IIS虚拟主机网站防木马权限设置安全配置整理
IP安全策略详细设置
IP安全策略详细设置IP安全策略是一种在计算机网络中用于保护系统资源和信息安全的措施。
通过设置IP安全策略,可以限制网络中的主机和用户的权限和访问控制,以避免未授权的访问和潜在的网络攻击。
下面将详细介绍如何设置IP安全策略。
1.权限控制:-首先,需要对网络中的主机和用户进行身份验证,并根据其身份授予不同的访问权限。
可以使用身份验证和授权协议,如RADIUS和TACACS+,来实现权限控制。
-其次,设置强密码策略,要求用户使用复杂的密码,并定期更改密码以确保安全性。
-另外,可以使用虚拟专用网络(VPN)来限制远程用户的访问,并通过使用VPN客户端来验证用户身份。
2.防火墙设置:-防火墙是保护网络免受未授权访问和网络攻击的重要组件之一、设置防火墙规则以限制进出网络的IP地址和端口。
可以使用网络防火墙设备或软件应用程序来实现防火墙设置。
-首先,需要定义允许进入网络的IP地址和端口,以确保网络的可访问性。
-其次,设置拒绝访问的规则,阻止未授权的IP地址和端口进入网络。
-此外,还可以设置日志记录规则,监控网络访问和潜在的攻击,并及时采取措施。
3.数据加密:- 为了保护敏感数据的安全性,可以使用数据加密技术来保护数据的机密性和完整性。
可以使用加密算法如AES(高级加密标准)或RSA (Rivest-Shamir-Adleman)来加密数据。
-在网络通信中,可以使用安全套接层(SSL)或传输层安全性(TLS)协议来加密数据。
这些协议使用公钥和私钥来确保数据的加密和解密过程的安全性。
4.恶意软件防护:-恶意软件(如病毒、间谍软件和蠕虫)是网络安全的威胁之一、通过设置安全策略来防止恶意软件的入侵和传播是很重要的。
-首先,需要安装和更新防病毒软件,并定期进行病毒扫描以检测和删除潜在的恶意软件。
-另外,可以使用反恶意软件工具和行为分析来监测和阻止恶意软件的活动。
5.网络监控和日志记录:-为了保持网络的安全性和监控潜在的安全威胁,需要设置网络监控和日志记录策略。
IIS服务器的安装和配置
3、增加虚拟目录(本实验可跳过此步骤不做)
假设某网站http://xxx的根目录为C:\Inetpub\wwwroot,而某文 件在D:\temp目录下,为了让用户通过WWW方式访问该文件 所在目录,而又不必费事地将该目录及文件拷到根目录下面去, 可以采用虚拟目录的方法来实现:将D:\temp目录命名为一个 逻辑上位于根目录下面的别名temp111,则用户可以通过形如 http://xxx/temp111的Ueb网站设置
• 修改网站的http等协议类型、端口号及IP地址等设置 (可选步骤可跳过):如需修改,可在上页中的右侧操 作栏中,点编辑网站绑定…,打开网站绑定对话框。 然后选中一条设置后,点击“编辑”按钮,打开编辑网 站绑定对话框进行修改。也可添加新的网站绑定。
主机名空着不填
• 修改网站的主目录物理路径等设置(可选步骤可跳过) :如需修改,可在上上页中的右侧操作栏中,点编辑网 站基本设置,打开编辑网站对话框,来进行修改。
• 添加虚拟目录:添加虚拟目录完毕后,该虚拟目录的主 页界面如图所示,可以看到与主网站的主页界面相似, 也可设置默认文档、身份验证等功能。
使用虚拟目录的主要优点有: 隐藏实际的文件夹。因为用户并不知道文 件在服务器上的实际文件夹名称,也无法 利用此信息来试图改变文件夹的内容。 更容易规划网站的目录。因为不需要改变 该目录的URL地址,只需要修改虚拟目录 的别名与实际文件夹之间的对应,就可以 重新整理网站的目录。
IIS服务器的安装和配置
目录
• IIS的安装 • IIS的具体内容 • IIS中的Web服务器的配置 • IIS中的FTP服务器的配置 • 其它FTP服务器及FTP客户端软件
IIS的安装(已装好不必再装!)
• 开始控制面板程序打开或关闭Windows功能, 打开服务器管理器,然后在角色页面中选择添加角色 (也可直接从管理工具服务器管理器进去)。
服务器安全加固如何设置强密码和访问控制以保护服务器
服务器安全加固如何设置强密码和访问控制以保护服务器服务器安全加固:如何设置强密码和访问控制以保护服务器概述服务器安全是保护网站和数据免受恶意攻击的关键。
在服务器设置中,设置强密码和访问控制是有效的安全措施。
本文将介绍如何设置强密码和访问控制,以保护服务器免受未授权访问和恶意入侵。
一、设置强密码强密码是保护服务器的首要步骤之一。
以下是一些设置强密码的方法:1.1 长度和复杂性密码应至少包含8个字符,并且应包括字母(大小写)、数字和特殊字符。
更长的密码通常更安全,因此建议使用12个或更多字符的密码。
1.2 随机性密码应随机生成,并且不应容易猜测。
避免使用与个人信息相关的密码,如生日、姓名等。
可以使用密码管理器来生成和管理强密码。
1.3 定期更改密码定期更改密码是保持服务器安全的另一个重要因素。
建议每3个月更改一次密码,以防止密码被恶意攻击者猜测或破解。
1.4 多因素身份验证除了强密码,还可以启用多因素身份验证。
这可以使用手机短信验证、身份验证器应用程序或生物识别技术(如指纹或面部识别)来验证用户身份。
二、访问控制访问控制是管理服务器访问和权限的关键方面。
以下是一些访问控制的常见措施:2.1 使用防火墙防火墙可以限制对服务器的网络访问。
配置防火墙以仅允许来自信任来源的连接,并阻止来自未授权来源的连接。
通过仅开放必要的端口和协议,可以减少潜在攻击的风险。
2.2 固定IP访问限制显式地指定可访问服务器的IP地址列表可以帮助控制远程访问。
通过将访问限制为固定IP列表,可以减少未授权访问的风险。
2.3 用户权限管理确保每个用户都具有适当的权限,并限制对服务器上敏感文件和操作的访问。
分配最低必要权限原则可以减少内部威胁的风险。
2.4 定期审查权限定期审查用户权限,删除不再需要的用户账户,并检查特权用户的活动记录。
这样可以防止未授权的访问和滥用特权。
2.5 锁定登录尝试设置登录尝试次数限制,并暂时锁定账户以防止恶意尝试猜测密码。
IIS站点安装配置手册
铁血Web站点安装配置手册V1.02一.安装Web服务器1.系统要求Windows2008R2 X642.IIS要求IIS7.5 【必需】URL Rewrite 【可选】Application Request Routing 【可选】3.用户账号需求每台Web服务器均需要新建一个名为“pic”的用户,且所有该用户的密码一致,隶属于Users组,用户不能更改密码,密码永不过期。
【目前所有web服务器有该账号,便于管理】4.UNC权限需求【使用UNC路径时使用,不使用UNC跳过,默认跳过】备注:只有当使用集群的时候使用UNC路径,如122,124,125服务器和102,103服务器铁血未来站点均使用UNC目录进行配置,所以在站点文件提供服务器上需要共享一个目录,目前为\\192.168.0.122\WebNew,高级共享,权限为:◇1Users 【本地】◇2Domain Users 【域用户】◇3Administrators【本地】◇4Pic 【本地】以上用户需对共享目录有完全控制的权限在每台Web服务器上需要对站点文件存储的UNC共享目录配置完全信任关系,命令如下:○1C:\Windows\\Framework64\v2.0.50727\caspol.exe -rs [清除所有其它的信任]○2 C:\Windows\\Framework64\v2.0.50727\caspol.exe -m -ag 1 -url "file:////\\192.168.0.122\WebNew\*" FullTrust -exclusive on [添加IIS信任]5.IIS安装IIS7.5具体安装功能有:5.1 IIS安装(默认安装功能)◇1常见HTTP功能静态内容、默认文档、目录浏览、HTTP错误、HTTP重定向◇2应用程序开发 、.net扩展性、ISAPI扩展、ISAPI筛选器、在服务器端包含文件◇3健康和诊断HTTP日志记录、请求监视、自定义日志记录、ODBC日志记录◇4安全性基本身份验证、windows身份验证、请求筛选、IP和域限制◇5性能静态内容压缩动态内容压缩◇6管理工具IIS管理控制台5.2安装IIS URL Rewrite 2.0(可选)需要URL重写功能安装,即伪静态化时下载:URL Rewrite Module 2.0 X64/download/URLRewrite5.3 安装“网络负载平衡管理器”功能(可选)需要几台服务器做负载均衡时安装该组件系统自带,添加删除程序中5.4Frameworker2.0、Frameworker4.05.5 Application Request Routing(可选)当需要反向代理的时候需要安装下载Application Request Routing/download/ApplicationRequestRouting6.系统配置6.1 %WINDIR%\\Framework\v2.0.50727\aspnet.config中配置CONFIG<legacyUnhandledExceptionPolicy enabled="true" />6.2配置 MetaBase.xml gzip 相关 HcNoCompressionForHttp10="FALSE" HcNoCompressionForProxies="FALSE"6.3设置系统级别的MachineKey(可以直接从122上拷贝一份web.config直接覆盖)文件:C:\Windows\\Framework64\v2.0.50727\CONFIG\web.config位置:在该文件的</system.web>之前添加内容:<machineKey decryption="DES" decryptionKey="具体值" validationKey="具体值" />6.4关闭服务器的HTTPErr日志功能,必须关闭。
iis 动态ip限制 规则
在IIS中实现动态IP限制,可以通过配置HTTP请求限制规则来实现。
以下是配置步骤:
1. 打开IIS管理器,在左侧树视图中选择要配置的服务器节点或站点节点。
2. 在“功能”视图中,单击“请求限制”。
3. 在“请求限制”窗口中,单击“配置规则”按钮。
4. 在“规则”窗口中,单击“添加规则”按钮。
5. 在“规则”向导中,选择“基于IP地址的限制”选项。
6. 设置要限制的IP地址范围或单个IP地址,并指定要限制的请求类型(例如GET、POST等)。
7. 设置限制的阈值,例如限制每个IP地址每天只能发出100个请求。
8. 单击“确定”按钮保存规则。
通过以上步骤,IIS将根据配置的规则对来自特定IP地址范围的请求进行限制,超过阈值的请求将被拒绝。
请注意,这些规则仅适用于动态IP地址,对于静态IP地址,需要手动添加到白名单中。
计算机网络安全课程设计-- WEB服务器的安全配置
计算机网络安全课程设计-- WEB 服务器的安全配置题目: WEB服务器的安全配置学院:信息学院专业:网络工程姓名:汤佳慧学号: 1101010137 班级:信息A1111班摘要随着计算机普及、互联网的飞速发展,许多企业都开发了自己的WEB网站。
WEB 服务器是intranet(企业内部网)网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好WEB服务器中的资源,是一项至关重要的工作。
安全部署WEB服务器是企业面临的一项重要工作,其中系统安装、安全策略和IIS安全策略对企业WEB服务器安全、稳定、高效地运行至关重要。
【关键字】WEB,服务器安全,协议安全,IIS设置AbstractWith the popularization of computers,the Internet rapid development,many companies have developed their own WEB site. The WEB server is Intranet (intranet) sites on the core, where in the data is very important, when the destruction of the enterprise will cause irreparable damage, manage, use, protect the WEB server resources, is an important task.Deployment of the security WEB server is an enterprise is facing an important task, the system installation, security policy and security strategy of enterprise IIS WEB server security, stable, efficient operation is very important.[keywords]WEB,server security, security protocol, IIS set目录前言 0第一章需求分析 (1)1.1 WEB服务器的概念 (1)1.2 WEB服务器存在的安全问题 (1)第二章安装和配置IIS (2)2.1 仅安装必要的组件 (2)2.2 修改上传文件的大小 (2)2.3 IIS安全设置 (3)第三章 WEB服务器的安全设置 (9)3.1 选用NTFS文件系统 (9)3.2 选用单操作系统 (9)3.3 关闭Windows 2003不必要的服务 (9)3.4 禁用不必要的协议 (10)3.5 设置磁盘访问权限 (10)3.6 关闭不必要的端口及更改远程连接端口 (11)3.7 限制匿名访问本机用户 (11)3.8 限制远程用户对光驱或软驱的访问 (12)3.9 限制NetMeeting 及禁用NetMeetin g (13)第四章 WEB服务器安全评测 (14)第五章结论 (15)参考文献 (16)致谢 (17)前言随着计算机技术的突飞猛进,计算机网络的日新月异,网络已经深入到我们生活的各个角落。
web服务器安全配置
web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。
为了确保网站的安全,正确的服务器安全配置是至关重要的。
本文将介绍一些重要的方法和步骤,以帮助您合理地配置和保护您的Web服务器。
1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。
这样可以确保您的服务器是基于最新安全补丁和修复程序运行的,以减少黑客和恶意软件的攻击风险。
2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。
黑客经常利用这些默认配置的弱点,因此应该定制和修改这些配置。
将默认的管理员账户名称和密码更改为强密码,并禁用不必要的服务和插件。
3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输,应该始终使用安全的传输协议,如HTTPS。
HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性,防止数据在传输过程中被黑客窃取或篡改。
4. 创建强大的访问控制使用防火墙和访问控制列表(ACL)来限制对服务器的访问。
只允许必要的IP地址访问您的服务器,并阻止来自已知恶意IP地址的访问。
使用强大的密码策略来保护登录凭证,并定期更改密码。
5. 防御举措采取一些额外的防御措施,例如使用Web应用程序防火墙(WAF)来检测和阻止恶意的HTTP请求。
WAF可以识别和封锁潜在的攻击,如跨站点脚本攻击(XSS)和SQL注入攻击。
6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。
通过监控服务器访问日志和相关指标,可以及时发现潜在的安全问题。
使用入侵检测系统(IDS)和入侵防御系统(IPS)来检测和阻止未经授权的访问和活动。
7. 数据备份和恢复计划及时备份服务器上的所有数据,并设置定期的备份计划。
这样,在服务器遭受攻击或数据丢失时,可以及时恢复数据并最小化损失。
8. 网络分割将Web服务器与其他敏感数据和系统隔离开来,建立网络分割可以减少攻击面,确保一次攻击不会导致整个网络或系统的崩溃。
服务器网络安全配置与防护策略
服务器网络安全配置与防护策略服务器网络安全是保障网络系统正常运转和信息安全的重要环节。
本文将介绍服务器网络安全配置的一些基本原则和有效的防护策略,以帮助保护服务器系统免受恶意攻击和数据泄露的风险。
一、网络安全配置原则1. 将服务器放置在安全的网络区域:服务器应该置于安全可控的网络位置,与外部网络相隔离,只通过必要的通信端口与外界沟通。
可以考虑使用防火墙和网络隔离设备实现这一目标。
2. 及时更新操作系统和应用程序:及时安装最新的操作系统和应用程序补丁,及时修复系统漏洞可以有效减少被黑客攻击的风险。
3. 建立用户访问控制机制: 仅允许授权用户访问服务器,使用强密码策略和定期密码更改来增加账户安全性。
4. 配置安全审计:启用安全审计功能可以对服务器的操作进行记录和监控,及时发现可疑活动,并采取相应的防御措施。
二、服务器网络安全的防护策略1. 启用防火墙:设置防火墙以过滤和阻止来自外部网络的未经授权的访问请求,只允许通过授权的端口和协议访问服务器。
2. 数据加密传输:对敏感数据的传输进行加密,如使用HTTPS协议来保护Web应用程序的数据传输,使用VPN等安全通道来保护敏感信息的传送。
3. 定期备份和恢复策略:定期备份服务器数据,确保在遭受攻击或数据丢失时能够快速恢复正常运行。
备份数据应存储在纸质或离线介质上,以防数据泄露。
4. 强化服务器访问权限:限制服务器访问权限只给予必要的用户和程序,并定期审查和更新访问权限。
5. 安装和配置入侵检测系统:使用入侵检测软件或硬件设备来监控服务器活动,及时发现异常行为或攻击企图。
6. 定期进行网络漏洞扫描:定期使用网络安全扫描工具来扫描服务器系统,发现漏洞并及时做出补丁更新和修复。
7. 使用安全的密码策略:要求用户使用强密码,并定期更改密码,防止密码泄露和被猜测。
结语综上所述,服务器网络安全配置和防护策略对于保护服务器系统和信息安全至关重要。
在实施服务器网络安全时,我们应遵循原则,采取有效的防护策略,并定期进行安全审计和漏洞扫描来确保服务器系统的安全性。
Windows 2003 网站目录安全权限设置指南
Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展,各高校所运维的网站数量和规模与日俱增。
与此同时,Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可,基于IIS WEB服务器软件的网站数量也越来越多。
通常情况,高校的大多数服务器,会由技术力量相对雄厚的网络中心等IT资源部门运维管理。
而网站程序的制作则一般由各单位、各部门自主负责:少数用户单位将会自主开发,或者请专业的IT公司代为开发。
而更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,便将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行着多个网站,其中某个网站存在着安全漏洞(例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站,取得权限,上传网页木马,得到了一个WEB SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有WEB站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便将感染上病毒,结果引来用户的严重不满和投诉,同时也严重损害了学校的形象。
为了避免类似事件的发生,我们有必要将网站和数据库分开部署,通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还是远远不够的,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限做严格的控制,实现各网站之间权限的隔离,做法如下:在WEB服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
网络安全入侵检测和防御系统的配置
网络安全入侵检测和防御系统的配置网络安全是当今社会中一个非常重要且不可忽视的问题。
随着网络技术的不断发展,网络入侵事件也呈现出日益猖獗的态势,为了保障网络的安全与稳定,建立一个合理的入侵检测和防御系统是至关重要的。
本文将介绍网络安全入侵检测和防御系统的配置方法和步骤。
一、入侵检测系统的配置入侵检测系统(IDS)是网络安全的重要组成部分,它能够监控网络中的流量和行为,及时发现和报告任何可疑的活动。
下面是配置入侵检测系统的步骤:1. 选择合适的入侵检测系统:根据组织的需求和规模,选择适合的IDS产品。
常见的IDS产品有Snort、Suricata等,它们有着不同的特点和功能,需要根据实际情况进行选择。
2. 安装和配置IDS软件:将选定的IDS软件安装到服务器或网络设备上,并进行基本的配置。
配置包括设置入侵检测规则、网络接口、日志记录等。
3. 更新入侵检测规则:定期更新入侵检测规则,以确保IDS能够及时发现新的威胁。
可以通过订阅安全厂商提供的规则库,或自行编写和更新规则。
4. 设置报警机制:配置IDS的报警机制,包括报警方式和级别。
可以选择将报警信息通过短信、邮件等方式通知管理员,并设置不同级别的报警,以便及时采取相应的措施。
二、防御系统的配置除了入侵检测系统,建立有效的防御系统也是保护网络安全的关键。
防御系统(IPS)能够主动阻止入侵行为,提供额外的保护层。
下面是配置防御系统的步骤:1. 选择合适的防御系统:根据实际需求,选择合适的IPS产品。
IPS可以部署在网络边界、服务器上,或者以虚拟机的形式运行在云环境中。
2. 安装和配置IPS软件:将选定的IPS软件安装到相应设备上,进行必要的配置。
配置包括设置防御规则、网络接口、日志记录等。
3. 更新防御规则:定期更新IPS的防御规则,以应对新的威胁。
可以通过订阅安全厂商提供的规则库,或自行编写和更新规则。
4. 设置动作响应:IPS可以根据设定的规则对入侵行为进行不同的响应动作,如阻断源IP地址、断开连接等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 / 9 IIS虚拟主机网站防木马权限设置安全配置整理 参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢!
一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 中.国.站.长.站 2、IIS6.0的安装
以下为引用的内容: 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序 ———ASP.NET(可选) |——启用网络 COM+ 访问(必选) |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。 3、系统补丁的更新:点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统:用GHOST备份系统。 中.国.站长站 5、安装常用的软件:例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6、先关闭不需要的端口 开启防火墙 导入IPSEC策略 在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。 中国站.长站
修改3389远程连接端口 修改注册表 Www@Chinaz@com 开始--运行--regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP 2 / 9
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000) 注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口 修改完毕。重新启动服务器设置生效。 二、用户安全设置 1、禁用Guest账号 在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名 Www@Chinaz@com 大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户 中.国站长站 什么是陷阱用户?即创建一个名为"Administrator"的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户 任何时候都不要把共享文件的用户设置成"Everyone"组,包括打印共享,默认的属性就是"Everyone"组的,一定不要忘了改。
6、开启用户策略 使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选) 3 / 9
7、不让系统显示上次登录的用户名 默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表"HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName",把REG_SZ的键值改成1。
8、密码安全设置 a、使用安全密码 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如"welcome"等等。因此,要注意密码的复杂性,还要记住经常改密码。
b、设置屏幕保护密码 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。 c、开启密码策略 注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。
d、考虑使用智能卡来代替密码 对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp://ftp.exe/、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全控制权限 4 / 9
另将\System32\cmd.exe、format.com、ftp://ftp.exe/转移到其他目录或更名 Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。 站.长站
删除c:\inetpub目录 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 Www@Chinaz@com 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败审核过程跟踪 无审核 审核目录服务访问 失败
审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 Chinaz~com 通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除 站长.站 C、本地策略——>安全选项 Chinaz.com 交互式登陆:不显示上次的用户名 启用 网络访问:不允许SAM帐户和共享的匿名枚举 启用 中国站.长站 网络访问:不允许为网络身份验证储存凭证 启用 5 / 9
网络访问:可匿名访问的共享 全部删除 中.国.站长站 网络访问:可匿名访问的命 全部删除 Www_Chinaz_com 网络访问:可远程访问的注册表路径 全部删除 网络访问:可远程访问的注册表路径和子路径 全部删除 帐户:重命名来宾帐户 重命名一个帐户 帐户:重命名系统管理员帐户 重命名一个帐户 3、禁用不必要的服务 开始-运行-services.msc TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 中国.站长站
Server支持此计算机通过网络的文件、打印、和命名管道共享 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件,不需要可禁用 Distributed linktracking client:用于局域网更新连接信息,不需要可禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,不需要可禁用 Chinaz_com NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Www_Chinaz_com Remote Desktop Help Session Manager:禁止远程协助 Workstation 关闭的话远程NET命令列不出用户组