windows server 2008 的基本安全防護措施與策略
一、作業系統的使用者安全
1.對於系統的內建的賬戶(即系統管理員賬戶),最好令其唯一,減少許可權的分配。
2.對其進行重新命名,盡量避免系統管理員賬戶名稱使用admin、masterd、guanliyuan之類被黑客優先試探的名稱。
3.建立陷阱賬號,即名稱與預設管理員賬戶名稱類似或完全相同,而許可權極低的使用者賬號。
4.設定密碼強度限制,建立賬號鎖定機制(一旦賬戶密碼出現校驗錯誤若干次,應立即斷開連線並鎖定該賬號)
二、檔案系統的安全
1.設定共享檔案的訪問許可權和訪問物件(其中ntfs許可權對本地和網路訪問共享檔案都起作用,共享許可權只對網路訪問起作用)
2.設定隱藏共享,建立共享檔案的時在填寫共享名是加上$字尾,訪問時加上此字尾即可。
3.取消預設磁碟共享,在系統提供的登錄檔編輯器中,在hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters 下新建reg_dword值,命名「autoshareserver」後對「數值資料」植入「0」,停止預設磁碟共享。(危害:若在客戶機訪問檔案伺服器的預設共享,輸入管理員賬號後,c盤的所有資源可以被完全控制,檢視自己電腦的所有共享資源可在dos命名視窗輸入「net share」)
4.加密檔案,windows server 2008 提供的加密檔案系統為(encrypting file system)efs。
三、本地安全策略
1.密碼策略,可強制使用者賬戶設的密碼置滿足安全需求,防止使用者將自己的密碼設定得過短或太簡單。
2.賬戶鎖定策略,防止其他人無數次的猜測計算機使用者的密碼。
3.審核策略,記錄有有關入侵的主要資訊,幫助判斷是否發生了違法安全的事件。
4.使用者許可權分配,控制不同使用者對計算機資源的控制許可權。
5.安全選項,增強系統的安全性。
四、防火牆
1.自定義入站規則和出站規則,嚴格控制出入伺服器的流量,從而增加伺服器的安全。
3.禁止使用者使用登錄檔編輯工具,在【本地組策略編輯器】中,啟動「阻止訪問登錄檔編輯工具」,防止非法使用者通過修改登錄檔危害系統安全。
4.顯示使用者以前的登入資訊,啟用本地組策略中的「在使用者登入期間顯示有關以前登入的資訊」,對使用者登入系統的行為進行跟蹤,從而發現實體圖非法登入賬戶的行為。
5.使用防火牆對ping進行限制。
6.修改遠端訪問埠,使得通訊埠不易被識破。
五、其他
這些是從網上收集來的各種進一步加強安全防護
1.螢幕保護與電源,更改電源設定,選擇高效能,選擇關閉顯示器的時間【關閉顯示器】選從不儲存修改。
2.禁用dcom,執行dcomcnfg.exe。控制台根節點→元件服務→計算機→右鍵單擊「我的電腦」→屬性」→預設屬性」選項卡→清除「在這台計算機上啟用分布式 com」核取方塊。
3.禁用ipv6,在控制面板上「更改介面卡設定」進入網路連線介面,選擇要設定的連線,右鍵選擇屬性,取消internet 協議版本 6 (tcp/ipv6) 前面的選擇框確定即可。
4.禁用不需要的和危險的服務:
distributed linktracking client 用於區域網更新連線資訊
printspooler 列印服務
remote registry 遠端修改登錄檔
server 計算機通過網路的檔案、列印、和命名管道共享
tcp/ip netbios helper 提供
tcp/ip (netbt) 服務上的
netbios 和網路上客戶端的
netbios 名稱解析的支援
workstation 洩漏系統使用者名稱列表 與terminal services configuration 關聯
computer browser 維護網路計算機更新 預設已經禁用
net logon 域控制器通道管理 預設已經手動
remote procedure call (rpc) locator rpcns*遠端過程呼叫 (rpc) 預設已經手動
刪除服務sc delete mysql
5.關閉windows remote management服務(關閉47001埠)
6.關閉netbios服務(關閉139埠)網路連線->本地連線->屬性->internet協議版本 4->屬性->高階->wins->禁用tcp/ip上的netbios
7.安裝必要的防毒軟體如mcafee,安裝一款arp防火牆,安天arp好像不錯。
8.新做系統一定要先打上已知補丁,以後也要及時關注微軟的漏洞報告。
windows server 簡化設定
win2012任務管理器顯示磁碟 管理員執行命令提示符,diskperf y 不要開機密碼 執行 netplwiz 勾去掉 執行 gpedit.msc 計算機設定 windows設定 安全設定 帳戶策略 密碼策略 密碼必須符合複雜性 要求改為 已禁用 最長使用期限改為 0 控制面板 使用者帳戶 使用...
windowsServer部署站點
前言 最近在和朋友一起買了個伺服器,奈何他選的是windowsserver,無所謂了,就把自己的站點從之前的虛擬主機遷過來,記錄下。準備工作 1 在php環境的專案根目錄下執行git clone拉取 2 修改配置檔案,主要就是關於資料庫的使用者名稱密碼等資訊 從之前的虛擬主機遷到現在的windows...
Windows Server 更改網域名稱
有時候我們會有需求更改網域名稱。網域名稱更改早在windows server 2000及2003時期就已出現,rendom更是我們網域名稱更改的利器。windows server 2008中最主要的變化就是不再需要安裝ren東門工具,可以通過命令列 cmd 直接更改。下面就以乙個示例分解rendom...