与服务器之间的netsendalerter服务消息)

  Print Spooler (内存中便迟打印)

  Remote Registry (远程用户修改注册表)

  TCP/IP NetBIOS Helper (netbios名称解析)

  Workstation (创建和维护远程计算机的客户端网络连接)

  Telnet (允许远程用户登录到些计算机)

  把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

  2."网络连接"里,把不需要的协议和服务都删掉,只保留基本的Internet协议(TCP/IP),在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"

  3.禁用空会话

  检查是否禁用了空会话,避免与服务器创建匿名(不进行身份验证的)会话。要进行检查,请运行 Regedt32.exe,确认“RestrictAnonymous”项已设置为 1,如下所示。

  HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

  4.要审查共享和相关的权限,运行“计算机管理”MMC 管理单元,然后选择“共享文件夹”下的“共享”。检查所有共享是否是需要的共享。删除所有不必要的共享。

  删除默认共享bat脚本:

  Net share /delete C$

  Net share /delete D$

  Net share /delete E$

  Net share /delete IPC$

  Net share /delete ADMIN$

  或者通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersAutoShareServer类型是REG_DWORD把值改为0即可

  5.不要在服务器上安装与应用程序无关的应用。

  6. IISIIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,微软的IIS默认安装的配置是重点,我们现在用IIS服务的就公司一些网站。

  首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)IIS管理器中将主目录指向D:\Inetpub;

  其次,IIS安装时默认虚拟目录一概删除,虽然已经把Inetpub从系统盘挪出来了,但是还是小心,如果需要什么权限的目录可以自己慢慢建,需要什么权限开什么.(注意写权限和执行程序的权限)

  六、修改端口号

  1. 更改远程桌面端口

  依次展开

  HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

  右边键值中 PortNumber 改为想用的端口号.使用十进制(40228 )

  HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

  WINSTATIONS/RDP-TCP/

  右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(40228 )

  注意:在WINDOWS2003自带的防火墙给+40228端口

  修改完毕.重新启动服务器.设置生效.

  2.一般禁用以下端口

  135 138 139 443 445 4000 4899 7626

  3.更改TTL

  黑客可以根据ping回的TTL值来大致判断你的操作系统,如:

  TTL=107(WINNT);

  TTL=108(win2000);

  TTL=127128( xp);

  TTL=240241(linux);

  TTL=252(solaris);

  TTL=240(Irix);

  更改端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,悟道一般的黑客侵入。

  ★ 以下是服务器日常维护策略:

  1. 系统帐号密码一个月更换一次满足复杂性;

  2. 每星期清理一次系统日志文件,并查看做记录;

  3. 每半个月全面杀毒一次,杀毒软件打开自动更新并半个月手动更新一次;

  4. 系统更新设置为自动,并半个月检查更新一次;

  5. 服务器硬件状况每月检查一次,CPU、内存、硬盘使用率每月做一次统计;

  6. 安装补丁、安装杀毒软件。

服务器租用就选西部数码,选购地址:https://www.west.cn/services/server/


标签: https linux 安全 标准 防火墙 防火墙策略 服务器 服务器硬件 服务器租用 机房 脚本 漏洞 权限 软件防火墙 网络 网络服务器 网站 西部数码 

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:选择数据库服务器的5大原则

下一篇:硬件防火墙在服务器租用或托管中扮演着什么样的角色