windows如何操作服务器安全设置,应注意什么?
本文与您分享的是windows小编认为服务器安全设置的操作非常实用,所以我想和大家分享一下。本文总结了多种支付方式,非常详细。感兴趣的朋友们,让我们跟。
Windows服务器是Microsoft Windows Server System(WSS)的核心,Windows 服务器操作系统。每个Windows服务器对应家用(工作站)版(2003) R2除外)。
1)基本设置系统安全
1.安装说明:系统全部NTFS格式化,重新安装系统(使用原版win2003)安装杀毒软件(Mcafee),更新杀毒软件,安装sp2补钉,安装IIS(只安装必要的组件),安装SQL2000,安装.net2.打开防火墙。并在服务器上贴上最新的补丁。
2)关闭不必要的服务
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:不需要禁止局域网更新连接信息
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft 路由知识 Serch用的,不需要禁用
PrintSpooler:如果没有打印机,可以禁用
Remote Registry:注册表禁止远程修改
Remote Desktop Help Session Manager:禁止远程协助 其它服务需要验证
3)设置和管理账户
1、将Guest禁用账户并更改名称和描述,然后输入复杂的密码
2.最好少建系统管理员账户,改变默认管理员账户名(Administrator)和描述,密码最好用数字加小写字母加数字的上档键组合,长度最好不少于10位
3.新建一个名字Administrator为陷阱帐户设置最小权限,然后随意输入不少于20位的密码
4.计算机配置-Windows设置-安全设置-账户策略-账户锁定策略将账户设置为三次登录无效 时间为30分钟
5.在安全设置-本地策略-安全选项中设置不显示上次用户名作为启用
6、 从网络访问这台计算机只保留在安全设置-本地策略-用户权利分配中Internet客人账户,启动IIS进程账户,Aspnet账户
7、创建一个User如果账户、操作系统需要使用特权命令Runas命令。
4)打开相应的审计策略
更改审计策略:成功
审核登录事件:成功、失败
访问审核对象:失败
跟踪审核对象:成功、失败
审核目录服务访问:失败
使用审计特权:失败
审计系统事件:成功,失败
审核账户登录事件:成功、失败
审计账户管理:成功,失败
5)、 其它安全相关设置
1、禁止C$、D$、ADMIN$缺省共享的一类
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的 窗口中新建Dword值,名称设为AutoShareServer值设为0路由知识
2、解除NetBios与TCP/IP协议的绑定
右击在线邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS
3.隐藏重要文件/目录
可修改注册表,实现完全隐藏: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”,鼠标右击“CheckedValue选择修改,将数值从1改为0
4、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为SynAttackProtect,值为2
5、 禁止响应ICMP路由通知报告
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0
6. 防止ICMP攻击重定向报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0
7、 不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为IGMPLevel 值为0
8、禁用DCOM:运行中输入 Dcomcnfg.exe。 回车, 单击控制台根节点下的组件服务。 回车, 单击控制台根节点下的组件服务。 打开计算机 文件夹。
对于本地计算机,请右键单击我的电脑,然后选择属于 性路由网”。选择默认属性选项卡。在这台计算机上启用分布式清除 COM”复选框。
默认端口为3389,终端服务可考虑修改为其他端口。
修改方法如下: 服务器端:打开注册表,HKLM\\SYSTEM\\Current ControlSet\\Control\\Terminal Server\\Win Stations” 处找到类似RDP-TCP修改子键PortNumber值。 客户端:按正常步骤建立客户端连接,选择此连接,在文件菜单中选择导出,在指定位置 产生后缀为.cns的文件。打开文件,修改Server Port服务器端值PortNumber对应的 值。然后导入文件(方法:菜单:→文件→导入),使客户端修改端口。
6)、配置 IIS 服务
1.不使用默认Web网站,如果使用,也会 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。
3.删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。
4.删除不必要的IIS扩展名映射。 单击单击默认Web站点→属性→主目录→配置,打开应用程序窗口,删除不必要的应用程序映射 射。主要为.shtml, .shtm, .stm
5、更改IIS日志的路径 单击单击默认Web站点→属性-网站-点击启用日志记录下的属性
6.如果使用2000,可以使用iislockdown来保护IIS,在2003运行的IE6.不需要0版本。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它介入HTTP分析数据包并拒绝任何可疑的通信量。 最新版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。 没有特殊要求的,采用UrlScan默认配置就够了。
但如果你在服务器上运行,如果你在服务器上运行ASP.NET要调试,需要打开程序 %WINDIR%System32InetsrvURLscan,文件夹中的URLScan.ini 然后是文件UserAllowVerbs节添 加debug谓词,注意这一节是区分大小写的。
假如你的网页是.asp你需要在网页上DenyExtensions删除.asp相关内容。
如果你的网页使用非非ASCII你需要代码Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 更改文件后,需要重启IIS只有这样,服务才能生效,并务才能生效iisreset 若配置后出现问题,您可以通过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)整个网站的工具SQL Injection 脆弱性扫描.
7)、配置Sql服务器
1、System Administrators 最好不要超过两个角色
3、不要使用Sa账户,配置超复杂的密码
4.删除以下扩展存储过程格式:
use master sp_dropextendedproc '.扩展存储过程名称'
xp_cmdshell:删除访问登记表的存储过程是进入操作系统的最佳捷径,
删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏 SQL Server、默认变更1433端口
右击实例选择属性-常规-网络配置选择TCP/IP协议的属性,选择隐藏 SQL Server 例子,改原默 认的1433端口。
8)修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志DNS日志默认位置:%systemroot%\\system32\\config,默认 文件大小512KB,管理员会改变默认大小。
安全日志文件:%systemroot%\\system32\\config\\SecEvent.EVT 系统日志文件:%systemroot%\\system32\\config\\SysEvent.EVT 应用程序日志文件:%systemroot%\\system32\\config\\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\\system32\\logfiles\\msftpsvc1\\,每天默许一天 志 Internet信息服务WWW日志默认位置:%systemroot%\\system32\\logfiles\\w3svc1\\,每天默许一天 志 Scheduler(任务计划)服务日志默认位置:%systemroot%\\schedlgu.txt 应用程序日志、安全日志、系统日志、DNS这些服务器日志LOG注册表中的文件: HKEY_LOCAL_MACHINE\\System\\CurrentContr ol