• 开始网
数字标本奖

超详细系统安全解决方案

媒体:电脑知识网  作者:佚名
专业号:入门老师   2008/10/4 16:31:00
Windows系统安全解决方案:
一、系统安装
1. 磁盘分区格式
1)一台要用来作为网络服务器的Windows Server,硬盘的分区格式一定要是NTFS,NTFS的分区格式远比FAT分区格式来得安全的多,在NTFS格式下,用户可以对不同的文件夹设置不同的的权限,增强服务器的安全性。
2)另一点要注意的是,我们对硬盘进行分区,最好是一次性进行,把分区都分成NTFS格式,可别先分成FAT格式,再进行转换,这样很容易导致系统出问题,甚至崩溃。
3)由于NTFS分区格式的特殊性,用户无fa通过软盘启动进行杀毒,所以要提醒用户,一定要做好系统的防毒工作。
2. 操作系统安装
1)操作系统安装,一定要做到一台服务器只安装一个系统,才不会给居心不良的人有可乘之机,增加了服务器的安全隐患。
2)操作系统安装时,系统文件不要装在默认的目录(WINNT),要选择安装一个新的目录进行安装;Web目录和系统不要放在同一个分区,防止有人通过Web权限漏洞,访问系统文件、文件夹。
3)安装完操作系统,一定要先更新系统必要的补丁,直到没有补丁可更新。
4)尽量少安装与Web服务不相关的软件。
二、系统设置
1. 帐户设置
1)尽可能少的有效帐户,没有用的一律不要,多一个帐户就多一个安全隐患。
2)可以有两个管理帐户,以防忘记密码,或者被人修改了密码,做后备用。
3)要加强帐户管理,不要轻易给特殊权限。
4)给管理帐户改名字,不要保留默认的名字,这个容易被猜到。其他非管理帐户也尽量遵循这一原则。
5)将Guest帐户禁用,改成一个复杂的名称并加上密码,然后将它从Guests组删除。
6)帐户密码规则,所有帐户(系统帐号除外)密码最好是8位以上,密码最好是特殊符号、数字、大小写字母的搭配。不要避免使用单词。
7)帐户密码要定期进行更改,密码最好熟记在脑中,不要在其他地方做记录;另外,如果发现日志中有连续尝试登陆的帐户,要立即更改其帐户名及口令。
8)在系统中加设帐户错误登陆锁定的次数,防止连续的登陆尝试,并能有效提高管理员的警惕性。
2. 网络设置
1)只保留TCP/IP协议,其他全部删除。
2)NetBIOS常常是网络黑客的扫描目标,这里我们要禁用它。
操作方fa:网络连接->本地连接属性->高级->WINS选项->禁用Tcp/Ip上的NetBIOS->确定。
3)只允许一些必要的端口
如:
21    TCP FTP
25    TCP SMTP
53    TCP DNS
80    TCP HTTP
1433 TCP SQL SERVER
3389 TCP TERMINAL SERVICES
5631 TCP PCANYWHERE
等一些常用的端口。特别提醒:安装蓝芒域名虚拟主机关系系统需要开放19888端口。
4)
3. 删除没有必要的共享,提高安全性
操作方fa:运行Regedit,
(1) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一值
Name: AutoShareServer
Type:REG-DWORD
Value:0
(2) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下增加一值
Name:restrictanonymous
Type:REG_DWORD
Value:0
4. 修改权限
Windows 2000 Server的NTFS分区默认权限都是Everyone完全控制权限,这样给服务器的安全带来了一定的安全隐患。我们建议,所有NTFS分区只给管理员和SYSTEM完全控制权限。有特殊权限需求的目录可单独设置。
5. 修改计算机某些特性
操作方fa:控制面板->系统->高级->启动和故障恢复->取消显示操作系统列表->取消发送警报->取消写入调试信息->完成。
6. 禁止一些没有必要的服务。
具体操作位置:控制面版->管理工具->服务
需要停掉的服务,例如:Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service
Routing and Remote Access等等。
7. 安全日志
Win2000的默认安装是不开任何安全审核的!
那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)->权限->高级中配置安全审核,一般来说只要记录登录、注销事件就可以了
8. IIS设置
只安装管理器、公共文档和WWW服务。
尽量减少IIS中没有必要的映射,大多数用户只留asp,asa就可以了。
Web目录需要IUSR读写权限,IIS中只开放读取权限。
有效利用IIS中IP禁止访问列表。
完善日志功能,以便查找问题,加强监控。
9. FTP设置
禁止对FTP的匿名访问。
注意用户权限的开放度。
阅读 1244
我也说两句
E-File帐号:用户名: 密码: [注册]
评论:(内容不能超过500字。)

*评论内容将在30分钟以后显示!
版权声明:
1.依据《服务条款》,本网页发布的原创作品,版权归发布者(即注册用户)所有;本网页发布的转载作品,由发布者按照互联网精神进行分享,遵守相关法律法规,无商业获利行为,无版权纠纷。
2.本网页是第三方信息存储空间,阿酷公司是网络服务提供者,服务对象为注册用户。该项服务免费,阿酷公司不向注册用户收取任何费用。
  名称:阿酷(北京)科技发展有限公司
  联系人:李女士,QQ468780427
  网络地址:www.arkoo.com
3.本网页参与各方的所有行为,完全遵守《信息网络传播权保护条例》。如有侵权行为,请权利人通知阿酷公司,阿酷公司将根据本条例第二十二条规定删除侵权作品。

 

焦点关注

© 2008-2018   开始网

基于 E-file 技术构建