服务器基本安全配置
- 格式:doc
- 大小:957.50 KB
- 文档页数:15
下载文档原格式
合集下载
服务器参数配置有哪些(一)2024
服务器参数配置有哪些(一)引言概述:服务器参数配置是指在部署和管理服务器时,需要设置和调整的各种参数,以使服务器能够以最佳的性能和稳定性运行。
本文将介绍服务器参数配置的相关内容,包括操作系统、网络、内存、存储和安全等方面的配置。
一、操作系统配置:1.选择合适的操作系统版本:根据服务器的用途、硬件要求和应用程序的兼容性选择合适的操作系统版本。
2.安装必要的软件和驱动程序:根据服务器的功能需求,安装相应的软件和驱动程序,如Web服务器、数据库、防火墙等。
3.优化内核参数:调整操作系统内核参数,以提高性能和安全性。
如调整TCP/IP参数、文件描述符限制等。
二、网络配置:1.设置网络接口:配置服务器的IP地址、子网掩码、网关等网络接口参数,确保服务器能够正确连接到网络。
2.优化网络服务:调优网络服务配置,如修改最大连接数、优化网络缓冲区大小等,以提升网络性能。
3.配置防火墙:设置防火墙规则,限制外部访问服务器的端口和服务,提高服务器的安全性。
三、内存配置:1.分配适当的内存大小:根据服务器的应用需求和负载情况,合理分配内存大小,确保系统能够顺利运行。
2.启用内存优化技术:使用内存优化技术,如内存缓存、页面交换等,提高系统的性能和响应速度。
3.调整内存分配策略:根据应用程序的内存使用情况,调整内存分配策略,以提高系统的运行效率。
四、存储配置:1.选择适当的存储设备:根据服务器的存储需求和性能要求,选择适当的存储设备,如硬盘、SSD等。
2.配置磁盘分区:对存储设备进行分区并选择合适的文件系统,以便更好地管理和使用存储空间。
3.设置磁盘缓存:配置磁盘缓存参数,提高磁盘读写性能,如启用读写缓存、调整缓存大小等。
五、安全配置:1.设置访问权限:限制对服务器的访问权限,如设置用户和组的权限、禁用不必要的服务等,提高服务器的安全性。
2.加强密码策略:设置复杂的密码策略,定期更改密码,避免使用弱密码,增强服务器的安全性。
服务器基本安全配置
服务器基本安全配置服务器基本安全配置一、服务器硬件安全⑴安装服务器在物理安全可控的机房内⑵检查服务器外壳是否完好,无损坏或被篡改的痕迹⑶设置服务器所在机房的合理门禁控制措施,如磁卡、指纹等⑷监控服务器机房出入口,并保证仅授权人员可以进入⑸安装UPS(不间断电源)以防止突发停电导致服务器数据丢失⑹安装温度和湿度监视器,保证服务器在正常的工作环境下运行二、操作系统安全配置⑴及时安装操作系统的安全补丁程序⑵禁用不必要的服务和端口⑶配置防火墙,限制对服务器的访问⑷设置强密码策略,包括密码长度和复杂性要求⑸定期更新密码并禁止将默认密码用于服务器⑹限制服务器上的用户权限,仅赋予必需的权限⑺禁止远程登录root账户⑻启用安全日志记录,并定期审查日志内容⑼安装杀毒软件,并及时更新库⑴0 定期备份服务器数据,并存储在安全的位置三、网络安全配置⑴配置安全的网络拓扑结构,使用防火墙和路由器进行划分⑵网络规划时,将服务器与公共网络隔离⑶禁用所有不必要的网络服务和协议⑷对外网访问服务器的服务进行限制,只开放必需的端口⑸使用VPN(虚拟专用网络)提供远程访问,确保传输的安全性⑹定期监测网络流量和连接状态,检测潜在的入侵行为四、应用安全配置⑴安装最新的应用程序补丁和更新⑵禁用或删除不必要的默认应用⑶配置应用程序的安全设置,包括访问控制和认证方式⑷定期审查应用程序日志,发现异常行为并及时处理⑸对用户的文件进行安全扫描⑹强制用户使用强密码,并定期更换密码⑺定期备份应用程序数据,并存储在安全的位置五、监控和响应⑴安装入侵检测系统(IDS)和入侵防御系统(IPS)⑵设置警报机制,并配置自动化响应系统⑶建立事件响应计划,包括处理各类安全事件的流程和责任人⑷对安全事件进行记录和归档,作为后续调查和分析的依据⑸定期进行安全演练与渗透测试,发现潜在的漏洞和问题本文档涉及附件:无本文所涉及的法律名词及注释:⒈物理安全:指对服务器硬件设备的保护,防止非法入侵和破坏。
服务器基本安全配置
服务器基本安全配置1.介绍本文档旨在提供服务器基本安全配置的详细说明,以确保服务器系统的安全性和防护措施的合规性。
以下是一系列有效的安全设置,以供参考。
请按照本指南中的步骤逐一进行配置,并根据实际情况进行修改。
2.基本系统安全配置2.1 硬件安全●确保服务器放置在安全的物理的位置,远离潜在的物理危险。
●使用最新的硬件设备,如防火墙、入侵检测系统以及物理访问控制设备。
●设置物理访问权限和安全层级。
2.2 操作系统安全●安装最新的操作系统补丁和更新,并定期更新。
●禁用不必要的服务和服务端口。
●配置操作系统访问控制,限制对关键系统文件和目录的访问权限。
●配置强密码策略,包括复杂度和定期更改密码等。
2.3 登录安全●禁止使用默认的管理员账号和密码。
●根据需要创建安全的用户账号,并配置合适的访问权限。
●启用登录尝试失败锁定以防止暴力。
●配置远程访问安全,如通过SSH使用密钥认证。
2.4 日志和监控●启用系统日志记录,并将其定期备份。
●设置合适的日志记录级别以及日志的存储位置。
●设置入侵检测系统和入侵防御系统,实时监控服务器活动。
●配置警报和通知机制,以便及时发现并响应安全事件。
3.网络安全配置3.1 防火墙配置●使用防火墙软件,限制对服务器的网络访问。
●配置过滤规则,只允许安全的网络通信。
●定期审查和更新防火墙规则,以适应不断变化的威胁。
3.2 网络服务安全●关闭不必要的网络服务和端口。
●启用网络服务的安全选项,如SSL或TLS加密。
●配置访问控制列表(ACL),限制对网络服务的访问。
3.3 网络通信安全●使用加密协议,如HTTPS或SFTP,保护敏感数据的传输。
●配置网络通信的身份验证和授权机制,限制非授权访问。
●定期检查网络通信安全性,确保安全协议的有效性。
4.附件本文档附带以下文件:●服务器基本安全配置表格:包含各项配置的详细指导和记录。
5.法律名词及注释以下是在本文档中涉及的法律名词及其注释:●GDPR:《通用数据保护条例》,是欧盟为增强个人数据保护而制定的一项法规。
服务器安全配置手册
服务器安全配置手册服务器安全配置手册1、引言服务器安全配置是保护服务器及其上的敏感数据不受未经授权的访问和攻击的重要措施。
本手册旨在提供一个综合的服务器安全配置指南,帮助管理员确保服务器的安全性。
2、服务器操作系统安全配置2.1 启用防火墙2.2 定期更新操作系统和补丁2.3 禁用不必要的服务和端口2.4 管理账户访问权限2.5 锁定敏感文件和目录的权限2.6 限制远程访问2.7 配置安全审计和日志记录2.8实施恶意软件检测和防止攻击的工具2.9定期备份数据3、网络安全配置3.1 使用强密码和账户锁定策略3.2 启用网络加密协议3.3 使用安全的远程访问协议3.4 使用虚拟专用网络(VPN)进行远程访问3.5 网络隔离和分段3.6 监控网络流量和入侵检测系统4、应用程序安全配置4.1 管理应用程序访问权限4.2 使用强密码和多因素身份验证4.3 配置安全的默认设置和权限4.4 定期更新和测试应用程序5、数据库安全配置5.1 定期备份数据库5.2 使用强密码和身份验证5.3 限制数据库访问权限5.4 定期更新数据库软件和补丁6、附件本文档附带以下附件供参考:- 服务器配置审计检查表- 网络安全检查表- 应用程序安全检查表- 数据库安全检查表7、法律名词及注释- 数据保护法:一种根据特定法律法规保护个人数据隐私的法律框架。
- 网络安全法:一种保护网络安全并维护网络秩序的法律法规。
- 信息安全管理系统(ISMS):一套规定、管理和保护组织信息资产的综合体系。
服务器基本安全配置
服务器基本安全配置1.介绍在互联网时代,服务器的安全性至关重要。
恶意攻击者可能会利用漏洞入侵您的服务器,并窃取敏感信息或者破坏系统稳定性。
为了保护您的数据和服务,进行适当的基本安全配置是必不可少的。
2.硬件与网络设置2.1使用防火墙:确保在服务器上启用并正确配置防火墙以过滤非法访问。
2.2更新硬件设备固件:及时更新路由器、交换机等硬件设备固件来修复已知漏洞。
2.3安装最新补丁程序:应该时常检查操作系统供应商发布是否有任何新版本或者补丁程序,并立即将其部署到服务器上。
3.操作系统级别设置3.1创建强密码策略:设置一个包含大小写字母、数字和特殊字符组合长度大于8位数以上作为用户登录密码规则;3.1.12关闭不需要使用端口:根据实际需求关闭未被使用到但开放状态下监听外界请求连接(如FTP,Telnet);4.软体层面加密传输通道:4.1配置SSL证书:对所有通过HTTP升级HTTPS方式访间的网站启用SSL证书;5.2禁止不安全协议:例如SSLV2、SSLv3和TLSLO等已知存在漏洞或者被攻破过的加密传输通道,应该禁用掉。
5.数据库设置5.1定期备份数据库:定期将服务器上重要数据进行备份,并存储在另一个位置以防灾难发生。
5.1.12使用强密码保护数据库:设置复杂且长于8位数以上作为用户登录密码规则;6.日志和监测配置6.1启动日志记录功能:确保所有关键事件都有相应的日志记录。
这些包括成功/失败的登录尝试、文件系统更改等。
6.2实时监测工具:使用实时监视工具来检查潜在入侵行为并即将采取适当措施。
7.附件:-防火墙配置示例文档(见附件A)-操作系统补丁程序更新指南(见附件B)法律名词及注释:-防火墙(Firewall):一种网络安全设备,可根据预先定义好策略对进出网络流量进行管理与审计。
-补丁程序(Patch):软件供货商发布修正错误或者增强性能的更新版本。
服务器配置清单(2024)
引言概述:在现代科技的发展中,服务器的作用越来越重要。
为了确保服务器的正常运行和高效性能,合理的服务器配置是至关重要的。
本文将为您详细介绍服务器配置清单,以帮助您明确服务器所需的各种硬件和软件要求。
正文内容:1.服务器硬件配置1.1处理器选择根据服务器的预期工作负载选择合适的处理器型号和核心数。
确保处理器具备高性能、低功耗和良好的散热能力。
1.2内存容量和速度根据服务器应用的需求和预算选择合适的内存容量。
优先考虑高速、低延迟的内存模块,以提升服务器的运行效率。
1.3存储设备选择适当的硬盘或固态存储设备,以满足服务器存储需求。
考虑使用RD阵列配置,以提高数据的可靠性和性能。
1.4网络接口根据网络需求选择合适的网卡,确保服务器能够支持所需的网络传输速率。
如果需要远程管理,考虑选择带有远程管理功能的网卡。
1.5电源供应确保选择具备足够功率和稳定性的电源供应器,以保证服务器的正常运行。
考虑使用双电源冗余配置,以提高服务器的可用性。
2.服务器操作系统2.1根据服务器应用选择合适的操作系统WindowsServer、Linux等操作系统都有各自的优势和适用场景。
考虑操作系统的稳定性、安全性和可扩展性。
2.2安全性和更新确保操作系统及其相关的安全补丁和更新被及时安装。
配置合适的防火墙和安全策略,以保护服务器免受网络攻击。
2.3远程管理和监控配置远程管理工具,以便能够远程操作和监控服务器。
使用监控工具实时监测服务器的状态和性能。
3.网络配置3.1IP地质规划设定合理的IP地质规划,确保网络中的所有服务器都能够正确通信。
考虑将服务器划分为不同的子网,以提高网络的安全性和性能。
3.2防火墙和安全策略配置企业级防火墙,以防止未经授权的访问和网络攻击。
设定适当的安全策略,限制对服务器的访问权限。
3.3网络设备考虑使用交换机、路由器和负载均衡器等网络设备,以提高网络的性能和可用性。
确保网络设备具备足够的带宽和稳定性,以满足服务器的需求。
服务器基本安全配置
服务器基本安全配置服务器基本安全配置一、服务器安全策略⑴定义服务器安全策略的目标和要求⑵建立服务器安全团队,并划定责任范围和角色⑶制定服务器访问控制策略,包括授权和身份验证⑷建立服务器监控和日志审计机制⑸订立灾难恢复和应急响应计划二、操作系统安全配置⑴安装最新的操作系统补丁和更新⑵禁用不必要的服务和开放端口⑶配置强密码策略,并定期更换密码⑷限制用户权限,仅授予最小必要权限⑸加密敏感数据和通信⑹启用防火墙,并配置合适的防火墙规则三、网络安全配置⑴配置安全的网络拓扑结构,包括分离公网和内网⑵加密网络通信,采用SSL/TLS协议⑶使用虚拟专用网络(VPN)进行远程访问⑷配置入侵检测和防御系统⑸监测网络流量和异常活动,及时发现和应对安全事件四、应用程序安全配置⑴更新和维护应用程序的最新版本⑵配置合适的访问控制,仅授权合法用户访问⑶设置安全的用户会话管理机制,包括会话过期和注销功能⑷进行应用程序安全测试,包括漏洞扫描和安全代码审查⑸对重要的应用程序数据进行备份和恢复策略五、数据库安全配置⑴定期进行数据库安全审计和评估⑵配置合适的数据库访问控制,授予最小必要权限⑶加密敏感数据和备份文件⑷设置数据库日志和审计跟踪机制⑸定期备份数据库,并进行灾难恢复测试六、物理安全配置⑴选择安全的机房和服务器机架⑵控制物理访问权限,限制不必要人员进入机房⑶监控服务器环境,包括温度、湿度和电力供应等⑷定期检查服务器硬件和设备,及时发现和处理问题七、员工安全培训⑴开展定期的安全培训,提高员工对服务器安全的意识⑵教育员工如何正确处理敏感信息和应对安全事件⑶建立安全意识奖励机制,激励员工积极参与安全工作附件:⒈服务器安全检查表⒉应急响应计划范本法律名词及注释:⒈服务器安全:指在服务器硬件、操作系统、网络和应用程序等方面采取安全措施,保护服务器免受未经授权的访问、数据泄露和破坏等威胁。
⒉身份验证:通过验证用户的身份信息,确认其是否合法访问服务器的过程。
服务器配置要求
服务器配置要求在现代社会中,服务器已经成为各个企业和机构必不可少的基本设备。
为了提供高性能和稳定可靠的服务,服务器的配置要求变得尤为重要。
本文将探讨如何根据需求来确定服务器的配置要求,以确保服务器能够满足业务需求。
一、硬件配置要求1. 处理器(CPU)服务器的处理器是其核心组件之一,对整体性能起着至关重要的作用。
对于通用型服务器,建议选择高性能的多核处理器,以满足多任务处理和并发请求的需求。
根据业务需求,可以选择主频较高的处理器来提供更快的计算能力。
2. 内存(RAM)内存是服务器存储和运行数据的地方。
根据实际需求,应确保服务器的内存容量足够大,以支持操作系统、应用程序和数据库等同时运行时的高效性能。
同时,应考虑到未来的扩展需求,留出适当的内存空间。
3. 存储设备服务器的存储设备主要包括硬盘和固态硬盘(SSD)。
对于大容量数据存储、高速处理和读写需求较高的场景,建议采用SSD来提升存储性能。
同时,备份和冗余存储系统是确保数据安全的关键,应考虑选择RAID或其他数据冗余技术。
4. 网络接口服务器的网络接口需要满足高速数据传输和大并发连接的要求。
根据实际需求,可以选择多个千兆以太网接口(Gigabit Ethernet)或更高速的接口,以提供更高的网络带宽和可靠的连接性能。
二、软件配置要求1. 操作系统选择适当的操作系统对服务器的性能和稳定性具有重要影响。
根据实际需求,可以选择Windows Server、Linux等操作系统。
对于需要高度定制和可扩展的应用场景,Linux是更好的选择。
2. 数据库管理系统如果服务器需要承载大规模的数据库应用,选择适当的数据库管理系统(DBMS)至关重要。
常见的数据库管理系统包括MySQL、Oracle、SQL Server等,根据具体需求进行选择。
3. Web服务器软件对于需要提供Web服务的服务器,选择合适的Web服务器软件是必要的。
常见的Web服务器软件包括Apache、Nginx、IIS等,根据实际需求选择适当的软件以提供高性能和可靠的Web服务。
服务器系统安全配置
服务器系统安全配置服务器是一个网络环境下承载重要数据和应用的计算设备。
保障服务器的系统安全是确保数据和服务不受到恶意攻击和未经授权的访问的重要一环。
本文将介绍一些常见的服务器系统安全配置措施,以帮助管理员加固服务器的安全性。
安全漏洞修复在服务器系统安全配置中,修复已知的安全漏洞是非常重要的。
管理员应定期检查和应用操作系统和软件的安全补丁,以修补已知漏洞。
此外,杜绝使用非官方或未经验证的软件包,以避免因软件漏洞导致的系统安全问题。
访问控制服务器系统应设置严格的访问控制措施。
只有经过授权的用户才能访问服务器。
管理员可以通过使用防火墙、访问控制列表(ACL)和安全组等工具来限制对服务器的访问。
为每个用户设置独立的账户和口令,并定期更换口令是有效的访问控制措施。
备份和恢复定期备份服务器的数据和配置文件,以便在数据丢失或服务器故障时快速恢复。
备份的数据应存储在安全的地方,并进行加密保护。
管理员还可以配置自动备份和恢复系统,以减少人为错误,并提高数据的可用性和完整性。
日志和监控服务器应启用详细的日志记录和监控功能。
管理员应定期检查服务器日志,以及时发现异常活动和潜在的安全威胁。
监控工具可以帮助管理员实时监视服务器的状态和性能,并提供基于行为分析的入侵检测和防御功能。
加密和认证服务器系统应使用合适的加密和认证机制来保护敏感数据和用户身份。
管理员可以使用SSL/TLS协议来加密服务器和客户端之间的通信。
为服务器和管理员账户启用双因素身份验证,可以有效防止未经授权的访问。
强化操作系统安全服务器的操作系统是系统安全的重中之重。
管理员应对操作系统进行正确的安全配置,包括关闭不必要的服务和端口,限制访问控制权限,使用强密码策略等。
另外,定期更新操作系统内核和驱动程序,以修复已知的安全漏洞和缺陷。
应用安全服务器上的应用程序也是安全的关键点。
管理员应确保所有的应用程序都是最新版本,并及时应用软件供应商发布的安全补丁。
此外,管理员还应控制和限制应用程序的权限,并使用强密码和访问控制措施来保护应用程序数据和配置文件。
服务器基本安全配置
服务器基本安全配置1.定期更新和升级操作系统和应用程序:确保服务器上运行的操作系统和应用程序及时更新和升级到最新版本,以修复已知的安全漏洞和弱点。
2.配置防火墙:设置防火墙以过滤入站和出站的网络流量。
只允许必要的端口和协议通过,禁止不必要的访问。
3.使用强密码和账号策略:设置强密码策略,要求用户使用包含大小写字母、数字和特殊字符的复杂密码,并定期更换密码。
此外,禁止使用默认用户名和密码。
4.限制登录尝试次数:配置登录尝试限制,例如限制登录失败次数,并在达到一定次数后暂时锁定账户,以防止暴力破解密码。
5.配置安全认证和授权:启用双因素认证,通过使用独立设备或手机应用程序提供额外的身份验证层。
为每个用户和服务设置独立的访问权限,避免使用高权限账户进行常规操作。
6.禁用不必要的服务和端口:关闭不必要的服务和端口,减少攻击面。
只开放必要的服务和端口,并限制从外部访问。
7.定期备份和数据恢复:定期备份重要的服务器数据,并将备份文件存储在安全的地方。
测试并验证数据恢复过程,确保备份文件的完整性和可用性。
8.监控和日志记录:配置系统监控和日志记录,监测服务器的活动和事件,及时发现异常行为和安全威胁。
9.安全固件和软件更新:确保服务器上安装的硬件和固件都是最新版本,并定期检查供应商的安全漏洞公告。
10.网络隔离和分段:将服务器进行网络隔离和分段,以减少局域网内的攻击面,防止攻击者从一个服务器访问到其他服务器。
11.加密通信和数据传输:使用加密协议和算法保护数据传输过程中的机密性和完整性。
配置并启用SSL/TLS协议,为网站和其他网络服务提供安全的通信。
12.安全审计和评估:定期进行安全审计和评估,检查系统的安全配置和漏洞,及时修复发现的问题和漏洞。
13.员工培训和意识教育:提供员工培训和意识教育,加强他们对服务器安全的认识和理解,推广信息安全最佳实践。
总之,服务器基本安全配置涉及多个方面,包括系统和应用程序的更新、访问控制和身份验证、防火墙和网络隔离、数据备份和恢复、加密通信等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络访问:可远程访问的注册表路径;——清空
网络访问:可远程访问的注册表路径和子路径;——清空
(6)运行gpedit.msc——计算机配置—安全设置—本地策略
通过终端服务拒绝登陆——加入一下用户(****代表计算机名)
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORKSERVICE
3)选择“安全服务器(需要安全)”右键指派即可。
附截图:
4.防火墙安全
(1)启动系统自带防火墙
添加例外程序端口,除服务器对外服务端口添加到例外。其余都删除或不勾选。有必要时编辑例外设置访问地址限制。(高级设置参照要求设定)
(2)选择性安装第三方防火墙,设定防火墙网络访问规则,除了必要对外开放的端口,其他都不要对外开放。特别是Telnet:23端口,端口,数据库端口,邮件端口:25,101等重要的端口,如没有必要尽可能不要对外开放。
Routing and RemoteAccess在局域网以及广域网环境中为企业提供路由服务
Shell HardwareDetection为自动播放硬件事件提供通知。
Messenger消息文件传输服务
NetLogon域控制器通道管理
NTLMSecuritysupportprovidetelnet服务和Microsoft Serch用的
(2)运行Regedit——禁止IPC空连接
[Local_Machine/System/CurrentControlSet/Control/LSA]
把RestrictAnonymous的键值改成”1”。
(3)
3.服务端口安全
(1)运行Regedit——修改3389远程端口
打开[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],将PortNamber的键值(默认是3389)修改成自定义端口:14720
服务器基本安全配置
———————————————————————————————— 作者:
———————————————————————————————— 日期:
ﻩ
服务器基本安全配置
1.用户安全
(1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名Administrator普通用户,设置超长密码去除所有隶属用户组。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项
交互式登录:不显示上次的用户名;——启动
交互式登录:回话锁定时显示用户信息;——不显示用户信息
(5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项
网络访问:可匿名访问的共享;——清空
网络访问:可匿名访问的命名管道;——清空
操作步骤:
1)打开GPEDIT.MSC,在计算机策略中有“IP安全策略”,选择“安全服务器(需要安全)”项目属性,然后在IP安全规则中选择“所有IP通信”打开编辑,在“编辑规则属性”中,双击“所有IP通信”,在IP筛选器中,添加或编辑一个筛选器。
2)退回到“编辑规则属性”中,在此再选择“身份验证方法”。删除“Kerberos5”,点击添加,在“新身份验证方法”中,选择“使用此字符串(预共享密钥)”,然后填写服务器所填的预共享密钥(服务器的预共享密钥为”123abc,.”)。然后确定。
SQLDebugger
注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核
即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下:
(8)
2.共享安全
(1)运行Regedit——删除系统默认的共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]增加一个键:名称: AutoShareServer;类型:REG_DWORD;值:0
(2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略
启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。
(3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略
启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
以下列出建议禁止的服务,具体情况根据需求分析执行:
Alerter发送管理警报和通知
Automatic UpdatesWindows自动更新服务
ComputerBrowser维护网络计算机更新(网上邻居列表)
Distributed局域网管理共享文件
Distributedlinktrackingclient用于局域网更新连接信息
PrintSpooler打印服务
telnettelnet服务
Workstation泄漏系统用户名列表(注:如使用局域网请勿关闭)
(3)运行gpedit.msc——IPSec安全加密端口,内部使用加密访问。
原理:利用组策略中的“IP安全策略”功能中,安全服务器(需要安全)功能。将所有访问远程如13013端口的请求筛选到该ip安全策略中来,使得该请求需要通过双方的预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行连接。在此条件下,不影响其他服务的正常运行。
Errorreportingservice发送错误报告
Remote ProcedureCall(RPC)LocatorRpcNs*远程过程调用(RPC)
Remote Registry远程修改注册表
Removablestorage管理可移动媒体、驱动程序和库
RemoteDesktop HelpSessionManager远程协助
打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp],将PortNumber的键值(默认是3389)修改成自定义端口:14720
(2)ቤተ መጻሕፍቲ ባይዱ行services.msc——禁用不需要的和危险的服务
网络访问:可远程访问的注册表路径和子路径;——清空
(6)运行gpedit.msc——计算机配置—安全设置—本地策略
通过终端服务拒绝登陆——加入一下用户(****代表计算机名)
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORKSERVICE
3)选择“安全服务器(需要安全)”右键指派即可。
附截图:
4.防火墙安全
(1)启动系统自带防火墙
添加例外程序端口,除服务器对外服务端口添加到例外。其余都删除或不勾选。有必要时编辑例外设置访问地址限制。(高级设置参照要求设定)
(2)选择性安装第三方防火墙,设定防火墙网络访问规则,除了必要对外开放的端口,其他都不要对外开放。特别是Telnet:23端口,端口,数据库端口,邮件端口:25,101等重要的端口,如没有必要尽可能不要对外开放。
Routing and RemoteAccess在局域网以及广域网环境中为企业提供路由服务
Shell HardwareDetection为自动播放硬件事件提供通知。
Messenger消息文件传输服务
NetLogon域控制器通道管理
NTLMSecuritysupportprovidetelnet服务和Microsoft Serch用的
(2)运行Regedit——禁止IPC空连接
[Local_Machine/System/CurrentControlSet/Control/LSA]
把RestrictAnonymous的键值改成”1”。
(3)
3.服务端口安全
(1)运行Regedit——修改3389远程端口
打开[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],将PortNamber的键值(默认是3389)修改成自定义端口:14720
服务器基本安全配置
———————————————————————————————— 作者:
———————————————————————————————— 日期:
ﻩ
服务器基本安全配置
1.用户安全
(1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名Administrator普通用户,设置超长密码去除所有隶属用户组。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项
交互式登录:不显示上次的用户名;——启动
交互式登录:回话锁定时显示用户信息;——不显示用户信息
(5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项
网络访问:可匿名访问的共享;——清空
网络访问:可匿名访问的命名管道;——清空
操作步骤:
1)打开GPEDIT.MSC,在计算机策略中有“IP安全策略”,选择“安全服务器(需要安全)”项目属性,然后在IP安全规则中选择“所有IP通信”打开编辑,在“编辑规则属性”中,双击“所有IP通信”,在IP筛选器中,添加或编辑一个筛选器。
2)退回到“编辑规则属性”中,在此再选择“身份验证方法”。删除“Kerberos5”,点击添加,在“新身份验证方法”中,选择“使用此字符串(预共享密钥)”,然后填写服务器所填的预共享密钥(服务器的预共享密钥为”123abc,.”)。然后确定。
SQLDebugger
注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核
即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下:
(8)
2.共享安全
(1)运行Regedit——删除系统默认的共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]增加一个键:名称: AutoShareServer;类型:REG_DWORD;值:0
(2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略
启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。
(3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略
启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
以下列出建议禁止的服务,具体情况根据需求分析执行:
Alerter发送管理警报和通知
Automatic UpdatesWindows自动更新服务
ComputerBrowser维护网络计算机更新(网上邻居列表)
Distributed局域网管理共享文件
Distributedlinktrackingclient用于局域网更新连接信息
PrintSpooler打印服务
telnettelnet服务
Workstation泄漏系统用户名列表(注:如使用局域网请勿关闭)
(3)运行gpedit.msc——IPSec安全加密端口,内部使用加密访问。
原理:利用组策略中的“IP安全策略”功能中,安全服务器(需要安全)功能。将所有访问远程如13013端口的请求筛选到该ip安全策略中来,使得该请求需要通过双方的预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行连接。在此条件下,不影响其他服务的正常运行。
Errorreportingservice发送错误报告
Remote ProcedureCall(RPC)LocatorRpcNs*远程过程调用(RPC)
Remote Registry远程修改注册表
Removablestorage管理可移动媒体、驱动程序和库
RemoteDesktop HelpSessionManager远程协助
打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp],将PortNumber的键值(默认是3389)修改成自定义端口:14720
(2)ቤተ መጻሕፍቲ ባይዱ行services.msc——禁用不需要的和危险的服务