始创于2000年 股票代码:831685
咨询热线:0371-60135900 注册有礼 登录
  • 挂牌上市企业
  • 60秒人工响应
  • 99.99%连通率
  • 7*24h人工
  • 故障100倍补偿
您的位置: 网站首页 > 帮助中心>文章内容

服务器安全配置精华技巧之中级篇

发布时间:  2012/5/15 17:17:46

中级安全篇:      
  1.利用win2000的安全配置工具来配置策略  
  微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:  
  http://www.microsoft.com/windows200...y/sctoolset.asp      
  2.关闭不必要的服务  
  windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:  
  Computer Browser service TCP/IP NetBIOS Helper  
  Microsoft DNS server Spooler  
  NTLM SSP Server  
  RPC Locator WINS  
  RPC service Workstation  
  Netlogon Event log  
   
  3.关闭不必要的端口  
  关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在_blank">防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:  
  网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。  
   
  4.打开审核策略  
  开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:  
  策略 设置  
  审核系统登陆事件 成功,失败  
  审核帐户管理 成功,失败  
  审核登陆事件 成功,失败  
  审核对象访问 成功  
  审核策略更改 成功,失败  
  审核特权使用 成功,失败  
  审核系统事件 成功,失败  
5.开启密码密码策略  
  策略 设置  
  密码复杂性要求 启用  
  密码长度最小值 6位  
  强制密码历史 5 次  
  强制密码历史 42 天  
  6.开启帐户策略  
  策略 设置  
  复位帐户锁定计数器 20分钟  
  帐户锁定时间 20分钟  
  帐户锁定阈值 3次      
  7.设定安全记录的访问权限  
  安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。  
   
  8.把敏感文件存放在另外的文件服务器中  
  虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。  
   
  9.不让系统显示上次登陆的用户名  
  默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:  
  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName  
  把 REG_SZ 的键值改成 1 .     
 

  10.禁止建立空连接  
  默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:  
  Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。  
   
  11.到微软网站下载最新的补丁程序  
  很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。



QQ:1613285598


本文出自:亿恩科技【www.enkj.com】

服务器租用/服务器托管中国五强!虚拟主机域名注册顶级提供商!15年品质保障!--亿恩科技[ENKJ.COM]

  • 您可能在找
  • 亿恩北京公司:
  • 经营性ICP/ISP证:京B2-20150015
  • 亿恩郑州公司:
  • 经营性ICP/ISP/IDC证:豫B1.B2-20060070
  • 亿恩南昌公司:
  • 经营性ICP/ISP证:赣B2-20080012
  • 服务器/云主机 24小时售后服务电话:0371-60135900
  • 虚拟主机/智能建站 24小时售后服务电话:0371-60135900
  • 专注服务器托管17年
    扫扫关注-微信公众号
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 亿恩科技 版权所有  地址:郑州市高新区翠竹街1号总部企业基地亿恩大厦  法律顾问:河南亚太人律师事务所郝建锋、杜慧月律师   京公网安备41019702002023号
      0
     
     
     
     

    0371-60135900
    7*24小时客服服务热线