《2022年服务器基本安全配置 .pdf》由会员分享,可在线阅读,更多相关《2022年服务器基本安全配置 .pdf(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、服务器基本安全配置1.用户安全(1)运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字,并新建同名Administrator 普通用户,设置超长密码去除所有隶属用户组。(2)运行 gpedit.msc计算机配置安全设置账户策略密码策略启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。(3)运行 gpedit.msc计算机配置安全设置账户策略账户锁定策略启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 13 页 -(4)运行 gp
2、edit.msc计算机配置安全设置本地策略安全选项交互式登录:不显示上次的用户名;启动交互式登录:回话锁定时显示用户信息;不显示用户信息(5)运行 gpedit.msc计算机配置安全设置本地策略安全选项网络访问:可匿名访问的共享;清空网络访问:可匿名访问的命名管道;清空网络访问:可远程访问的注册表路径;清空网络访问:可远程访问的注册表路径和子路径;清空(6)运行 gpedit.msc计算机配置安全设置本地策略通过终端服务拒绝登陆加入一下用户(*代表计算机名)ASPNET Guest IUSR_*IWAM_*NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:名师资料
3、总结-精品资料欢迎下载-名师精心整理-第 2 页,共 13 页 -(7)运行 gpedit.msc计算机配置安全设置本地策略策略审核即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下:(8)名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 13 页 -2.共享安全(1)运行 Regedit删除系统默认的共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters增加一个键:名称:AutoShareServer;类型:REG_DWORD;值:0(2)运行 Regedit禁止 IPC
4、空连接Local_Machine/System/CurrentControlSet/Control/LSA 把 RestrictAnonymous 的键值改成”1”。(3)名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 13 页 -3.服务端口安全(1)运行 Regedit修改 3389 远程端口打开 HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal ServerWdsrdpwdTdstcp,将 PortNamber 的键值(默认是3389)修改成自定义端口:14720 打开 HKEY_LOCAL_MACHINES
5、YSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp,将 PortNumber 的键值(默认是3389)修改成自定义端口:14720(2)运行 services.msc禁用不需要的和危险的服务以下列出建议禁止的服务,具体情况根据需求分析执行:Alerter 发送管理警报和通知Automatic Updates Windows 自动更新服务Computer Browser 维护网络计算机更新(网上邻居列表)Distributed File System 局域网管理共享文件Distributed linktracking cl
6、ient 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call(RPC)Locator RpcNs*远程过程调用(RPC)名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 13 页 -Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Shell Hardware Detection
7、 为自动播放硬件事件提供通知。Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet 服务和 Microsoft Serch 用的PrintSpooler 打印服务telnet telnet 服务Workstation 泄漏系统用户名列表(注:如使用局域网请勿关闭)(3)运行 gpedit.msc IPSec安全加密端口,内部使用加密访问。原理:利用组策略中的“IP安全策略”功能中,安全服务器(需要安全)功能。将所有访问远程如13013 端口的请求筛选到该ip 安全策略中来,使得该请求需要通过双方的预共享密钥进
8、行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行连接。在此条件下,不影响其他服务的正常运行。操作步骤:1)打开 GPEDIT.MSC,在计算机策略中有“IP安全策略”,选择“安全服务器(需要安全)”项目属性,然后在IP 安全规则中选择“所有IP通信”打开编辑,在“编辑规则属性”中,双击“所有IP通信”,在 IP筛选器中,添加或编辑一个筛选器。2)退回到“编辑规则属性”中,在此再选择“身份验证方法”。删除“Kerberos 5”,点击添加,在“新身份验证方法”中,选择“使用此字符串(预共享密钥)”,然后填写服务器所填的
9、预共享密钥(服务器的预共享密钥为”123abc,.”)。然后确定。3)选择“安全服务器(需要安全)”右键指派即可。附截图:名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 13 页 -名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 13 页 -名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 13 页 -名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 13 页 -名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 13 页 -4.防火墙安全(1)启动系统自带防火墙添加例外程序端口,除服务器对外服务端口添加到例外。其余都删除或不勾选
10、。有必要时编辑例外设置访问地址限制。(高级设置参照要求设定)(2)选择性安装第三方防火墙,设定防火墙网络访问规则,除了必要对外开放的端口,其他都不要对外开放。特别是Telnet:23 端口,FTP:21,22端口,数据库端口,邮件端口:25,101 等重要的端口,如没有必要尽可能不要对外开放。(3)名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 13 页 -5.移动存储设备策略安全目的:一般移动感染病毒会在移动设备的根目录下带有autorun.inf 及病毒文件自动运行。主要是阻止防御移动存储设备的危险程序自动运行。(1)运行 gpedit.msc关闭自动播放计算机配置管理模版
11、系统:关闭自动播放已启动,所有驱动器用户配置管理模版系统:关闭自动播放已启动,所有驱动器(2)运行 gpedit.msc策略限制根目录运行文件计算机配置 windows 设置安全设置软件限制策略其他规则:右键新建路径规则,不允许所有盘符根目录下的这些后缀的文件运行。(*:*.bat、*:*.com、*:*.vb*、*:*.exe)(3)名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页,共 13 页 -6.其他安全(1)Ftp 站点目录安全,去除非必要用户的修改写入权限,定制对于权限,对于执行和修改权限配置妥当。(2)Http 站点目录权限,一般站点都需去除用户的写入权限,常用的网站一
12、般为读取权限。(3)数据库安全,如SQL数据库,设置Sa超长密码,正常情况下禁止使用sa 用户访问数据库。对应其他用户设置对应数据库的映射安全,无需所有数据库映射。(4)定期修改系统用户密码,及其他牵涉用户的相关密码。且密码要符合复杂性要求。(5)定期检查系统日志安全,以防有人尝试破解用户账户密码。如有批量多条用户登录失败,则需特别注意调查原因。(6)定期检查部署策略是否正常运行,以防有些策略由于人为或意外终止。(7)定期检查服务运行情况,确定禁止及启用的服务都正常。(8)定期备份系统重要数据及检查网站等数据库备份。7.特别提醒:以上相关重要操作之前,建议操作后人工记录下操作了具体什么内容,以备误操作导致异常的时候恢复使用。特别是涉及注册表操作及删除系统文件的时候要提前备份相关重要文件。名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页,共 13 页 -