当前位置:首页 > 日记 > 正文

安全配置服务器

安全配置服务器
一、版本的选择

我强烈建议如果语言不是障碍,请使用英文版的。你知道,微软的产品是漏洞补丁(Bug补丁)众所周知,中国版本的bug是远远超过英文版和补丁一般会至少半个月后(即通用微软宣布你的服务器的漏洞后,会在受保护的状态有半个月)。

二、组件定制

Win2K默认情况下会安装一些常用的组件。然而,默认安装非常危险。根据安全原则最低服务+最小的权限=最大的安全;只安装确实需要的服务。在这里,我们要特别注意索引Service,ldquo,FrontPage 2000服务器extensions,互联网服务manager,这些危险的服务。

三。管理应用程序的选择

这是选择一个好的远程管理软件非常重要,这不仅是安全的要求,还需要应用到WIN2K终端服务是一种基于RDP协议的远程控制软件(远程桌面协议)。它的速度快,操作方便,适用于常规操作。但是,终端服务也有它的缺点,因为它是虚拟桌面的使用,再加上微软编程的不严谨,当你使用终端服务安装软件或与真正的桌面操作重新启动服务器交互,经常让人哭笑不得的现象,如:终端服务重新启动微软认证服务器的使用(Compaq、IBM)可能会被关闭。因此,为安全起见,建议一个远程控制软件应配备一个助手,辅以终端服务,如PcAnyWhere,是一个很好的选择。

四,逻辑磁盘的划分和分配

至少有两个分区,一个系统分区,和一个应用程序分区至少是成立的。这是因为,微软的IIS(Internet信息服务器)往往有漏洞。如果系统和IIS被放置在同一驱动器上,则会导致系统文件泄漏,甚至允许入侵者获得远程管理权限。

建议建立三个逻辑驱动程序,第一个安装系统和重要日志文件,第二个将IIS和第三放到FTP上,这样无论IIS或FTP有安全漏洞,它都不会直接影响系统目录和系统文件。

五。安装顺序的选择

不要以为只要你可以安装系统,即使做的WIN2K的安装顺序是非常重要的。

首先,注意进入network.win2k时间有漏洞,安装时,即输入管理员密码后,系统将建立admin美元份额,但它并不能保护它与刚输入的密码,这种情况将持续到计算机再次启动。在这期间,任何人可以通过进入系统;admin美元;同时,只要安装完成,各种服务会自动运行,而服务器到处都是漏洞,这是很容易从外部侵入。因此,不连接的主机到网络到Win2K服务器完全安装和配置。

第二,注意补丁的安装。在安装了所有应用程序后,应该安装补丁程序,因为补丁经常要替换或修改一些系统文件。如果你先安装补丁,你可能得不到想要的结果。

即使Win2K服务器安装正确,在系统中存在多个漏洞,并进一步详细的配置是必要的。

1。港口

端口是计算机与外部网络的逻辑接口,也是计算机的第一道屏障。端口配置的正确与否直接影响主机的安全性。

二、IIS

IIS是微软组件中最有问题的组件。平均有两到三个月的漏洞,微软的IIS默认安装实际上并不是奉承。因此IIS的配置是我们关注的焦点。

首先,删除C盘inetpub目录下,在D inetpub盘,IIS管理器将指向D:inetpub目录。

下一步,在安装IIS时删除默认脚本和其他虚拟目录。如果您需要任何目录,您可以稍后创建它。

然后在应用程序的配置。无用的映象都在IIS管理器中删除(当然,它必须保持像ASP、ASA、等)。在IIS管理器主机RARR;属性RARR;WWW服务编辑RARR;主目录配置RARR;应用程序映射;然后开始删除,然后在调试书签,应用脚本错误消息改为发送文本;单击确定;;别忘了让虚拟站点继承,刚刚当你退出属性设置。

最后,为了保险起见,您可以使用IIS的备份功能来备份所有的设置,以便在任何时候都可以恢复IIS的安全配置。此外,如果IIS负载过高导致服务器死亡,您也可以在性能上打开CPU限制,例如将IIS的最大CPU使用量限制为70%。

三。帐户安全

首先,Win2k的默认安装允许任何用户通过空的用户帐户并获得所有的共享列表,为局域网用户共享资源和文件的便利,但同时,任何远程用户可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码以整个网络。带来的破坏。许多人只知道更改注册表local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1来禁止用户连接,其实在Win2K本地安全策略(如果服务器是域中的域和服务器安全域的安全策略)有这种选择restrictanonymous(额外的限制,包括匿名连接)有三个值:

0:无,依赖于默认权限(不依赖于默认权限)

1:不允许山姆账户和共享的枚举(不允许枚举山姆账户和共享)

2:没有访问权限没有明确的匿名(没有访问不是没有明确的匿名访问权限)

0这个值是系统默认的,没有任何限制。远程用户可以知道所有的账户,集团信息、共享目录、网络传输列表(netservertransportenum)在你的机器上,等这个设置是非常危险的服务器。Ldquo;1这个值是只允许非空的用户访问山姆的帐户信息和共享信息。2该值由Win2K只有支持。应该指出的是,如果使用这个值,没有更多的资源可以共享,所以建议设置值和1,这是更好的。

四。安全日志

需要注意:Win2k的默认安装,不打开任何安全审核!它应该是本地安全策略具有;审计策略;打开相应的审核,这里需要说明的是,如果有太少的检查项目,没有记录,没有什么如果你想查看发现,但审计项目如果太多,不仅会占用系统大量的资源,你可能没有时间去读所有这一切都将失去审计的意义。推荐审核如下:

,客户管理;日志事件和,政策变迁;系统事件,账户登录事件需要和失败成功;开放;,对象的访问权限;目录服务访问;打开失败;。

另外,在账户策略相关;RARR;密码策略:设置密码复杂性的要求,使6、密码长度最小值;5 强制密码历史;左边,30天;帐户锁定策略RARR;策略;设置:账户锁定3次错误日志,锁定时间20分钟,复位锁定计数20分钟等。

默认情况下,终端服务的安全日志也不启用。它可以配置终端服务配置(远程服务配置)具有,具有先进的特权,,并配置安全审计。一般来说,它只记录登录和注销事件。

五、目录和文件权限

为了控制服务器上用户的权限,防止将来可能的入侵和溢出,我们必须设置目录和文件的访问权限的访问权限非常小心。NT分为读、写、读和执行,修改列目录的完全控制。默认情况下,大多数的文件夹是完全开放的所有用户(Everyone组)。(完全控制),您需要根据应用程序的需要重新设置权限。在权限的控制中,请记住以下原则:

1。权限是累积的,如果用户同时属于两个组,那么他拥有两组所允许的所有权限。

2。拒绝权限高于允许的权限(拒绝策略首先执行)。如果用户属于拒绝访问资源的组,则不管其他权限设置对他打开,他将无法访问此资源。

三.文件权限高于文件夹权限。

4。使用用户组进行权限控制是一个成熟的系统管理员必须具备的良好习惯。

5。只有给用户真正需要的权限,最小化权限的原则才是安全的重要保证。

6、防止ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机的头痛攻击方法。其实,处理它的方法也很简单。Win2K自带的路由和远程访问工具,它是路由器原型。这个工具,我们可以很容易地定义输入和输出数据包过滤器。如果你设置输入ICMP代码255丢弃,这意味着所有的外来ICMP消息被丢弃。
应注意

事实上,安全性和应用程序在很多时候是相互矛盾的。因此,你需要找到一个平衡点。毕竟,服务器是由用户使用的。如果安全原则阻碍了系统的应用,那么安全原则就不是一个好的规则。

网络安全是一个系统工程,它不仅有空间的跨度,而且时间跨度。很多朋友(包括系统管理员的一部分),主机的安全配置其实是安全的,有一种误解,我们只能说,在一定的时间内许多情况下是安全的,随着网络结构脆弱性的变化和新的发现,管理员和用户操作的安全主机的状态改变随时随地,使安全系统感贯穿整个过程,实现真正的安全。

相关文章

PHP数组的合并、拆分和区分功能集

PHP数组的合并、拆分和区分功能集

拆分,数组,合并,功能,电脑软件,组合数组有三个函数: 1.array_combine() 携带两参数数组的参数数组的值是新数组的键,和参数数组的两值的新数组的值。很简单u3002 实例uff1a 复制代码代码如下所示: 美元=阵列(‘绿色',',''); $ =阵列('avocado…

安装Office1719在win7下的误差原因

安装Office1719在win7下的误差原因

误差,解决方法,安装,原因,电脑软件,注释:在Windows 7上安装Office 2010,如果出现错误1719:无法访问Windows安装程序服务,此错误声明是由于Windows安装程序的问题,可以通过以下方法解决。 在Windows 7下安装Office 2010,如果出现错误1719,无法访问W…

PHPvisitfile()遍历指定文件夹功能

PHPvisitfile()遍历指定文件夹功能

遍历,功能,电脑软件,PHPvisitfile,注:visitfile()有少量修改 复制代码代码如下所示: 指定文件夹文件 为文件列表=阵(); 功能visitfile($路径) { 全球$文件列表; $路径= str_replace( 美元($路径)FDIR = dir; 而((文件)= $ FDIR ->读(假)= =!) { 如果(文件= = = …

什么inorpc.exe过程是否有什么关系

什么inorpc.exe过程是否有什么关系

文件,过程,有什么关系,电脑软件,inorpc,点评:对于inorpc.exe -详细的注释inorpc过程 进程文件:inorpc或InoRpc.exe 进程名称:eTrust Antivirus组件 过程类别:安全风险的过程 英文描述: inorpc.exe是与eTrust Antivirus杀毒电脑,相关的过程,它也…

让电脑开机进入Win8传统桌面的方法

让电脑开机进入Win8传统桌面的方法

方法,方案,桌面,传统,电脑软件,问题: 在Win8系统默认的是地铁补丁界面。每次你想进入传统的桌面,你需要点击桌面图标或按下Win按钮。感觉有点麻烦。使计算机进入Win8传统桌面的时候,它开始的方式是什么 答案uff1a 有一种方法来设置SCF文件。…

PowerPoint2010直接将PPT转换成视

PowerPoint2010直接将PPT转换成视

转换成,视频文件,电脑软件,文件转换成,视频,第一页PPT到视频的基本步骤 更多有趣的文章推荐: 将PowerPoint演示文档转换成在线视频并与多人共享 在PowerPoint2007中插入视频的方法 把PowerPoint演示文稿放到一个视频文件中,随身携带。 单…

Linux文本处理工具包

Linux文本处理工具包

文本处理,电脑软件,Linux,点评:Linux的操作习惯与Windows有一个窗口进行操作,它是一个很大的不同,本文将介绍最常用的文字处理工具,使用Linux下的shell:发现,grep,xargs,排序,uniq,TR,剪切,粘贴,WC,sed,awk 所提供的示例和参数是最常用和最实用的。 我使用…

什么是hpwuschd2.exe什么hpwuschd2

什么是hpwuschd2.exe什么hpwuschd2

函数,查询,过程,电脑软件,exe,点评:hpwuschd2.exe是HP惠普软件升级的相关程序 进程文件:hpwuschd2或hpwuschd2.exe 过程名称:休利特帕卡德软件更新调度程序 过程类别:安全风险的过程 英文描述: hpwuschd2.exe过程是属于休利特帕卡德的软件更新…

帮助文件下载

帮助文件下载

下载,帮助文件,电脑软件,如何查询{问}的特殊字符,如通配符和_ % 如何在数据库表中插入单引号 如何设置事务一致性 如何使用游标更新数据 如何自定义异常 {十进制和十六进制转换 {问}可以介绍sys_context的详细用法 { { }如何获得今天的日期,…

我的文档总是在计算机进入系统后自

我的文档总是在计算机进入系统后自

系统,是在,我的文档,电脑软件,问题: 最近几天,我每次开始进入系统,我的文档自动打开并检查启动和预定任务还没有打开我的文件设置是否没有电脑中毒 回答: 可能会中毒,注册表被病毒或特洛伊木马程序修改。请检查注册表以供参考。 开始>运行,在…

nddeagnt是nddeagnt.exe-使用

nddeagnt是nddeagnt.exe-使用

电脑软件,nddeagnt,exe,点评:nddeagnt.exe是网络动态数据交换代理的一部分,是用来管理网络DDE服务 进程文件:nddeagnt或nddeagnt.exe 过程名称:网络动态数据交换代理 过程类别:安全风险的过程 英文描述: nddeagnt.exe使用的网络动态数据交换剂…

就在consol32.exe过程危险吗过程co

就在consol32.exe过程危险吗过程co

危险,就在,过程,电脑软件,exe,点评:consol32.exe是trojandownloader。Win32。短。C病毒下载器程序,程序将下载病毒到你的计算机 进程文件:consol32或consol32.exe 进程名称:W32。拉密顿G木马。 过程类别:安全风险的过程 英文描述: consol32.exe…