远程控制安全设置技巧,服务器安全设置总结

NTFS系统权限设置 在运用在此以前将各样硬盘根加上 Administrators
用户为一体权力(可选参与SYSTEM用户)
去除别的用户,步向系统盘:权限如下
C:\WINDOWS Administrators SYSTEM用户全数权力 Users
用户暗中认可权限不作修改
任何目录删除伊夫ryone用户,切记C:\远程控制安全设置技巧,服务器安全设置总结。Documents and Settings下All
Users\Default User目录及其子目录
如C:\Documents and Settings\All Users\Application Data
目录私下认可配置保留了伊芙ryone用户权限
C:\WINDOWS 目录上边包车型客车权限也得留意,如
C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.
删除C:\WINDOWS\Web\printers目录,此目录的存在会导致IIS里走入二个.printers的强大名,可溢出攻击
默许IIS错误页面已几近没几人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为处理IIS密码之用,如部分因密码不一同产生500
谬误的时候使用 OWA 或 Iisadmpwd
修改同步密码,但在这里能够删掉,下边讲到的设置将会杜绝因系统
安装变成的密码不一齐难题。
打开C:\Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限,删除全数的用户只保存Administrators 和SYSTEM为全数权力
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 “DWOENVISIOND值”值名字为 “SMBDeviceEnabled” 数据为暗许值“0”
不准创建空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 “DWO凯雷德D值”值名字为 “RestrictAnonymous” 数据值为“1” [2003默认为1]
不准系统活动运营服务器分享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWOTiggoD值”值名字为 “AutoShareServer” 数据值为“0”
明确命令禁止系统活动运维管制分享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWOEnclaveD值”值名称叫 “AutoShareWks” 数据值为“0”
透过退换注册表防止小圈圈DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 “DWOENVISIOND值”值名称叫 “SynAttackProtect” 数据值为“1”
禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的搜求难题的质感。不过,它也能够给黑客提供部分灵动
音信比方部分应用程序的密码等。调控面板>系统质量>高端>运维和故障复苏把
写入调节和测量试验消息 改成无。
关闭华先生Dr.Watson
在初叶-运维中输入“drwtsn32”,只怕起先-程序-附属类小部件-系统工具-系统消息-工具-Dr
Watson,调出系统
里的华医务人士Dr.Watson
,只保留“转储全体线程上下文”选项,不然一旦程序出错,硬盘会读相当久,并占
用豁达上空。假若原先有此情况,请查找user.dmp文件,删除后可节约几十MB空间。
地面安全战略配置
发端 > 程序 > 管理工科具 > 本地安全战略
账户计策 > 密码战术 > 密码最短使用年限
改成0天[即密码不过期,上边笔者讲到不会促成IIS密码分歧台]
账户计策 > 账户锁定战术 > 账户锁定阈值 5 次 账户锁定时期 10分钟
[私家推举配置]
本土战术 > 考察攻略 >
账户管理 成功 战败
签到事件 成功 败北
对象访谈 失利
计谋改造 成功 失利
特权采用 失利
系统事件 成功 失利
目录服务拜谒 退步
账户登陆事件 成功 失败
本地战略 > 安全选项 > 清除设想内部存款和储蓄器页面文件 退换为”已启用”
> 不显得上次的用户名 更动为”已启用”
> 无需按CT帕杰罗L+ALT+DEL 改造为”已启用”
> 不容许 SAM 账户的无名氏枚举 改换为”已启用”
> 差异意 SAM 账户和分享的无名枚举 更换为”已启用”
> 重命名克拉玛依账户 更动成一个头昏眼花的账户名
> 重命名系统一管理理员账号 更动八个要好用的账号
[与此同期可确立三个无用户组的Administrat账户]
组战术编辑器
运行 gpedit.msc Computer配置 > 管理模板 > 系统
突显“关闭事件追踪程序” 改造为已禁止使用
剔除不安全组件
WScript.Shell 、Shell.application
那三个零部件一般有的ASP木马或一些恶意程序都会使用到。
方案一:
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
万一依照地方讲到的安装,可不必删除那七个文件
方案二:
剔除注册表
HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应
WScript.Shell
除去注册表
HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应
Shell.application
用户管理
确立另二个备用管理员账号,防止出格情况发生。
设置有终点服务与SQL服务的服务器停用TsInternetUser,
SQLDebugger那四个账号
用户组表明
在将来要动用到的IIS中,IIS用户一般选择Guests组,也能够再重新树立三个独立的专供IIS使用的组,但
要将以此组赋予C:\Windows 目录为读取权限[单一读取]
个人不提议采用单独目录,太吝啬。

日前讲的都是屁话,润润笔而已。(笔者也雅士一次)
话锋一转就到了系统权限设置与安全配置的实操阶段
系统安装网上有一句话是“最小的权位+最少的服务=最大的平安”。此句基本上是私人商品房都看过,但自身好像
没有看到过一篇讲的相比较详细稍具全面包车型客车篇章,上边就以笔者个人经验作一次教学尝试!
小小的权能如何达成?
NTFS系统权限设置 在应用在此之前将各类硬盘根加上 Administrators
用户为全体权力(可选参预SYSTEM用户)
剔除别的用户,步入系统盘:权限如下
C:\WINDOWS Administrators SYSTEM用户全体权力 Users
用户默许权限不作修改
其他目录删除Everyone用户,切记C:\Documents and Settings下All
Users\Default User目录及其子目录
如C:\Documents and Settings\All Users\Application Data
目录私下认可配置保留了伊夫ryone用户权限
C:\WINDOWS 目录下边包车型大巴权限也得小心,如
C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.
删除C:\WINDOWS\Web\printers目录,此目录的存在会导致IIS里走入八个.printers的扩展名,可溢出攻击
暗许IIS错误页面已几近没几人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为治本IIS密码之用,如局地因密码不一同形成500
谬误的时候利用 OWA 或 Iisadmpwd
修改同步密码,但在此地能够删掉,下边讲到的设置将会堵塞因系统
设置形成的密码不一同难题。
打开C:\Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限,删除全部的用户只保存Administrators 和SYSTEM为全体权力
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 “DWO福特ExplorerD值”值名称叫 “SMBDeviceEnabled” 数据为暗中同意值“0”
禁止建设构造空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 “DWO中华VD值”值名叫 “RestrictAnonymous” 数据值为“1” [2003默认为1]
禁止系统自动运维服务器分享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWOPAJEROD值”值名字为 “AutoShareServer” 数据值为“0”
禁止系统活动运维管制分享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWOWranglerD值”值名叫 “AutoShareWks” 数据值为“0”
经过改动注册表幸免小范围DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 “DWOCRUISERD值”值名称叫 “SynAttackProtect” 数据值为“1”
禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的检索难题的素材。然而,它也能够给红客提供部分机智
新闻譬如有的应用程序的密码等。调节面板>系统质量>高等>运转和故障恢复生机把
写入调节和测量检验音信 改成无。
关闭华先生Dr.Watson
在开端-运行中输入“drwtsn32”,只怕开头-程序-附属类小部件-系统工具-系统音信-工具-Dr
Watson,调出系统
里的华医师Dr.Watson
,只保留“转储全体线程上下文”选项,否则一经程序出错,硬盘会读相当久,并占
用多量空中。假诺原先有此情形,请查找user.dmp文件,删除后可节省几十MB空间。
本地安全战略配置 开班 > 程序 > 管理工科具 > 本地安全计策
账户战术 > 密码战略 > 密码最短使用定时改成0天[即密码不超时,上边笔者讲到不会导致IIS密码不联合]
账户计策 > 账户锁定计谋 > 账户锁定阈值 5 次 账户锁定时期 10分钟
[个人推举配置]
本地战术 > 考察计策 >
账户管理 成功 失败
报到事件 成功 战败
对象访谈 战败
宗旨更换 成功 退步
特权选用 失利
系统事件 成功 战败
目录服务拜访 失利
账户登入事件 成功 失败
当地战术 > 安全选项 > 清除设想内部存款和储蓄器页面文件 改变为”已启用”
> 不展现上次的用户名 更动为”已启用”
> 无需按CTENCOREL+ALT+DEL 更换为”已启用”
> 不容许 SAM 账户的佚名枚举 改换为”已启用”
> 分裂意 SAM 账户和分享的无名氏枚举 更换为”已启用”
> 重命名定西账户 改动成三个错落有致的账户名
> 重命名系统管理员账号 更动二个温馨用的账号
[何况可确立三个无用户组的Administrat账户]
组计谋编辑器
运行 gpedit.msc Computer配置 > 管理模板 > 系统
呈现“关闭事件追踪程序” 改动为已禁用
删除不安全组件
WScript.Shell 、Shell.application
这七个零部件一般有的ASP木马或一些恶意程序都会选择到。
方案一: regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
要是按照地点讲到的设置,可不必删除这三个文件
方案二:
删除注册表
HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应
WScript.Shell
去除注册表
HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应
Shell.application
用户管理
创立另三个备用助理馆员账号,幸免出格境况产生。
设置有终点服务与SQL服务的服务器停用TsInternetUser,
SQLDebugger那三个账号
用户组表明
在以往要动用到的IIS中,IIS用户一般选择Guests组,也能够再重新创立三个单独的专供IIS使用的组,但
要将这些组赋予C:\Windows 目录为读取权限[单纯读取]
个人不提议选择单独目录,太抠门。

为了保证服务器远程调控操作的安全性,Windows Server
二零一零种类极其在那上面开始展览了深化,新生产了成都百货上千安全防范功用,可是有些效果与利益在私下认可状态下并不曾启用,这须要大家机关动手,对该系统开始展览适宜设置,工夫保险远程序调控制Windows
Server 二零零六服务器系统的安全性。

未来抢先一半服务器照旧选用Win二零零零操作系统,对于草根站长以来,服务器的平安是最根本的!文书档案中总结了Win二〇〇〇中不能缺少的安全设置!

最少的劳动一旦完结
棕褐为全自动 枣红为手动 浅淡紫灰为禁止使用
Alerter
Application Experience Lookup Service
Application Layer Gateway Service
Application Management
Automatic Updates [Windows自动更新,可挑选]
Background Intelligent Transfer Service
ClipBook
COM+ Event System
COM+ System Application
Computer Browser
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed File System
Distributed Link Tracking Client
Distributed Link Tracking Server
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log
File Replication
Help and Support
HTTP SSL
Human Interface Device Access
IIS Admin Service
IMAPI CD-Burning COM Service
Indexing Service
Intersite Messaging
IPSEC Services [只要运用了IP安全战术则自动,如无则禁止使用,可选操作]
Kerberos Key Distribution Center
License Logging
Logical Disk Manager [可选,多硬盘建议活动]
Logical Disk Manager Administrative Service
Messenger
Microsoft Search
Microsoft Software Shadow Copy Provider
MSSQLSERVER
MSSQLServerADHelper
Net Logon
NetMeeting Remote Desktop Sharing
Network Connections
Network DDE
Network DDE DSDM
Network Location Awareness (NLA)
Network Provisioning Service
NT LM Security Support Provider
Performance Logs and Alerts
Plug and Play
Portable Media Serial Number Service
[微软反盗版工具,近期只针对多媒体类]
Print Spooler
Protected Storage
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Desktop Help Session Manager
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry
Removable Storage
Resultant Set of Policy Provider
Routing and Remote Access
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card
Special Administration Console Helper
SQLSERVERAGENT
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper
Telephony
Telnet
Terminal Services
Terminal Services Session Directory
Themes
Uninterruptible Power Supply
Upload Manager
Virtual Disk Service
Volume Shadow Copy
WebClient
Windows Audio [服务器没须求运用音响]
Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA)
Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Windows User Mode Driver Framework
WinHTTP Web Proxy Auto-Discovery Service
Wireless Configuration
WMI Performance Adapter
Workstation
World Wide Web Publishing Service

最少的劳务一旦完毕

  1、只允许钦赐人士打开长距离调节

 

以上操作完结之后是还是不是就“最小的权限+最少的服务=最大的达州”呢?其实不然,任何事物都以相持的依自身个人而见,以上设置也只是最宗旨的片段东西而已,如有遗漏,稍后补上!

浅铁灰为自发性 灰白为手动 新民主主义革命为禁止使用

  假设允许其余一个人口普查通用户随便对Windows Server
二零一零服务器系统开始展览长途调整时,那该服务器系统的安全性自然很难取得管用保险。有鉴于此,大家得以对Windows
Server
二〇一〇服务器系统实行适宜设置,只允许钦命职员因而远程桌面连接格局对其进展长距离调整,上边就是现实的安装步骤:

 因为图片多数,所以内容就不贴出来了。我们能够在线预览或下载:

Alerter

  首先张开Windows Server
贰零零玖服务器系统桌面包车型大巴“开端”菜单,从中依次张开“程序”、“管理工科具”、“服务器管理器”选项,在其后出现的应和系统服务器管理器调控台窗口中,点选侧面子窗格中的“服务器管理”节点选项,之后选中目的节点分支上边包车型客车“服务器摘要”设置项,再单击“配置远程桌面”项目,步入远程序调节制Windows
Server 2010种类的装置对话框;

 

Application Experience Lookup Service

  其次在该装置对话框的“远程桌面”处单击“采取用户”开关,展开如图1所示的装置分界面,从中大家会看到能够对Windows
Server
二〇〇八服务器系统实行长距离调整的具备用户账号,一旦看到有素不相识的用户账号或不相信用户账号存在时,我们得以将它选中并单击“删除”按钮,将它从系统中删除掉;接着单击对应设置分界面中的“加多”按键,张开用户账号设置对话框,从上将钦赐的组织者用户账号选中并加多进去,再单击“分明”开关截止用户账号设置操作,如此一来Windows
Server
2009服务器系统之后只同意钦定的系统管理员对其打开远程处理操作,而不允许其余任何用户对其举行长途调节操作。

 

Application Layer Gateway Service

  2、拒绝Administrator实行抨击测验
  与价值观服务器操作系统一样,Windows Server
二零一零服务器系统在暗许状态下依旧会使用Administrator账号来产生系统登入操作,正因如此Administrator账号极度轻易被部分地下攻击者利用,他们盘算通过破解Administrator账号的密码来报到服务器,并尝试对其进展抨击测量试验。为了拒绝不合法攻击者使用Administrator账号进行攻击测量试验,大家得以依据如下步骤设置Windows
Server 二〇一〇服务器系统:

Application Management

  首先在Windows Server
2010服务器系统桌面中各样单击“开首”/“运转”命令,在弹出的系统运维文本框中,输入“Secpol.msc”字符串命令,单击回车键后,张开对应系统的地头安全组计策调节台窗口;

Automatic Updates [Windows自动更新,可采纳]

  其次在本土安全组战略调控台窗口的右边体现区域,将鼠标定位于个中的“安全设置”节点选项,在对象节点分支上面选中“当地战略”/“安全选项”,在相应“安全选项”分支下边找到对象安全组计策“帐户:重命名系统管理员帐户”,并用鼠标右键单击该组战术选项,从其后出现的飞跃菜单中实施“属性”命令,展开“帐户:重命名系统管理员帐户”组战术属性设置对话框;单击该对话框中的“本地安全设置”标签,展开如图2所示的标签设置页面,在该页面中我们得以将Administrator账号的名目修改为其余人不轻易猜中的名号,比方能够将其修改为“guanliyuan”,最终单击“分明”按键保存好上述设置操作,那样一来违规攻击者图谋通过Administrator账号对Windows
Server
二零零六服务器系统开始展览抨击测验时,就无法获得成功,那么服务器系统的平安性能就足以获取平价确认保证了。

Background Intelligent Transfer Service

**  3、修改telnet端口敬服远程连接安全

ClipBook

**  telnet命令是Windows Server
二零零六服务器系统中缺省的远程登陆程序,因为该程序是一贯集成在服务器系统中同不平时间动用起来相比较平价,所以网络管理员在治本服务器时平常选取到该程序。但是,在运用telnet命令对服务器系统进行远程序调节制操作时,调节音信往往是以公开药方式在网络上传输的,一些恶意攻击者很轻易就能够将周围账号名称和密码那样的调节音讯截获走,同有时候telnet程序的身份验证格局也设有鲜明的缺点,那正是它特别轻便碰到别的人的攻击。考虑到telnet命令对Windows
Server
二零零六服务器系统开始展览长途调控时,一般会自行使用“23”那一个暗许的互联网端口,况且该端口大约被全体人都熟练,为了掩护telnet远程连接的安全性,大家假使根据下边包车型大巴主意修改该程序私下认可的互连网端口号码,以阻挡其余人随便使用telnet命令对服务器系统开始展览长途调节操作:

COM+ Event System

  首先在Windows Server
二零零六服务器系统桌面中各类单击“伊始”/“运营”命令,在弹出的体系运营文本框中,输入“cmd”字符串命令,单击回车键后,展开对应系统的DOS命令行工作窗口;

COM+ System Application

  其次在DOS窗口的命令行提醒符下,输入字符串命令“tlntadmn config
port=2991”(其中“2991”是修改后的新端口号码),为了幸免新安装的互联网端口号码与系统已有端口号码存在争论,大家不可能不保险这里输入的新端口号码不可能设置成已知系统服务的端口号码;在认同上边的字符串命令输入正确后,单击回车键,telnet命令使用的端口号码就能够自行产生“2991”了,此时网络管理员必须精晓新端口号码,本领选拔该程序对Windows
Server 2009服务器系统开始展览长途调控操作。

Computer Browser

  当然,大家不到服务器现场,也能中远距离修改Windows Server
二〇〇九服务器系统的telnet程序端口号码,大家如若在该地客户端系统展开DOS命令行专门的学问窗口,在该窗口的命令行提醒符下输入字符串命令“tlntadmn
config \\server port=2991 -u xxx -p yyy
”(Server表示远程服务器系统的主机名称或IP地址,port=2991要修改为的中距离登陆端口号码,xxx为报到服务器系统的用户名,yyy是对应用户账号的密码,单击回车键后,远程服务器系统的telnet端口号码就成为“2991”了。

Cryptographic Services

  4、强行使用复杂密码阻止暴力破解
  假设Windows Server
二零一零服务器系统的远程登陆密码设置得远远不足复杂时,那么不合法远程序调控制用户就有相当的大希望通过武力方法将该登入密码成功破解掉。而实在,相当的多网络管理员为了便利记念,平常会将服务器系统的远程登陆密码设置得相比较轻便,这无形之中给不合规攻击者提供了暴力破解的时机,远程序调控制操作的安全性也会遭到严重恫吓。为此,我们可一旦对Windows
Server
二〇〇九服务器系统实行如下设置操作,来启用系统自带的密码攻略,强制用户必须对长途调节账号设置比较复杂的密码:

DCOM Server Process Launcher

率先在Windows Server
二〇〇八服务器系统桌面中种种单击“早先”/“程序”/“管理工科具”命令,在其后边世的系统管理工科具列表窗口中,用鼠标双击在那之中的“本地安全攻略”Logo,展开对应系统的本土安全设置对话框;

DHCP Client

  其次在该装置对话框的侧面体现区域,用鼠标选中内部的“账户计策”分支选项,然后再将对象分支选项下边包车型地铁“密码攻略”子项选中,在对应“密码计谋”子项的侧边呈现区域,大家拜望到多个有关密码的装置政策选项,用鼠标双击在这之中的“密码必须符合复杂性须求”组战略选项,展开如图3所示的对象组计策属性设置窗口;

Distributed File System

  检查当中的“已启用”选项是或不是处在选中状态,假使发掘该选项还从未被入选时,我们应该马上将它再度当选,再单击“明显”开关保存好上述设置操作,如此一来Windows
Server
2009服务器系统的中距离登陆密码设置得相当不足复杂时,系统就能够活动掸出相关提醒;

Distributed Link Tracking Client

  接下去,大家再对“强制密码历史”、“密码长度最小值”、“用可还原的加密来囤积密码”、“密码最长使用定期”、“密码最短使用时间限制”等政策举行按需修改,最终单击“分明”开关完结具备安装操作,如此一来远程登陆密码就能够被强行设置得复杂了。

Distributed Link Tracking Server

你或然感兴趣的作品:

  • windows server 二零零六服务器安全设置初级配置
  • Win二零零六 安德拉2 WEB
    服务器安全设置指南之禁止使用不须求的劳动和关闭端口
  • Win二〇〇八 奥迪Q52 WEB
    服务器安全设置指南之文件夹权限设置技术
  • win贰零零玖 Murano2 WEB
    服务器安全设置指南之组战术与用户安装
  • Win2009 景逸SUV2 WEB
    服务器安全设置指南之修改3389端口与创新补丁
  • Windows Server 二〇〇八LX5702常规安然无事设置及基本安全战略
  • win二零零六 r2
    服务器安全设置之安全狗设置图像和文字化教育程

Distributed Transaction Coordinator

DNS Client

Error Reporting Service

Event Log

File Replication

相关文章