服务器基本安全配置文档格式.docx
- 文档编号:22659098
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:15
- 大小:814.99KB
服务器基本安全配置文档格式.docx
《服务器基本安全配置文档格式.docx》由会员分享,可在线阅读,更多相关《服务器基本安全配置文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
回话锁定时显示用户信息;
——不显示用户信息
(5)——电脑配置—安全设置—本地策略—安全选项
网络访问:
可匿名访问的共享;
——清空
可匿名访问的命名管道;
可远程访问的注册表路径;
可远程访问的注册表路径和子路径;
(6)——电脑配置—安全设置—本地策略
通过终端服务拒绝登陆——加入一下用户〔****代表电脑名〕
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORKSERVICE
SQLDebugger
注:
用户添加查找如以下图:
(7)——电脑配置—安全设置—本地策略—策略审核
即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下:
(8)
2.共享安全
(1)运行Regedit——删除系统默认的共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]增加一个键:
名称:
AutoShareServer;
类型:
REG_DWORD;
值:
0
(2)运行Regedit——禁止IPC空连接
[Local_Machine/System/CurrentControlSet/Control/LSA]
把RestrictAnonymous的键值改成”1”。
(3)
3.服务端口安全
(1)运行Regedit——修改3389远程端口
打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp],将PortNamber的键值〔默认是3389〕修改成自定义端口:
14720
打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp],将PortNumber的键值〔默认是3389〕修改成自定义端口:
(2)——禁用不需要的和危险的服务
以以下出建议禁止的服务,具体情况根据需求分析执行:
Alerter发送管理警报和通知
AutomaticUpdatesWindows自动更新服务
ComputerBrowser维护网络电脑更新〔网上邻居列表〕
DistributedFileSystem局域网管理共享文件
Distributedlinktrackingclient用于局域网更新连接信息
Errorreportingservice发送错误报告
RemoteProcedureCall(RPC)LocatorRpcNs*远程过程调用(RPC)
RemoteRegistry远程修改注册表
Removablestorage管理可移动媒体、驱动程序和库
RemoteDesktopHelpSessionManager远程协助
RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务
ShellHardwareDetection为自动播放硬件事件提供通知。
Messenger消息文件传输服务
NetLogon域控制器通道管理
NTLMSecuritysupportprovidetelnet服务和MicrosoftSerch用的
PrintSpooler打印服务
telnettelnet服务
Workstation泄漏系统用户名列表〔注:
如使用局域网请勿关闭〕
(3)——IPSec安全加密端口,内部使用加密访问。
原理:
利用组策略中的“IP安全策略”功能中,安全服务器〔需要安全〕功能。
将所有访问远程如13013端口的请求筛选到该ip安全策略中来,使得该请求需要通过双方的预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行连接。
在此条件下,不影响其他服务的正常运行。
操作步骤:
1)打开GPEDIT.MSC,在电脑策略中有“IP安全策略”,选择“安全服务器〔需要安全〕”项目属性,然后在IP安全规则中选择“所有IP通信”打开编辑,在“编辑规则属性”中,双击“所有IP通信”,在IP筛选器中,添加或编辑一个筛选器。
2)退回到“编辑规则属性”中,在此再选择“身份验证方法”。
删除“Kerberos5”,点击添加,在“新身份验证方法”中,选择“使用此字符串〔预共享密钥〕”,然后填写服务器所填的预共享密钥〔服务器的预共享密钥为”123abc,.”〕。
然后确定。
3)选择“安全服务器〔需要安全〕”右键指派即可。
附截图:
4.防火墙安全
(1)启动系统自带防火墙
添加例外程序端口,除服务器对外服务端口添加到例外。
其余都删除或不勾选。
有必要时编辑例外设置访问地址限制。
〔高级设置参照要求设定〕
(2)选择性安装第三方防火墙,设定防火墙网络访问规则,除了必要对外开放的端口,其他都不要对外开放。
特别是Telnet:
23端口,FTP:
21,22端口,数据库端口,邮件端口:
25,101等重要的端口,如没有必要尽可能不要对外开放。
5.移动存储设备策略安全
目的:
一般移动感染病毒会在移动设备的根目录下带有autorun.inf及病毒文件自动运行。
主要是阻止防御移动存储设备的危险程序自动运行。
(1)——关闭自动播放
电脑配置—管理模版—系统:
关闭自动播放——已启动,所有驱动器
用户配置—管理模版—系统:
(2)——策略限制根目录运行文件
电脑配置—windows设置—安全设置—软件限制策略—其他规则:
右键新建路径规则,不允许所有盘符根目录下的这些后缀的文件运行。
〔*:
\*.bat、*:
\*、*:
\*.vb*、*:
\*.exe〕
6.其他安全
(1)Ftp站点目录安全,去除非必要用户的修改写入权限,定制对于权限,对于执行和修改权限配置妥当。
(2)Http站点目录权限,一般站点都需去除用户的写入权限,常用的网站一般为读取权限。
(3)数据库安全,如SQL数据库,设置Sa超长密码,正常情况下禁止使用sa用户访问数据库。
对应其他用户设置对应数据库的映射安全,无需所有数据库映射。
(4)定期修改系统用户密码,及其他牵涉用户的相关密码。
且密码要符合复杂性要求。
(5)定期检查系统日志安全,以防有人尝试破解用户账户密码。
如有批量多条用户登录失败,则需特别注意调查原因。
(6)定期检查部署策略是否正常运行,以防有些策略由于人为或意外终止。
(7)定期检查服务运行情况,确定禁止及启用的服务都正常。
(8)定期备份系统重要数据及检查网站等数据库备份。
7.特别提醒:
以上相关重要操作之前,建议操作后人工记录下操作了具体什么内容,以备误操作导致异常的时候恢复使用。
特别是涉及注册表操作及删除系统文件的时候要提前备份相关重要文件。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 服务器 基本 安全 配置
![提示](https://static.bdocx.com/images/bang_tan.gif)