服務器安全設置策略

　　我們所用的服務器大多是windows平台的windows server 2000與windows server 2003 windows ，server2003是目前最為成熟的網絡服務器平台，安全性相對於windows 2000有大大的提高,但是2003與2000默認的安全配 置不一定適合我們的需要，所以，我們要根據實際情況來對win2003與 win2000進行全面安全配置。安全配置是一項比較有難度的網絡技術，權限配置的太嚴格，好多程序又運行不起，權限配置的太松，又很容易被黑客入侵，做 為管理員，要結合我們真實使用的情況與所應用的程序來設置相應安全的策略，確保服務器永久安全運行。

　　★以下是對我們現在服務器情況所做出的一些安全策略：

　　一、windows系統帳號

　　1.將administrator改名,如改為別名，如：boco_ofm;或者取中文名(這樣可以為黑客攻擊增加一層障礙)

　　2.將guest改名為administrator作為陷阱帳戶，並且設置一個個高強度的密碼，或直接禁用;(有的黑客工具正是利用了guest 的弱點，可以將帳號從一般用戶提升到管理員組。)

　　3.除了管理員帳戶、以及服務必須要用到的用戶外，禁用或刪除其他一切用戶。

　　(1)網站帳號一般只用來做系統維護，多余的帳號一個也不要，因為多一個帳號就會多 一份被攻破的危險。

　　(2)除過Administrator外，有必要再增加一個屬於管理員組的帳號;(兩個管理員組的帳號，一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳 號;另方面，一旦黑客攻破一個帳號並更改口令，我們還有機會重新在短期內取得控制權。)

　　(3)給所有用戶帳號一個復雜的口令(系統帳號出外)，長度最少在8位以上， 且必須同 時包含字母、數字、特殊字符。同時不要使用大家熟悉的單詞(如boco)、熟悉的鍵盤順 序(如qwert)、熟悉的數字(如2008)等。(口令是黑客攻擊的重點，口令一旦被突破也就無任何系統安全可言了,通過在網絡上查資料顯示，僅字母加 數字的5位口令在幾分鐘內就會被攻破)

　　二、密碼與用戶策略

　　1.開啟密碼策略

　　注意應用密碼策略，啟用密碼復雜性要求，設置密碼長度最小值為8位 ，設置強制密碼歷史為5次，時間為31天。

　　2.開啟用戶策略

　　使用用戶策略，分別設置復位用戶鎖定計數器時間為30分鐘，用戶鎖定時間為30分鐘，用戶鎖定阈值為3次。

　　三、Windows防火牆

　　Windows 2000默認不帶防火牆，需要我們自己安裝一個安全的軟件防火牆;

　　1.開啟前要先看看3389端口有沒有加到例外裡去，因為我們的服務器都放在機房，維護人員一般都是在遠程維護，沒有的話勾上“遠程桌面”，然後再開啟。

　　2.在例外中加入80、1433、21端口，總之，要什麼端口才添加什麼端口，不要的端口一律不加。(也可以：windows防火牆“高級”本地連接“設置”服務，勾上所要服務，如：遠程桌面、http、ftp、smtp)。

　　3.允許ping服務器：windows防火牆—高級—本地連接“設置”ICMP，勾上第一個：允許傳入響應請求。

　　4.在防火牆策略中在添加一個允許遠程桌面的的IP地址通過。

　　四、本地策略

　　1.本地策略——>安全選項

　　交互式登陸：不顯示上次的用戶名 啟用

　　網絡訪問：不允許SAM帳戶和共享的匿名枚舉　 啟用

　　網絡訪問：不允許為網絡身份驗證儲存憑證 啟用

　　網絡訪問：可匿名訪問的共享　全部刪除