-
服务器基本安全配置
1.
用户安全
(1)
运行
,
重命名原
Administrator
用户为自定义一定长度的名字,
并新建同名
Administ
rator
普通用户,设置超长密码去除所有隶属用户组。
(2)
运
行
——计算机配置—安全设置—账户策略—密码策略
启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改
密码保证
服务器账户的密码安全。
(3)
运行
——计算机配置—安全设置—账户策略—账户锁定策略
启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
< br>
(4)
< br>运行
——计算机配置—安全设置—本地策略—安全选项<
/p>
交互式登录
:
不显示上次的用户名;——启动
交互式登录:回话锁定时显示用户信息;——不显示用户信息
(5)
运行
——计算机配置—安全设置—本地
策略—安全选项
网络访问:可匿名访问的共享;——清空
网络访问:可匿名访问的命名管道;——清空
网络访问:可远程访问的注册表路径;——清空
网络访问:可远程访问的注册表路径和子路径;——清空
(6)
运行
——计算机配置—安全设置—本地
策略
通过终端服务拒绝登陆——加入一下用户(
****
代表计算机名)
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
注:用户添加查找如下图:
(7)
运行
——计算机配置—安全设置—本地
策略—策略审核
即系统日志记录的审核消息,方便我们检查服
务器的账户安全,推荐设置如下:
(8)
2.
共享安全
(1)
运行
Regedit
——删除系统默认的共享
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic esLanmanServerParameter
s]
增加一
个键:名称
: AutoShareServer
类型
: REG_DWORD
;
值
: 0
(2)
运
行
Regedit
——禁止
IPC
空连接
[Local_Machine/
System/CurrentControlSet/Control/LSA]
把
RestrictAnonymous
的键值改成
”
1
”
< br>。
(3)
3.
服务端口安全
(1)
运行
Regedit
——修改
3389
远程
端口
打开
[HKEY_LOCAL_MACHINESYSTEM
CurrentControlSetControlTerminal
Server
WdsrdpwdTdstcp]
,将
PortNamber<
/p>
的键值(默认是
3389
)修改成自定义
端
口
:14720
打开
[HKEY_LOCAL_MACHINESYSTEMCurrentC
ontro1SetControlTenninal
ServerWinStationsRDP-Tcp]
,将<
/p>
PortNumber
的键值(默认是
3
389
)修改成自定义
端口
:1472
0
(2)
运行
——禁用不需要的和危险的服务
以下列出建议禁止的服务,具体情况根据需求分析执行:
Alerter
发送管理警报和通知
Automatic Updates
Windows
自动更新服务
Computer Browser
维护网络计算机更新(网上邻居列表)
Distributed File System
局域网管理共享文件
Distributed linktracking client
用于局域网更新连接信息
Error
reporting service
发送错误报告
Remote
Procedure Call (RPC) Locator
RpcNs*
远程过程调用
(RPC)
Remote Registry
远程修改注册表
Removable storage
管理可移动媒体、驱动程序和库
Remote Desktop Help Session Manager
远程协助
Routing and Remote Access
在局域网以及广域网环境中为企业提供路由服务
Shell Hardware Detection
为自动播放硬件事件提供通知。
Messenger
消息文件传输服务
Net
Logon
域控制器通道管理
NTLMSecuritysupportprovide
telnet
服务和
Microsof
t Serch
用的
PrintSpooler
打印服务
telnet
telnet
服务
Workstation
泄漏系统用户名列表(注:如使用局域网请勿关闭)
(3)
运
行
——
IPSec
安全加密端口,内部使用加密访问。
原理:利用组策略中
的“
IP
安全策略”功能中,安全服务器(需要安全)功能。将
所有访问远程如
13013
端口的请求
筛选到该
ip
安全策略中来,
使得该请
求需要通过
双方的预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需
要安
全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行<
/p>
连接。在此条件下,不影响其他服务的正常运行。
操作步骤:
1)
打开
<
/p>
,在计算机策略中有“
IP
安全策略”<
/p>
,
选择“安全服务器(需要
安全)
”项目属性,然后在
IP
安全规则中选择“所
有
IP
通信”打开编辑,在“编
辑规则
属性”中,双击“所有
IP
通信”
,在
IP
筛选器
中,添加或编辑一个筛选
器。
2)
退回到
“编辑规则
< br>属性”
中,
在此再选择
“身份验
证方法”
。
删除
“
Kerberos 5
”
,
点击添
加,在“新身份验证方法”中,选择“使用此字符串(预共享密钥)
”
< br>,
然后填写服务器所填的预共享密钥
(服务器的预共享密
钥为
”
123abc,.
”
)
。
然后确
定。
3)
选择“安全服
务器(需要安全)
”右键指派即可。
附截图:
-
-
-
-
-
-
-
-
-
上一篇:电脑的服务哪些可以关掉
下一篇:双语:英语中各种婉转的表达(图)