117XXWINDOWS操作系统维护规程.docx
- 文档编号:10765388
- 上传时间:2023-02-22
- 格式:DOCX
- 页数:14
- 大小:318.02KB
117XXWINDOWS操作系统维护规程.docx
《117XXWINDOWS操作系统维护规程.docx》由会员分享,可在线阅读,更多相关《117XXWINDOWS操作系统维护规程.docx(14页珍藏版)》请在冰豆网上搜索。
117XXWINDOWS操作系统维护规程
XX
WINDOWS操作系统维护规程
制定:
审核:
批准:
版本:
XX
二O一四年九月
1.1修改管理员帐号和创建陷阱帐号3
1.2删除默认共享存在的危险4
1.3重新设置远程可访问的注册表路径6
1.4关闭不需要的端口6
1.4.1远程终端3389端口合理修改8
1.4.2SQLServer使用1433配置11
1.5正确划分文件系统格式,选择稳定的操作系统安装盘12
1.6正确设置磁盘的安全性13
1.7禁用不必要的服务,提高安全性和系统效率13
1.8禁用不必要的协议14
1.9打开相应的审核策略(安全日志)14
1.1修改管理员帐号和创建陷阱帐号
多年以来,微软一直在强调最好重命名Administrator账号并禁用Guest账号,从而实现更高的安全。
在WindowsServer2003中,Guest账号是缺省禁用的,但是重命名Administrator账号仍然是必要的,因为黑客往往会从Administrator账号入手开始进攻。
方法是:
打开“本地安全设置”对话框,依次展开“本地策略”→“安全选项”,在右边窗格中有一个“账户:
重命名系统管理员账户”的策略,双击打开它,给Administrator重新设置一个平淡的用户名,(请不要使用Admin之类的名字,等于没改,尽量把它伪装成普通用户。
)
注意使用以下技巧:
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码。
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间0分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。
如果你使用了A还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
8、在账户属性对话框中,可以限制用户登录的时间和地点。
单击其中的“登录时间”按钮,在这里可以设置允许该用户登录的时间,这样就可防止非工作时间的登录行为。
单击其中的“登录到”按钮,在这里可以设置允许该账户从哪些计算机乾地登录。
另外,还可以通过“账户”选项来限制登录时的行为。
例如使用“用户必须用智能卡登录”,就可避免直接使用密码验证。
除此之外,还可以引入指纹验证等更为严格的手段。
1.2删除默认共享存在的危险
Windows2003系统会默认一些隐藏的共享,可以用netshare查看共享。
所以我们要禁止或删除这些共享以确保安全,方法是:
首先编写如下内容的批处理文件:
@echooff
netshareC$/del
netshareD$/del
netshareE$/del
netshareF$/del
netshareadmin$/del
netshareIPC$/del
以上批处理内容可以根据实际情况需要修改。
保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。
然后在开始菜单→运行中输gpedit.msc,回车即可打开组策略编辑器。
点击用户配置→Window设置→脚本(登录/注销)→登录,在出现的“登录属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat(如图1),然后单击“确定”按钮即可。
这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。
禁用IPC连接
IPC是InternetProcessConnection的缩写,也就是远程网络连接。
它是WindowsNT/2000/XP/2003特有的功能,其实就是在两个计算机进程之间建立通信连接,一些网络通信程序的通信建立在IPC上面。
默认情况下,IPC是共享的,因此,这种基于IPC的入侵也常常被简称为IPC入侵。
建立IPC连接不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。
打开CMD后输入如下命令即可进行连接:
netuse\\ip\ipc$"password"/user:
"usernqme"。
我们可以通过修改注册表来禁用IPC连接。
打开注册表编辑器。
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
方法二:
打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0
1.3重新设置远程可访问的注册表路径
设置远程可访问的注册表路径为空,这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
打开组策略编辑器,然后选择“计算机配置”→“Windows设置”→“安全选项”→“网络访问:
可远程访问的注册表路径”及“网络访问:
可远程访问的注册表”,将设置远程可访问的注册表路径和子路径内容设置为空即可。
这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
(如图2)
1.4关闭不需要的端口
139端口是Netbios使用的端口,在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。
在WindowsServer2003中,只这样做是不行的。
如果想彻底关闭139端口,方法如下:
鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接属性”页,然后去掉“Microsoft网络的文件和打印共享”前面的“√”(如图3),接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中(如图3),即大功告成!
这样做还可有效防止SMBCrack之类工具破解和利用网页得到我们的NT散列。
一般禁用以下端口
135138139443445400048997626
如果你的机子还装了IIS,你最好设置一下端口过滤。
方法如下:
选择网卡属性,然后双击“Internet协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选项”标签下的“TCP/IP筛选”项,点“属性”按钮,会来到“TCP/IP筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”(如图4),然后根据需要配置就可以了。
比方说如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可。
如果有其他需要可如法炮制。
1
1.1
1.2
1.3
1.4
1.4.1远程终端3389端口合理修改
很多管理Windows平台下服务器的网管朋友知道,维护服务器都需要远程来执行,有的通过pcanywhere,有的用微软提供的3389远程连接器。
但使用修改端口后的远程终端往往画面不流畅,连接速度较慢,甚至百G千G的带宽也是如此。
那到底是什么原因呢?
其实是我们在修改端口时没修改彻底,才会导致以上的情况发生。
以往我们在修改服务器远程终端3389端口时,只是修改了HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp中“PortNumber”的数值,这样也能连接上,但就会造成文章开始说的情况,下面是具体规范的操作步骤:
1、在运行里面输入:
”regedit”,进入注册表,然后找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp这一项,如图1:
2、找到“PortNumber”处,鼠标右键选择“修改”,选择十进制,换成你想修改的端口(范围在1024到65535)而且不能冲突,否则下次就无法正常启动系统了。
具体操作方法如图2:
3、然后找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,具体位置如图3:
4、在右侧找到” PortNumber处”,和图2操作方法相似,如图4和5所示:
注意,这次的端口要和上次修改的端口一致。
5、然后系统重新启动下,就可以用3389连接器远程连接操作了,(3389连接器打开方法:
XP/2003下在运行里输入”mstsc”)即可。
连接的时候格式为:
IP:
修改后的端口,如图6:
1.4.2SQLServer使用1433配置
默认情况下,SQLServer使用1433端口监听,很多人都说SQLServer配置的时候要把这个端口改变,这样别人就不能很容易地知道使用的什么端口了。
可惜,通过微软未公开的1434端口的UDP探测可以很容易知道SQLServer使用的什么TCP/IP端口了。
不过微软还是考虑到了这个问题,毕竟公开而且开放的端口会引起不必要的麻烦。
在实例属性中选择TCP/IP协议的属性。
选择隐藏SQLServer实例。
如果隐藏了SQLServer实例,则将禁止对试图枚举网络上现有的SQLServer实例的客户端所发出的广播作出响应。
这样,别人就不能用1434来探测你的TCP/IP端口了(除非用PortScan)。
请在上一步配置的基础上,更改原默认的1433端口。
在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口。
打开MicrosoftSQLServer--服务器网络实用工具--启用的协议--TCP/IP--属性--默认端口
客户端连接的方法:
打开MicrosoftSQLServer--客户端网络实用工具--别名,添加
1.5正确划分文件系统格式,选择稳定的操作系统安装盘
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。
如果你已经分成FAT32的格式了,可以用CONVERT盘符/FS:
NTFS/V来把FAT32转换成NTFS格式。
正确安装windows2003server,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!
保证操作系统本身无漏洞。
1.6正确设置磁盘的安全性
1、系统盘权限设置
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
删除c:
\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述
1.7禁用不必要的服务,提高安全性和系统效率
ComputerBrowser维护网络上计算机的最新列表以及提供这个列表
Taskscheduler允许程序在指定时间运行
RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务
Removablestorage管理可移动媒体、驱动程序和库
RemoteRegistryService允许远程注册表操作
PrintSpooler将文件加载到内存中以便以后打印。
要用打印机的不能禁用这项
IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知
Com+EventSystem提供事件的自动发布到订阅COM组件
Alerter通知选定的用户和计算机管理警报
ErrorReportingService收集、存储和向Microsoft报告异常应用程序
Messenger传输客户端和服务器之间的NETSEND和警报器服务消息
Telnet允许远程用户登录到此计算机并运行程序
Workstation关闭的话远程NET命令列不出用户组
MicrosoftSerch:
提供快速的单词搜索,不需要可禁用
1.8禁用不必要的协议
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows2003自带的防火墙,
禁用TCP/IP上的NetBIOS:
1. 在“控制面板”上,双击“系统”,单击“硬件”标签,然后点击“设备管理器”按钮。
2. 在“查看”菜单上,单击“显示隐藏的设备”。
3. 展开“非即插即用驱动程序”。
4. 右键单击“TCP/IP上的NetBIOS”,然后单击“禁用”。
解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
1.9打开相应的审核策略(安全日志)
有过这样的情况,一台主机被别人入侵了,系统管理员去追查凶手,登录进去一看:
安全日志是空的,请记住:
Win2000的默认安装是不开任何安全审核的!
那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
(gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
)
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 117 XXWINDOWS 操作系统 维护 规程