萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 服務器安全設置策略

服務器安全設置策略

  我們所用的服務器大多是windows平台的windows server 2000與windows server 2003 windows ,server2003是目前最為成熟的網絡服務器平台,安全性相對於windows 2000有大大的提高,但是2003與2000默認的安全配 置不一定適合我們的需要,所以,我們要根據實際情況來對win2003與 win2000進行全面安全配置。安全配置是一項比較有難度的網絡技術,權限配置的太嚴格,好多程序又運行不起,權限配置的太松,又很容易被黑客入侵,做 為管理員,要結合我們真實使用的情況與所應用的程序來設置相應安全的策略,確保服務器永久安全運行。

  ★以下是對我們現在服務器情況所做出的一些安全策略:

  一、windows系統帳號

  1.將administrator改名,如改為別名,如:boco_ofm;或者取中文名(這樣可以為黑客攻擊增加一層障礙)

  2.將guest改名為administrator作為陷阱帳戶,並且設置一個個高強度的密碼,或直接禁用;(有的黑客工具正是利用了guest 的弱點,可以將帳號從一般用戶提升到管理員組。)

  3.除了管理員帳戶、以及服務必須要用到的用戶外,禁用或刪除其他一切用戶。

  (1)網站帳號一般只用來做系統維護,多余的帳號一個也不要,因為多一個帳號就會多 一份被攻破的危險。

  (2)除過Administrator外,有必要再增加一個屬於管理員組的帳號;(兩個管理員組的帳號,一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳 號;另方面,一旦黑客攻破一個帳號並更改口令,我們還有機會重新在短期內取得控制權。)

  (3)給所有用戶帳號一個復雜的口令(系統帳號出外),長度最少在8位以上, 且必須同 時包含字母、數字、特殊字符。同時不要使用大家熟悉的單詞(如boco)、熟悉的鍵盤順 序(如qwert)、熟悉的數字(如2008)等。(口令是黑客攻擊的重點,口令一旦被突破也就無任何系統安全可言了,通過在網絡上查資料顯示,僅字母加 數字的5位口令在幾分鐘內就會被攻破)

  二、密碼與用戶策略

  1.開啟密碼策略

  注意應用密碼策略,啟用密碼復雜性要求,設置密碼長度最小值為8位 ,設置強制密碼歷史為5次,時間為31天。

  2.開啟用戶策略

  使用用戶策略,分別設置復位用戶鎖定計數器時間為30分鐘,用戶鎖定時間為30分鐘,用戶鎖定阈值為3次。

  三、Windows防火牆

  Windows 2000默認不帶防火牆,需要我們自己安裝一個安全的軟件防火牆;

  1.開啟前要先看看3389端口有沒有加到例外裡去,因為我們的服務器都放在機房,維護人員一般都是在遠程維護,沒有的話勾上“遠程桌面”,然後再開啟。

  2.在例外中加入80、1433、21端口,總之,要什麼端口才添加什麼端口,不要的端口一律不加。(也可以:windows防火牆“高級”本地連接“設置”服務,勾上所要服務,如:遠程桌面、http、ftp、smtp)。

  3.允許ping服務器:windows防火牆—高級—本地連接“設置”ICMP,勾上第一個:允許傳入響應請求。

  4.在防火牆策略中在添加一個允許遠程桌面的的IP地址通過。

  四、本地策略

  1.本地策略——>安全選項

  交互式登陸:不顯示上次的用戶名 啟用

  網絡訪問:不允許SAM帳戶和共享的匿名枚舉  啟用

  網絡訪問:不允許為網絡身份驗證儲存憑證 啟用

  網絡訪問:可匿名訪問的共享 全部刪除

copyright © 萬盛學電腦網 all rights reserved