中国投资网 百科 windows安全配置(服务器安全性设置)

windows安全配置(服务器安全性设置)

1)系统安全的基础设置

1.安装说明:系统格式化为NTFS,重装系统(使用win2003原版),安装杀毒软件(mcafee),更新杀毒软件,安装sp2补丁,安装iis(只安装必要的组件),安装SQL2000,安装。net2.0,并打开防火墙。并用最新的补丁修补服务器。

2)关闭不必要的服务。

浏览器:维护网络计算机更新,禁用

分布式文件系统:局域网管理共享文件,所以不需要禁用。

分布式linktracking客户端:用于更新局域网的连接信息,不需要禁用。

错误报告服务:禁止发送错误报告

Microsoft Serch:提供快速单词搜索,无需任何帮助即可禁用。

LMSecuritySupportProvider:由Telnet服务和Microsoft Serch使用,不需要禁用。

如果没有要禁用的打印机。

远程注册表:禁止远程修改注册表。

远程桌面帮助会话管理器:禁止远程协助。其他需要检查的服务

3)建立和管理账户

1.禁用来宾帐户,更改其名称和描述,然后输入复杂的密码。

2.最好少建系统管理员账号,改默认管理员账号名称和描述。密码应该是数字、小写字母和数字的组合,长度不小于10位。

3.创建一个名为Administrator的新陷阱帐户,为其设置最低权限,然后随意输入至少20位数字的组合密码。

4.电脑配置-Windows设置-安全设置-账号策略-账号锁定策略,并将账号设置为‘三次登录无效时间为30分钟。

5.在安全设置-本地策略-安全选项中,将“不显示最后一个用户名”设置为启用。

6.在“安全设置-本地策略-用户权利分配”中,只有Internet来宾帐户、启动IIS进程的帐户和Aspnet帐户会保留在“从网络访问此计算机”中。

7.创建一个用户帐户并运行系统。如果要运行特权命令,请使用Runas命令。

4)打开相应的审计策略。

审计策略更改:成功

审计事件:成功、失败

审核对对象的访问:失败。

审计对象跟踪:成功、失败

审核目录服务访问:失败。

审计权限使用:失败。

审计系统事件:成功、失败

审计帐户登录事件:成功,失败。

审计帐户管理:成功,失败

5)其他安全相关设置

1.禁止C$、D$和ADMIN$的默认共享。

HKEY _ Local _ MachineSystemCurrentControlSetServicesLanmanserverParameters,在右边的窗口中创建新的Dword值,名称设置为AutoShareServer,值设置为0

2.解除NetBios与TCP/IP协议的绑定

右键单击网上邻居-属性-右键单击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3.隐藏重要文件/目录

可以修改注册表实现完全隐藏:' HKEY _ local _ machinesoftwaremicroftowindoscurrent-versionexploreravancedfolderhi-dden showall '右键单击' CheckedValue '选择修改,将值从1改为0。

4.防止SYN flood攻击

HKEY _ Local _ MachinesystemCurrentControlSetServicesCPipparameters创建一个名为SynAttackProtect的新DWORD值,值为2。

5.禁止响应ICMP路由公告消息。

HKEY _ Local _ MachineSystemCurrentControlSetServicestCpipparametersInterface名为PerformRouterDiscovery的新DWORD值值为0

6.防止ICMP重定向消息的攻击

HKEY _ Local _ MachinesystemCurrentControlSetServicesCPipparameters将EnableICMPRedirects的值设置为0。

7.不支持IGMP协议。

HKEY _ Local _ MachineSystemCurrentControlSetServicestCPipparameters创建一个名为IGMPLevel的新DWORD值,其值为0。

8.运行时输入Dcomcnfg.exe,禁用DCOM。进入并单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。

对于本地计算机,请右键单击“我的电脑”并选择“归属”。选择默认属性选项卡。清除“在这台计算机上启用分布式COM”复选框。

9.终端服务的默认端口是3389,可以更改为另一个端口。

修改方法是:在服务器端:打开注册表,在' HKLM \系统\当前控制集\控制\终端服务器\ winstations '找到类似RDP-TCP的子键,修改端口号值。客户端:按照正常步骤建立一个客户端连接,选择这个连接,在‘文件’菜单中选择导出,一个后缀为。cns将在指定位置生成。打开文件,将“服务器端口”的值修改为对应于服务器端端口号的值。然后导入文件(方法:菜单文件导入),让客户端修改端口。

6)配置IIS服务

1.不要使用默认网站。如果这样做,应该将IIS目录与系统盘分开。

2.删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。

3.删除系统盘下的虚拟目录,比如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4.删除不必要的IIS扩展映射。右键单击“默认网站属性主目录配置”以打开应用程序窗口并删除不必要的应用程序映射。主要是。shtml,shtm,stm。

5.更改IIS日志的路径。右键单击“默认网站属性-网站”,然后单击“启用日志记录”下的属性。

6.如果您使用的是2000,可以使用iislockdown来保护IIS,但不要求运行2003的IE6.0版本。

7.使用UrlScan

UrlScan是一个IsapI过滤器,它分析传入的HTTP数据包,并可以拒绝任何可疑的流量。最新版本是2.5。如果是2000Server,需要先安装1.0或2.0版本。如果没有特殊要求,UrlScan默认配置就足够了。但是如果您在服务器上运行ASP.NET程序并希望调试它,您需要打开% windir% system32inetsrvrlscan文件夹中的URLScan.ini文件,然后在UserAllowVerbs部分添加调试谓词。请注意,此部分区分大小写。如果您的网页是一个。asp网页,需要删除。DenyExtensions中的asp相关内容。如果您的网页使用非ASCII代码,您需要在选项部分将AllowHighBitCharacters的值设置为1。对URLScan.ini文件进行更改后,需要重新启动IIS服务才能生效。在快速方法运行中输入iisreset。如果配置后有任何问题,可以通过添加/删除程序来删除UrlScan。

8.使用WIS (Web Injection Scanner)工具扫描整个网站的SQL注入漏洞。

7)配置Sql server

1.系统管理员的角色最好不要超过两个。

3.不要使用Sa帐户,并配置一个超级复杂的密码。

4.删除以下扩展存储过程格式:

请使用master sp_dropextendedproc '扩展存储过程名称'

Xp_cmdshell:进入操作系统,删除访问注册表的存储过程,是最好的捷径,

删除

Xp _ regaddmultistring Xp _ regdeletekeyXp _ regdeletevalueXp _ regenumvalues Xp _ regread Xp _ regwrite Xp _ regregremovemultistring

OLE自动存储过程,不需要删除

Sp _ OACreate Sp _ OADestroySp _ OAGetErrorInfoSp _ OAGetProperty Sp _ OAMethodSp _ OASetPropertySp _ OAStop

5.隐藏sql server并更改默认端口1433

右键单击实例选择属性-常规-网络配置,选择TCP/IP协议属性,选择隐藏SQL Server实例,更改默认端口1433。

8).将系统日志存储地址的默认位置修改为应用日志、安全日志、系统日志和DNS日志。默认位置:%systemroot%\system32\config,默认文件大小为512KB。管理员将更改此默认大小。

安全日志文件:% systemroot % \ system32 \ config \ sec event . evt系统日志文件:% systemroot % \ system32 \ config \ sys event . evt应用程序日志文件:% systemroot % \ system32 \ config \ app event。EVT Internet信息服务FTP日志默认位置:% systemroot % \ system32 \ LOG files \ msftpsvc 1 \,默认日记Internet信息服务WWW日志默认位置:% systemroot % \ system32 \ LOG files \ w3svc 1 \,默认日记计划程序服务日志。默认位置:%systemroot%\schedlgu.txt应用程序日志、安全日志、系统日志和DNS服务器日志。这些日志文件位于注册表中:注册表中的HKEY _本地_机器\系统\当前控制集\服务\事件日志Schedluler服务日志被删除或重命名为xplog70.dll[HKEY _本地_机器\软件\微软\调度代理SQL]。当前控件集\ services \ lanmanserver \ parameters ' ' AutoShareServer '=dword:0000000 ' autosharewks '=dword:0000000//autosharewks vs pro版本//AutoShareServer vs服务器版本//0

禁止管理admin$、c$、d $[HKEY _ local _ machine \ system \ current control set \ control \ LSA]'限制匿名'=dword: 0000001//0x1匿名用户不能列出本地用户//0x2匿名用户不能连接本地IPC$共享(可能是sql server

9)、本地安全策略

1.仅打开服务所需的端口和协议。具体方法是:依次打开'网上邻居属性本地连接属性互联网协议属性高级选项 TCP/IP过滤属性'添加需要的TCP、UDP端口和IP协议。根据服务开放端口,常用的TCP端口有:80端口用于Web服务;21

本文来自网络,不代表本站立场,转载请注明出处:https:

windows安全配置(服务器安全性设置)

中国投资网后续将为您提供丰富、全面的关于windows安全配置(服务器安全性设置)内容,让您第一时间了解到关于windows安全配置(服务器安全性设置)的热门信息。小编将持续从百度新闻、搜狗百科、微博热搜、知乎热门问答以及部分合作站点渠道收集和补充完善信息。