当前位置:文档之家› 服务器基本安全配置

服务器基本安全配置

网络访问:可远程访问的注册表路径;——清空
网络访问:可远程访问的注册表路径和子路径;——清空
(6)运行gpedit.msc——计算机配置—安全设置—本地策略
通过终端服务拒绝登陆——加入一下用户(****代表计算机名)
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORKSERVICE
3)选择“安全服务器(需要安全)”右键指派即可。
附截图:
4.防火墙安全
(1)启动系统自带防火墙
添加例外程序端口,除服务器对外服务端口添加到例外。其余都删除或不勾选。有必要时编辑例外设置访问地址限制。(高级设置参照要求设定)
(2)选择性安装第三方防火墙,设定防火墙网络访问规则,除了必要对外开放的端口,其他都不要对外开放。特别是Telnet:23端口,端口,数据库端口,邮件端口:25,101等重要的端口,如没有必要尽可能不要对外开放。
Routing and RemoteAccess在局域网以及广域网环境中为企业提供路由服务
Shell HardwareDetection为自动播放硬件事件提供通知。
Messenger消息文件传输服务
NetLogon域控制器通道管理
NTLMSecuritysupportprovidetelnet服务和Microsoft Serch用的
(2)运行Regedit——禁止IPC空连接
[Local_Machine/System/CurrentControlSet/Control/LSA]
把RestrictAnonymous的键值改成”1”。
(3)
3.服务端口安全
(1)运行Regedit——修改3389远程端口
打开[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],将PortNamber的键值(默认是3389)修改成自定义端口:14720
服务器基本安全配置
———————————————————————————————— 作者:
———————————————————————————————— 日期:

服务器基本安全配置
1.用户安全
(1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名Administrator普通用户,设置超长密码去除所有隶属用户组。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项
交互式登录:不显示上次的用户名;——启动
交互式登录:回话锁定时显示用户信息;——不显示用户信息
(5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项
网络访问:可匿名访问的共享;——清空
网络访问:可匿名访问的命名管道;——清空
操作步骤:
1)打开GPEDIT.MSC,在计算机策略中有“IP安全策略”,选择“安全服务器(需要安全)”项目属性,然后在IP安全规则中选择“所有IP通信”打开编辑,在“编辑规则属性”中,双击“所有IP通信”,在IP筛选器中,添加或编辑一个筛选器。
2)退回到“编辑规则属性”中,在此再选择“身份验证方法”。删除“Kerberos5”,点击添加,在“新身份验证方法”中,选择“使用此字符串(预共享密钥)”,然后填写服务器所填的预共享密钥(服务器的预共享密钥为”123abc,.”)。然后确定。
SQLDebugger
注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核
即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下:
(8)
2.共享安全
(1)运行Regedit——删除系统默认的共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]增加一个键:名称: AutoShareServer;类型:REG_DWORD;值:0
(2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略
启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。
(3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略
启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
以下列出建议禁止的服务,具体情况根据需求分析执行:
Alerter发送管理警报和通知
Automatic UpdatesWindows自动更新服务
ComputerBrowser维护网络计算机更新(网上邻居列表)
Distributed局域网管理共享文件
Distributedlinktrackingclient用于局域网更新连接信息
PrintSpooler打印服务
telnettelnet服务
Workstation泄漏系统用户名列表(注:如使用局域网请勿关闭)
(3)运行gpedit.msc——IPSec安全加密端口,内部使用加密访问。
原理:利用组策略中的“IP安全策略”功能中,安全服务器(需要安全)功能。将所有访问远程如13013端口的请求筛选到该ip安全策略中来,使得该请求需要通过双方的预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行连接。在此条件下,不影响其他服务的正常运行。
Errorreportingservice发送错误报告
Remote ProcedureCall(RPC)LocatorRpcNs*远程过程调用(RPC)
Remote Registry远程修改注册表
Removablestorage管理可移动媒体、驱动程序和库
RemoteDesktop HelpSessionManager远程协助
打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp],将PortNumber的键值(默认是3389)修改成自定义端口:14720
(2)ቤተ መጻሕፍቲ ባይዱ行services.msc——禁用不需要的和危险的服务
相关主题