服務(wù)器基本安全配置_第1頁(yè)
服務(wù)器基本安全配置_第2頁(yè)
服務(wù)器基本安全配置_第3頁(yè)
服務(wù)器基本安全配置_第4頁(yè)
已閱讀5頁(yè),還剩8頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、服務(wù)器基本安全配置1. 用戶安全(1) 運(yùn)行 lusrmgr.msc,重命名原 Administrator 用戶為自定義一定長(zhǎng)度的名字, 并新建同名 Administrator 普通用戶,設(shè)置超長(zhǎng)密碼去除所有隸屬用戶組。(2) 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置安全設(shè)置賬戶策略密碼策略啟動(dòng)密碼復(fù)雜性要求,設(shè)置密碼最小長(zhǎng)度、密碼最長(zhǎng)使用期限,定期修改密碼保證服務(wù)器賬戶的密碼安全。(3) 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置安全設(shè)置賬戶策略賬戶鎖定策略啟動(dòng)賬戶鎖定,設(shè)置單用戶多次登錄錯(cuò)誤鎖定策略,具體設(shè)置參照要求設(shè)置。(4) 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置安全設(shè)置本地策略安全選項(xiàng)交互

2、式登錄 :不顯示上次的用戶名;啟動(dòng)交互式登錄:回話鎖定時(shí)顯示用戶信息;不顯示用戶信息(5) 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置安全設(shè)置本地策略安全選項(xiàng)網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的共享;清空網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道;清空網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑;清空網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑;清空(6) 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置安全設(shè)置本地策略通過(guò)終端服務(wù)拒絕登陸加入一下用戶(* 代表計(jì)算機(jī)名)ASPNETGuestIUSR_*IWAM_*NETWORK SERVICESQLDebugger注:用戶添加查找如下圖:(7) 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置安全設(shè)置本地

3、策略策略審核即系統(tǒng)日志記錄的審核消息,方便我們檢查服務(wù)器的賬戶安全,推薦設(shè)置如下:(8)2. 共享安全(1) 運(yùn)行 Regedit刪除系統(tǒng)默認(rèn)的共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter s增加一個(gè)鍵:名稱 : AutoShareServer ; 類型 : REG_DWORD 值; : 0(2) 運(yùn)行 Regedit禁止 IPC 空連接Local_Machine/System/CurrentControlSet/Control/LSA 把 RestrictAnonymous 的鍵值改成 ”1”

4、。(3)3. 服務(wù)端口安全(1) 運(yùn)行 Regedit修改 3389 遠(yuǎn)程端口打開(kāi) HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminalServerWdsrdpwdTdstcp ,將 PortNamber 的鍵值(默認(rèn)是 3389 )修改成自定義端口:14720打開(kāi) HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninalServerWinStationsRDP-Tcp ,將 PortNumber 的鍵值(默認(rèn)是3389)修改成自定義端口 :14720(2) 運(yùn)行 servic

5、es.msc禁用不需要的和危險(xiǎn)的服務(wù)以下列出建議禁止的服務(wù),具體情況根據(jù)需求分析執(zhí)行:Alerter發(fā)送管理警報(bào)和通知Automatic UpdatesWindows 自動(dòng)更新服務(wù)Computer Browser維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新(網(wǎng)上鄰居列表)Distributed File System局域網(wǎng)管理共享文件Distributed linktracking client用于局域網(wǎng)更新連接信息Error reporting service發(fā)送錯(cuò)誤報(bào)告Remote Procedure Call (RPC) LocatorRpcNs*遠(yuǎn)程過(guò)程調(diào)用(RPC)Remote Registry遠(yuǎn)程修改注冊(cè)表

6、Removable storage管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)Remote Desktop Help Session Manager遠(yuǎn)程協(xié)助Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù) Shell Hardware Detection 為自動(dòng)播放硬件事件提供通知。Messenger消息文件傳輸服務(wù)Net Logon域控制器通道管理NTLMSecuritysupportprovidetelnet 服務(wù)和 Microsoft Serch 用的PrintSpooler打印服務(wù)telnettelnet 服務(wù)Workstation泄漏系統(tǒng)用戶名列表(注:

7、如使用局域網(wǎng)請(qǐng)勿關(guān)閉)(3) 運(yùn)行 gpedit.msc IPSec安全加密端口,內(nèi)部使用加密訪問(wèn)。原理:利用組策略中的“ IP 安全策略”功能中,安全服務(wù)器(需要安全)功能。將所有訪問(wèn)遠(yuǎn)程如 13013 端口的請(qǐng)求篩選到該 ip 安全策略中來(lái), 使得該請(qǐng)求需要通過(guò)雙方的預(yù)共享密鑰進(jìn)行身份認(rèn)證后才能進(jìn)行連接,其中如果一方?jīng)]有啟用“需要安全”時(shí),則無(wú)法進(jìn)行連接,同時(shí)如果客戶端的預(yù)共享密鑰錯(cuò)誤則無(wú)法與服務(wù)器進(jìn)行連接。在此條件下,不影響其他服務(wù)的正常運(yùn)行。操作步驟:1) 打開(kāi) GPEDIT.MSC,在計(jì)算機(jī)策略中有“ IP 安全策略” ,選擇“安全服務(wù)器(需要安全)”項(xiàng)目屬性,然后在 IP 安全規(guī)則

8、中選擇“所有 IP 通信”打開(kāi)編輯,在“編輯規(guī)則 屬性”中,雙擊“所有 IP 通信”,在 IP 篩選器中,添加或編輯一個(gè)篩選器。2)退回到 “編輯規(guī)則屬性” 中,在此再選擇 “身份驗(yàn)證方法” 。刪除“ Kerberos 5”,點(diǎn)擊添加,在“新身份驗(yàn)證方法”中,選擇“使用此字符串(預(yù)共享密鑰) ”,然后填寫服務(wù)器所填的預(yù)共享密鑰 (服務(wù)器的預(yù)共享密鑰為 ”123abc,.”)。然后確定。3) 選擇“安全服務(wù)器(需要安全) ”右鍵指派即可。附截圖:4. 防火墻安全(1) 啟動(dòng)系統(tǒng)自帶防火墻添加例外程序端口,除服務(wù)器對(duì)外服務(wù)端口添加到例外。其余都刪除或不勾選。有必要時(shí)編輯例外設(shè)置訪問(wèn)地址限制。 (高

9、級(jí)設(shè)置參照要求設(shè)定)(2) 選擇性安裝第三方防火墻,設(shè)定防火墻網(wǎng)絡(luò)訪問(wèn)規(guī)則,除了必要對(duì)外開(kāi)放的端口,其他都不要對(duì)外開(kāi)放。特別是 Telnet:23 端口, FTP :21,22 端口,數(shù)據(jù)庫(kù)端口,郵件端口 :25,101 等重要的端口,如沒(méi)有必要盡可能不要對(duì)外開(kāi)放。(3)5.移動(dòng)存儲(chǔ)設(shè)備策略安全目的:一般移動(dòng)感染病毒會(huì)在移動(dòng)設(shè)備的根目錄下帶有autorun.inf 及病毒文件自動(dòng)運(yùn)行。主要是阻止防御移動(dòng)存儲(chǔ)設(shè)備的危險(xiǎn)程序自動(dòng)運(yùn)行。(1) 運(yùn)行 gpedit.msc 關(guān)閉自動(dòng)播放計(jì)算機(jī)配置管理模版系統(tǒng):關(guān)閉自動(dòng)播放已啟動(dòng),所有驅(qū)動(dòng)器用戶配置管理模版系統(tǒng):關(guān)閉自動(dòng)播放已啟動(dòng),所有驅(qū)動(dòng)器(2) 運(yùn)行

10、 gpedit.msc 策略限制根目錄運(yùn)行文件計(jì)算機(jī)配置 windows 設(shè)置安全設(shè)置軟件限制策略其他規(guī)則:右鍵新建路徑規(guī)則,不允許所有盤符根目錄下的這些后綴的文件運(yùn)行。(*:*.bat 、 *:*.com 、 *:*.vb* 、 *:*.exe )(3)6. 其他安全(1) Ftp 站點(diǎn)目錄安全, 去除非必要用戶的修改寫入權(quán)限,定制對(duì)于權(quán)限, 對(duì)于執(zhí)行和修改權(quán)限配置妥當(dāng)。(2) Http 站點(diǎn)目錄權(quán)限,一般站點(diǎn)都需去除用戶的寫入權(quán)限,常用的網(wǎng)站一般為讀取權(quán)限。(3) 數(shù)據(jù)庫(kù)安全,如 SQL數(shù)據(jù)庫(kù),設(shè)置 Sa超長(zhǎng)密碼,正常情況下禁止使用 sa 用戶訪問(wèn)數(shù)據(jù)庫(kù)。對(duì)應(yīng)其他用戶設(shè)置對(duì)應(yīng)數(shù)據(jù)庫(kù)的映射安全,無(wú)需所有數(shù)據(jù)庫(kù)映射。(4) 定期修改系統(tǒng)用戶密碼,及其他牽涉用戶的相關(guān)密碼。且密碼要符合復(fù)雜性要求。(5) 定期檢查系統(tǒng)日志安全,以防有人嘗試破解用戶賬戶密碼。如有批量多條用戶登錄失敗,則需特別注意調(diào)查原因。(6) 定期檢查部署策略是否正常

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論