windows系统的安全稳定备份等相关设置.docx
- 文档编号:24396685
- 上传时间:2023-05-27
- 格式:DOCX
- 页数:7
- 大小:19KB
windows系统的安全稳定备份等相关设置.docx
《windows系统的安全稳定备份等相关设置.docx》由会员分享,可在线阅读,更多相关《windows系统的安全稳定备份等相关设置.docx(7页珍藏版)》请在冰豆网上搜索。
windows系统的安全稳定备份等相关设置
windows2003系统的安全、稳定、备份等相关设置
本文转自新科互联:
windows2003系统的安全、稳定、备份等相关设置
按照下列方法配置windowsserver2003服务器和相关备份,可以达到99.99%的安全度、稳定度。
一、系统权限的设置
1、磁盘权限
系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限;
系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限
系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限
系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限
系统盘\Windows\System32\cacls.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限
系统盘\Windows\System32\cmd.exe文件只给Administrators组和SYSTEM的完全控制权限;
2、本地安全策略设置:
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:
加入Guests组
通过终端服务允许登陆:
只加入Administrators组和RemoteDesktopUsers组,其他全部删除
C、本地策略——>安全选项
交互式登陆:
不显示上次的用户名 启用
网络访问:
不允许SAM帐户和共享的匿名枚举 启用
网络访问:
不允许为网络身份验证储存凭证 启用
网络访问:
可匿名访问的共享 全部删除
网络访问:
可匿名访问的命名管道 全部删除
网络访问:
可远程访问的注册表路径 全部删除
网络访问:
可远程访问的注册表路径和子路径 全部删除
帐户:
重命名来宾帐户 重命名一个帐户
帐户:
重命名系统管理员帐户 重命名一个帐户
3、禁用不必要的服务
开始菜单—>管理工具—>服务
PrintSpooler
RemoteRegistry
TCP/IPNetBIOSHelper
Server
Workstation系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来
以上是在WindowsServer2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
二、免除ASP木马困扰
1、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。
将下面的代码保存为一个.BAT文件
regsvr32/uwshom.ocx
delC:
\WINDOWS\System32\wshom.ocx
regsvr32/ushell32.dll
delC:
\WINDOWS\system32\shell32.dll
然后双击运行一下,WScript.Shell,Shell.application,WScript.Network就会被卸载了。
可能会提示无法删除文件,不用管它,重启一下服务器,通过服务器探针您会发现这三个都提示“×安全”了。
2、改名不安全组件(WScript.Shell,Shell.application)
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。
下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:
“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。
为了确保万无一失,把这两个注册表项导出来,保存为.reg文件。
比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001
Shell.application改名为Shell.application_chinanet
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
注:
操作均需要重新启动WEB服务后才会生效。
3、防止Guests组用户调用Cmd.exe(PRIMA主控服务器不能禁止调用)
禁用Guests组用户调用cmd.exe:
开始->运行caclsC:
\WINDOWS\system32\Cmd.exe/e/dguests
通过以上3步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
三.修改Win2003中TerminalService的3389端口
服务器端更改方法:
1、运行regedit,找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp],看到右边的PortNumber了吗?
在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突
即可。
2、第二处HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp,看到右边的PortNumber,方法同上,记得改的端口号和上面改的一样就行了。
3、改完之后切记到WINDOWS防火墙(或TCP/IP筛选)里面打开修改后的端口,否则将无法远程连接!
4、重新启动计算机,则立即生效!
远程连接使用例如:
60.190.133.130:
7126
四、启用防火墙或TCP/IP筛选
桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet连接防火墙—>设置
把服务器上面要用到的服务端口选中
例如:
一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
在“FTP服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上勾
如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:
1.如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加;如果3389端口已经更改,还要添加例如7126这样的端口。
2.如果FTP无法正常工作,可关闭防火墙桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>internet协议(tcp/ip)?
属性—>高级—>选项—>TCP/IP筛选—>属性—>只允许TCP端口添加21/25/80/1433/3306/8383/3389/7126等端口
;PRIMA平台采用FTP软件Serv-u的还需要添加9000/9001/9002/9003/9004端口,PRIMA的主控被控之间的8000端口也需要添加;
五、管理员账户和密码设置
1、将Administrator用户停用,增加一个管理员帐户用户并给予Administrator组的权限
2、管理员帐户设置复杂的密码,密码采用字母+数字+字符,不低于12位)
六.其他配置
1、开启FSO权限:
在MS-DOS状态下面键入:
打开fso:
regsvr32scrrun.dll
关闭fso:
regsvr32/uscrrun.dll
2、安装Serv-U,并设置防止Serv-U权限提升(PRIMA平台需要,星外平台不需要):
1).将Serv-U目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限
2).设置Serv-U的管理密码(初始密码为空)。
3、设置iisreset每日定时重启:
1)创建管理用户:
桌面右键点击我的电脑->管理->本地用户和组->右键点击用户->新用户->用户名框内输入“iisreset”->“密码”和“确认密码”框内输入复杂的密码->去除“用户下次登陆时须更改密码”前面的勾->打勾用户不能更改密
码->打勾密码永不过期->创建;
2)将用户iisreset授予管理员组权限:
本地用户和组->用户内找到”iisreset”用户->右键->属性->隶属于->添加->高级->立即查找->选“Administrators”确定->确定->应用->确定。
3)添加iisreset任务计划配置每天自动重启4次:
开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入C:
\WINDOWS\system32\iisreset.exe->打开->选择每天->下一步->起始时间设置为0:
00->下一步->输入用
户名iisreset和复杂的密码2遍->下一步->完成->双击任务计划内的iisreset图标->日程安排->选择显示多项计划->新建3个计划任务(每天的6:
00/12:
00/18:
00)->应用->输入用户名iisreset和复杂的密码2遍->确定->确定;
4)测试iisreset任务计划是否正常:
右键点击任务计划内的iisreset图标->运行->状态为“正在运行”->上次结果为“0x0”即表示正常。
4、设置服务器每周三早晨6:
00重启一次:
添加shutdown.exe任务计划配置每周三自动重启1次:
开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入C:
\WINDOWS\system32\shutdown.exe-r-f-t0->打开->选择每天->下一步->起始时间设置为6:
00->下一
步->输入用户名iisreset和复杂的密码2遍->下一步->完成->确定。
5、设置服务器每周二早晨5:
00备份数据库一次:
下载:
backupsql.rar(每天自动备份SQL2000/Mysql的工具)
文件位置D:
\SOFT\服务器已使用软件\7i24\backupsql.rar
解压缩后放在system32目录,然后,用记事打开backupsql.bat
将里面的"E:
\SQL2000所在数据库的Data目录的位置\*.*"改成您自己的SQL2000的data目录,如"E:
\ProgramFiles\MicrosoftSQLServer\MSSQL\Data\*.*"
再将里面的"E:
\Mysql所在数据库的Data目录的位置\*.*"改成您自己的Mysql的data目录,如:
"E:
\ProgramFiles\MySQL\MySQLServer5.0\data\*.*"
保存后,您就可以在服务器上的控制面板,计划任务中,添加一个计划任务,调用这个backupsql.bat来运行就可以实现定时备份.备份生成的文件默认保存在E盘,您可以通过修改backupsql.bat来修改位置.
添加backupsql任务计划配置每周二备份数据库一次:
开始->设置->控制面板->任务计划->添加任务计划->下一步->浏览->文件名后框内输入C:
\WINDOWS\system32\backupsql.bat->打开->选择每周->下一步->起始时间设置为5:
00->下一步->输入用户
名iisreset和复杂的密码2遍->下一步->完成->确定。
6、系统补丁的更新
6-1点击开始菜单—>所有程序—>WindowsUpdate按照提示进行补丁的安装。
6-2我的电脑上按鼠标右键属性—>自动更新—>选择自动并设置为每天2:
00-6:
00期间—>确定。
可以保持系统自动更新安全补丁,确保安全。
7、安装防病毒安全软件(推荐试用诺顿企业版10或12)安装完毕后设置:
打开SymantecAntiVirus左上角的”文件””调度更新”设置每天自动更新;然后“配置””文件系统自动防护””操作””宏病毒”和”非宏病毒”的第二操作全
部设置位”删除威胁”(配置下的4个现项目依次同样设置为”删除威胁”);
8、安装解压缩软件WinRar;
9、用GHOST备份系统。
9-1关闭诺顿企业版:
配置文件系统自动防护,去除“启用自动防护”前面的勾确定
9-2默认安装“一键GHOST硬盘版.exe”至C:
\dosh\
9-3排除诺顿防护GHOST的安装文件夹:
配置文件系统自动防护排除文件/文件夹在dosh前面打钩。
9-4启动诺顿企业版:
配置文件系统自动防护,“启用自动防护”前面打勾,确定
9-5点击“一键GHOST”选择“一键备份C盘”点击“备份”后将自动备份系统。
新科互联云主机特价活动,1G内存,电信最低仅需59元/月,双线最低仅需69元/月
详情:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- windows 系统 安全 稳定 备份 相关 设置