《服务器基本安全配置》由会员分享,可在线阅读,更多相关《服务器基本安全配置(16页珍藏版)》请在金锄头文库上搜索。
1、服务器基本安全配备1. 顾客安全(1) 运营lmr.mc,重命名原Amno顾客为自定义一定长度的名字,并新建同名dministrator一般顾客,设立超长密码清除所有从属顾客组。(2) 运营dtsc计算机配备安全设立账户方略密码方略启动密码复杂性规定,设立密码最小长度、密码最长有效期限,定期修改密码保证服务器账户的密码安全。(3) 运营eimc计算机配备安全设立账户方略账户锁定方略启动账户锁定,设立单顾客多次登录错误锁定方略,具体设立参照规定设立。(4) 运营gedit.c计算机配备安全设立本地方略安全选项交互式登录:不显示上次的顾客名;启动交互式登录:回话锁定期显示顾客信息;不显示顾客信息(
2、5) 运营gpdi.msc计算机配备安全设立本地方略安全选项网络访问:可匿名访问的共享;清空网络访问:可匿名访问的命名管道;清空网络访问:可远程访问的注册表途径;清空网络访问:可远程访问的注册表途径和子途径;清空(6) 运营gpditmsc计算机配备安全设立本地方略通过终端服务回绝登陆加入一下顾客(*代表计算机名)ASPNET GuestIUSR*IWM*NEWRK SERVICSQLDbger注:顾客添加查找如下图:(7) 运营gpedit.msc计算机配备安全设立本地方略方略审核即系统日记记录的审核消息,以便我们检查服务器的账户安全,推荐设立如下:(8)2. 共享安全(1) 运营Reged
3、it删除系统默认的共享KY_LOC_MACHINESSTMCurentCntroSetSerisananServeParmters增长一种键:名称: AoharServer; 类型: GDWR ;值: 0(2) 运营Reged严禁IC空连接Lo_Mchine/SstemCureControlSt/Control/LSA把ReictAnnmous的键值改成”1”。(3)3. 服务端口安全(1) 运营Regedi修改39远程端口打开KE_LCA_MACNESYEM entConrolStContolTerinalServrdsdpdtcp,将Portber的键值(默认是338)修改成自定义端口:1
4、4720打开HKELAL_MAHINESYMCurntontroSetotrTennalSevrinStatiosDP-cp,将PtNur的键值(默认是389)修改成自定义端口:1470(2) 运营ervies.sc禁用不需要的和危险的服务如下列出建议严禁的服务,具体状况根据需求分析执行:Alr 发送管理警报和告知utoatic pdate Widows自动更新服务Computer Browsr维护网络计算机更新(网上邻居列表)Dstriut FlSystm 局域网管理共享文献Disruted inkracking lient 用于局域网更新连接信息Error eporng rvice 发送错
5、误报告RmeProceureCall (RPC)Loator RpN*远程过程调用(RPC)Remoe Rgitry 远程修改注册表Removale toag 管理可移动媒体、驱动程序和库Remote esktpHe Session Mage 远程协助Rutingnd Reote Acces 在局域网以及广域网环境中为公司提供路由服务Shell arreDetecto 为自动播放硬件事件提供告知。senge 消息文献传播服务Nt Logo 域控制器通道管理NTLMSecuritysupporprvide enet服务和Micrsoft Srh用的PrinSooler 打印服务telnet te
6、let服务Wktatin 泄漏系统顾客名列表(注:如使用局域网请勿关闭)(3) 运营gpedit.mscIPSec安全加密端口,内部使用加密访问。原理:运用组方略中的“IP安全方略”功能中,安全服务器(需要安全)功能。将所有访问远程如1013端口的祈求筛选到该ip安全方略中来,使得该祈求需要通过双方的预共享密钥进行身份认证后才干进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同步如果客户端的预共享密钥错误则无法与服务器进行连接。在此条件下,不影响其她服务的正常运营。操作环节:1) 打开GPEDTMSC,在计算机方略中有“IP安全方略”,选择“安全服务器(需要安全)”项目属性,然后
7、在安全规则中选择“所有IP通信”打开编辑,在“编辑规则属性”中,双击“所有通信”,在IP筛选器中,添加或编辑一种筛选器。2) 退回到“编辑规则 属性”中,在此再选择“身份验证措施”。删除“erbeos ”,点击添加,在“新身份验证措施”中,选择“使用此字符串(预共享密钥)”,然后填写服务器所填的预共享密钥(服务器的预共享密钥为”3abc,.”)。然后拟定。3) 选择“安全服务器(需要安全)”右键指派即可。附截图:4. 防火墙安全(1) 启动系统自带防火墙添加例外程序端口,除服务器对外服务端口添加到例外。其他都删除或不勾选。有必要时编辑例外设立访问地址限制。(高档设立参照规定设定)(2) 选择性
8、安装第三方防火墙,设定防火墙网络访问规则,除了必要对外开放的端口,其她都不要对外开放。特别是elet:端口,FTP :2,22端口,数据库端口,邮件端口:2,101等重要的端口,如没有必要尽量不要对外开放。(3)5. 移动存储设备方略安全目的:一般移动感染病毒会在移动设备的根目录下带有autorun.inf及病毒文献自动运营。重要是制止防御移动存储设备的危险程序自动运营。(1) 运营gpedit.sc关闭自动播放计算机配备管理模版系统:关闭自动播放已启动,所有驱动器顾客配备管理模版系统:关闭自动播放已启动,所有驱动器(2) 运营gpedit.msc方略限制根目录运营文献计算机配备windos设
9、立安全设立软件限制方略其她规则:右键新建途径规则,不容许所有盘符根目录下的这些后缀的文献运营。(:.bt、*:*.cm、*:.v、:*.ex)(3)6. 其她安全(1) Ft站点目录安全,清除非必要顾客的修改写入权限,定制对于权限,对于执行和修改权限配备妥当。(2) Htt站点目录权限,一般站点都需清除顾客的写入权限,常用的网站一般为读取权限。(3) 数据库安全,如SL数据库,设立Sa超长密码,正常状况下严禁使用s顾客访问数据库。相应其她顾客设立相应数据库的映射安全,无需所有数据库映射。(4) 定期修改系统顾客密码,及其她牵涉顾客的有关密码。且密码要符合复杂性规定。(5) 定期检查系统日记安全,以防有人尝试破解顾客账户密码。如有批量多条顾客登录失败,则需特别注意调查因素。(6) 定期检查部署方略与否正常运营,以防有些方略由于人为或意外终结。(7) 定期检查服务运营状况,拟定严禁及启用的服务都正常。(8) 定期备份系统重要数据及检查网站等数据库备份。7. 特别提示:以上有关重要操作之前,建议操作后人工记录下操作了具体什么内容,以备误操作导致异常的时候恢复使用。特别是波及注册表操作及删除系统文献的时候要提前备份有关重要文献。
