服務器安全設置
1����、系統(tǒng)盤和站點放置盤必須設置為NTFS格式,方便設置權限��。
2�����、系統(tǒng)盤和站點放置盤除administrators 和system的用戶權限全部去除����。
3��、啟用windows自帶防火墻��,只保留有用的端口���,比如遠程和Web、Ftp(3389����、80、21)等等�����,有郵件服務器的還要打開25和130端口����。
4���、安裝好SQL后進入目錄搜索 xplog70 然后將找到的三個文件改名或者刪除�����。
5��、更改sa密碼為你都不知道的超長密碼���,在任何情況下都不要用sa這個帳戶��。
6����、改名系統(tǒng)默認帳戶名并新建一個Administrator帳戶作為陷阱帳戶��,設置超長密碼�,并去掉所有用戶組。(就是在用戶組那里設置為空即可����。讓這個帳號不屬于任何用戶組—樣)同樣改名禁用掉Guest用戶。
7����、配置帳戶鎖定策略(在運行中輸入gpedit.msc回車,打開組策略編輯器���,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略���,將賬戶設為“三次登陸無效”���,“鎖定時間30分鐘”,“復位鎖定計數(shù)設為30分鐘”�。)
8、在安全設置里本地策略-安全選項將
網(wǎng)絡訪問:可匿名訪問的共享�����;
網(wǎng)絡訪問:可匿名訪問的命名管道��;
網(wǎng)絡訪問:可遠程訪問的注冊表路徑��;
網(wǎng)絡訪問:可遠程訪問的注冊表路徑和子路徑����;
以上四項清空。
9����、在安全設置里 本地策略-安全選項 通過終端服務拒絕登陸 加入
以下為引用的內(nèi)容:
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
|
(****表示你的機器名,具體查找可以點擊 添加用戶或組 選 高級 選 立即查找 在底下列出的用戶列表里選擇.
注意不要添加進user組和administrators組 添加進去以后就沒有辦法遠程登陸了����。)
10�、去掉默認共享�����,將以下文件存為reg后綴���,然后執(zhí)行導入即可����。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
11��、 禁用不需要的和危險的服務����,以下列出服務都需要禁用。
Alerter 發(fā)送管理警報和通知
Computer Browser:維護網(wǎng)絡計算機更新
Distributed File System: 局域網(wǎng)管理共享文件
Distributed linktracking client 用于局域網(wǎng)更新連接信息
Error reporting service 發(fā)送錯誤報告
Remote Procedure Call (RPC) Locator RpcNs*遠程過程調(diào)用 (RPC)
Remote Registry 遠程修改注冊表
Removable storage 管理可移動媒體�����、驅(qū)動程序和庫
Remote Desktop Help Session Manager 遠程協(xié)助
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務
Messenger 消息文件傳輸服務
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服務和Microsoft Serch用的
PrintSpooler 打印服務
telnet telnet服務
Workstation 泄漏系統(tǒng)用戶名列表
12��、更改本地安全策略的審核策略
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
13��、更改有可能會被提權利用的文件運行權限,找到以下文件���,將其安全設置里除administrators用戶組全部刪除���,重要的是連system也不要留。
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
c.exe 特殊文件 有可能在你的計算機上找不到此文件���。
在搜索框里輸入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
點擊搜索 然后全選 右鍵 屬性 安全
以上這點是最最重要的一點了����,也是最最方便減少被提權和被破壞的可能的防御方法了�����。
14�����、后備工作�,將當前服務器的進程抓圖或記錄下來,將其保存����,方便以后對照查看是否有不明的程序����。將當前開放的端口抓圖或記錄下來�����,保存���,方便以后對照查看是否開放了不明的端口。當然如果你能分辨每一個進程�,和端口這一步可以省略。
上一條:
互聯(lián)網(wǎng)生活�,給你最有用的103個網(wǎng)站,有用的網(wǎng)站推廣下一條:
HTTP 錯誤 404 - 文件或目錄未找到
湘公網(wǎng)安備 43010302000270號