激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        億恩科技有限公司旗下門戶資訊平臺!
        服務(wù)器租用 4元建網(wǎng)站

        服務(wù)器維護(hù)的安全方案

        我們所用的服務(wù)器大多是windows平臺的windows server 2000與windows server 2003 windows ,server2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺,安全性相對于windows 2000有大大的提高,但是2003與2000默認(rèn)的安全配置不一定適合我們的需要,所以,我們要根據(jù)實際情況來對win2003與 win2000進(jìn)行全面安全配置。安全配置是一項比較有難度的網(wǎng)絡(luò)技術(shù),權(quán)限配置的太嚴(yán)格,好多程序又運行不起,權(quán)限配置的太松,又很容易被黑客入侵,做為管理員,要結(jié)合我們真實使用的情況與所應(yīng)用的程序來設(shè)置相應(yīng)安全的策略,確保服務(wù)器永久安全運行。

          ★以下是對我們現(xiàn)在服務(wù)器情況所做出的一些安全策略:

          一、windows系統(tǒng)帳號

          1.將administrator改名,如改為別名,如:boco_ofm;或者取中文名(這樣可以為黑客攻擊增加一層障礙)

          2.將guest改名為administrator作為陷阱帳戶,并且設(shè)置一個個高強(qiáng)度的密碼,或直接禁用;(有的黑客工具正是利用了guest 的弱點,可以將帳號從一般用戶提升到管理員組。)

          3.除了管理員帳戶、以及服務(wù)必須要用到的用戶外,禁用或刪除其他一切用戶。

          (1)網(wǎng)站帳號一般只用來做系統(tǒng)維護(hù),多余的帳號一個也不要,因為多一個帳號就會多 一份被攻破的危險。

          (2)除過Administrator外,有必要再增加一個屬于管理員組的帳號;(兩個管理員組的帳號,一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳 號;另方面,一旦黑客攻破一個帳號并更改口令,我們還有機(jī)會重新在短期內(nèi)取得控制權(quán)。)

          (3)給所有用戶帳號一個復(fù)雜的口令(系統(tǒng)帳號出外),長度最少在8位以上, 且必須同 時包含字母、數(shù)字、特殊字符。同時不要使用大家熟悉的單詞(如boco)、熟悉的鍵盤順 序(如qwert)、熟悉的數(shù)字(如2008)等。(口令是黑客攻擊的重點,口令一旦被突破也就無任何系統(tǒng)安全可言了,通過在網(wǎng)絡(luò)上查資料顯示,僅字母加數(shù)字的5位口令在幾分鐘內(nèi)就會被攻破)

          二、密碼與用戶策略

          1.開啟密碼策略

          注意應(yīng)用密碼策略,啟用密碼復(fù)雜性要求,設(shè)置密碼長度最小值為8位 ,設(shè)置強(qiáng)制密碼歷史為5次,時間為31天。

          2.開啟用戶策略

          使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計數(shù)器時間為30分鐘,用戶鎖定時間為30分鐘,用戶鎖定閾值為3次。

          三、Windows防火墻

          Windows 2000默認(rèn)不帶防火墻,需要我們自己安裝一個安全的軟件防火墻;

          1.開啟前要先看看3389端口有沒有加到例外里去,因為我們的服務(wù)器都放在機(jī)房,維護(hù)人員一般都是在遠(yuǎn)程維護(hù),沒有的話勾上“遠(yuǎn)程桌面”,然后再開啟。

          2.在例外中加入80、1433、21端口,總之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墻“高級”本地連接“設(shè)置”服務(wù),勾上所要服務(wù),如:遠(yuǎn)程桌面、http、ftp、smtp)。

          3.允許ping服務(wù)器:windows防火墻—高級—本地連接“設(shè)置”ICMP,勾上第一個:允許傳入響應(yīng)請求。

          4.在防火墻策略中在添加一個允許遠(yuǎn)程桌面的的IP地址通過。

          四、本地策略

          1.本地策略——>安全選項

          交互式登陸:不顯示上次的用戶名 啟用

          網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉  啟用

          網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗證儲存憑證 啟用

          網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除

          網(wǎng)絡(luò)訪問:可匿名訪問的命名管道 全部刪除

          網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑全部刪除

          網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑全部刪除

          網(wǎng)絡(luò)訪問:限制匿名訪問命名管道和共享

          2.本地策略——>審核策略

          審核策略更改 成功 失敗

          審核登錄事件 成功 失敗

          審核對象訪問   失敗

          審核過程跟蹤 無審核

          審核目錄服務(wù)訪問失敗

          審核特權(quán)使用失敗

          審核系統(tǒng)事件 成功 失敗

          審核賬戶登錄事件 成功 失敗

          審核賬戶管理 成功 失敗

          3.本地策略——>用戶權(quán)限分配

          關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。

          從網(wǎng)絡(luò)訪問些計算機(jī):只有系統(tǒng)管理員與指定帳號。

          4.使用NTFS格式分區(qū)

          把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多。

          5.設(shè)置屏幕保護(hù)密碼

          很簡單也很有必要,設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用一些復(fù)雜的屏幕保護(hù)程序,浪費系統(tǒng)資源,讓他黑屏就可以了。所有系統(tǒng)用戶所使用的機(jī)器最好也加上屏幕保護(hù)密碼。

          6.把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”

          “everyone” 在win2000與win3003中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設(shè)置成”everyone”組。包括打印共享,默認(rèn)的屬性就是”everyone”組的。

          7.保障備份盤的安全

          一旦系統(tǒng)資料被破壞,備份盤將是恢復(fù)資料的唯一途徑。備份完資料后,把備份放在安全的地方。千萬別把資料備份在同一臺服務(wù)器上,我們在3001房間已經(jīng)部署了備份服務(wù)器。

          五、關(guān)閉無用的服務(wù)

          1.我們一般關(guān)閉如下服務(wù):

          Computer Browser (瀏覽器更新)

          Help and Support (計算機(jī)幫助)

          Messenger (客戶端與服務(wù)器之間的netsend和alerter服務(wù)消息)

          Print Spooler (內(nèi)存中便遲打印)

          Remote Registry (遠(yuǎn)程用戶修改注冊表)

          TCP/IP NetBIOS Helper (netbios名稱解析)

          Workstation (創(chuàng)建和維護(hù)遠(yuǎn)程計算機(jī)的客戶端網(wǎng)絡(luò)連接)

          Telnet (允許遠(yuǎn)程用戶登錄到些計算機(jī))

          把不必要的服務(wù)都禁止掉,盡管這些不一定能被攻擊者利用得上,但是按照安全規(guī)則和標(biāo)準(zhǔn)上來說,多余的東西就沒必要開啟,減少一份隱患。

          2.在"網(wǎng)絡(luò)連接"里,把不需要的協(xié)議和服務(wù)都刪掉,只保留基本的Internet協(xié)議(TCP/IP),在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。

          3.禁用空會話

          檢查是否禁用了空會話,避免與服務(wù)器創(chuàng)建匿名(不進(jìn)行身份驗證的)會話。要進(jìn)行檢查,請運行 Regedt32.exe,確認(rèn)“RestrictAnonymous”項已設(shè)置為 1,如下所示。

          HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

          4.要審查共享和相關(guān)的權(quán)限,運行“計算機(jī)管理”MMC 管理單元,然后選擇“共享文件夾”下的“共享”。檢查所有共享是否是需要的共享。刪除所有不必要的共享。

          刪除默認(rèn)共享bat腳本:

          Net share /delete C$

          Net share /delete D$

          Net share /delete E$

          Net share /delete IPC$

          Net share /delete ADMIN$

          或者通過修改注冊表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可

          5.不要在服務(wù)器上安裝與應(yīng)用程序無關(guān)的應(yīng)用。

          6. IIS:IIS是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,微軟的IIS默認(rèn)安裝的配置是重點,我們現(xiàn)在用IIS服務(wù)的就公司一些網(wǎng)站。

          首先,把C盤那個什么Inetpub目錄徹底刪掉,在D盤建一個Inetpub(要是你不放心用默認(rèn)目錄名也可以改一個名字,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub;

          其次,IIS安裝時默認(rèn)虛擬目錄一概刪除,雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了,但是還是小心,如果需要什么權(quán)限的目錄可以自己慢慢建,需要什么權(quán)限開什么.(注意寫權(quán)限和執(zhí)行程序的權(quán)限)

          六、修改端口號

          1. 更改遠(yuǎn)程桌面端口

          依次展開

          HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

          右邊鍵值中 PortNumber 改為想用的端口號.使用十進(jìn)制(例 40228 )

          HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

          WINSTATIONS/RDP-TCP/

          右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進(jìn)制(例 40228 )

          注意:在WINDOWS2003自帶的防火墻給+上40228端口

          修改完畢.重新啟動服務(wù)器.設(shè)置生效.

          2.一般禁用以下端口

          135 138 139 443 445 4000 4899 7626

          3.更改TTL值

          黑客可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng),如:

          TTL=107(WINNT);

          TTL=108(win2000);

          TTL=127或128( xp);

          TTL=240或241(linux);

          TTL=252(solaris);

          TTL=240(Irix);

          更改端口號:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個莫名其妙的數(shù)字如258,悟道一般的黑客侵入。

          ★ 以下是服務(wù)器日常維護(hù)策略:

          1. 系統(tǒng)帳號密碼一個月更換一次滿足復(fù)雜性;

          2. 每星期清理一次系統(tǒng)日志文件,并查看做記錄;

          3. 每半個月全面殺毒一次,殺毒軟件打開自動更新并半個月手動更新一次;

          4. 系統(tǒng)更新設(shè)置為自動,并半個月檢查更新一次;

          5. 服務(wù)器硬件狀況每月檢查一次,CPU、內(nèi)存、硬盤使用率每月做一次統(tǒng)計;

          6. 安裝補(bǔ)丁、安裝殺毒軟件。

        河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
        服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:0371-60135900
        虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:0371-55621053
        網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話:0371-60135995
        服務(wù)熱線:0371-60135900

        5
        1
        分享到:責(zé)任編輯:小恩

        相關(guān)推介

        共有:0條評論網(wǎng)友評論:

        驗證碼 看不清換一張 換一張

        親,還沒評論呢!速度搶沙發(fā)吧!