網(wǎng)站服務(wù)器維護(hù) 服務(wù)器維護(hù)安全策略方案

2014-07-02 10:13 作者：ly 瀏覽量：

　　服務(wù)器維護(hù)安全策略：一、windows系統(tǒng)帳號

　　1.將administrator改名,如改為別名，如：boco_ofm;或者取中文名(這樣可以為黑客攻擊增加一層障礙)

　　2.將guest改名為administrator作為陷阱帳戶，并且設(shè)置一個個高強(qiáng)度的密碼，或直接禁用;(有的黑客工具正是利用了guest 的弱點，可以將帳號從一般用戶提升到管理員組。)

　　3.除了管理員帳戶、以及服務(wù)必須要用到的用戶外，禁用或刪除其他一切用戶。

　　(1)網(wǎng)站帳號一般只用來做系統(tǒng)維護(hù)，多余的帳號一個也不要，因為多一個帳號就會多 一份被攻破的危險。

　　(2)除過Administrator外，有必要再增加一個屬于管理員組的帳號;(兩個管理員組的帳號，一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳 號;另方面，一旦黑客攻破一個帳號并更改口令，我們還有機(jī)會重新在短期內(nèi)取得控制權(quán)。)

　　(3)給所有用戶帳號一個復(fù)雜的口令(系統(tǒng)帳號出外)，長度最少在8位以上， 且必須同 時包含字母、數(shù)字、特殊字符。同時不要使用大家熟悉的單詞(如boco)、熟悉的鍵盤順 序(如qwert)、熟悉的數(shù)字(如2008)等。(口令是黑客攻擊的重點，口令一旦被突破也就無任何系統(tǒng)安全可言了,通過在網(wǎng)絡(luò)上查資料顯示，僅字母加數(shù)字的5位口令在幾分鐘內(nèi)就會被攻破)

　　二、密碼與用戶策略

　　1.開啟密碼策略

　　注意應(yīng)用密碼策略，啟用密碼復(fù)雜性要求，設(shè)置密碼長度最小值為8位 ，設(shè)置強(qiáng)制密碼歷史為5次，時間為31天。

　　2.開啟用戶策略

　　使用用戶策略，分別設(shè)置復(fù)位用戶鎖定計數(shù)器時間為30分鐘，用戶鎖定時間為30分鐘，用戶鎖定閾值為3次。

　　三、Windows防火墻

　　Windows 2000默認(rèn)不帶防火墻，需要我們自己安裝一個安全的軟件防火墻;

　　1.開啟前要先看看3389端口有沒有加到例外里去，因為我們的服務(wù)器都放在機(jī)房，維護(hù)人員一般都是在遠(yuǎn)程維護(hù)，沒有的話勾上“遠(yuǎn)程桌面”，然后再開啟。

　　2.在例外中加入80、1433、21端口，總之，要什么端口才添加什么端口，不要的端口一律不加。(也可以：windows防火墻“高級”本地連接“設(shè)置”服務(wù)，勾上所要服務(wù)，如：遠(yuǎn)程桌面、http、ftp、smtp)。

　　3.允許ping服務(wù)器：windows防火墻—高級—本地連接“設(shè)置”ICMP，勾上第一個：允許傳入響應(yīng)請求。

　　4.在防火墻策略中在添加一個允許遠(yuǎn)程桌面的的IP地址通過。

　　四、本地策略

　　1.本地策略——>安全選項

　　交互式登陸：不顯示上次的用戶名 啟用

　　網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉　 啟用

　　網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗證儲存憑證 啟用

　　網(wǎng)絡(luò)訪問：可匿名訪問的共享　全部刪除

　　網(wǎng)絡(luò)訪問：可匿名訪問的命名管道　全部刪除

　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑全部刪除

　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑全部刪除

　　網(wǎng)絡(luò)訪問：限制匿名訪問命名管道和共享

　　2.本地策略——>審核策略

　　審核策略更改　成功　失敗

　　審核登錄事件　成功　失敗

　　審核對象訪問　 　失敗

　　審核過程跟蹤　無審核

　　審核目錄服務(wù)訪問失敗

　　審核特權(quán)使用失敗

　　審核系統(tǒng)事件　成功　失敗

　　審核賬戶登錄事件　成功　失敗

　　審核賬戶管理　成功　失敗

　　3.本地策略——>用戶權(quán)限分配

　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。

　　從網(wǎng)絡(luò)訪問些計算機(jī)：只有系統(tǒng)管理員與指定帳號。

　　4.使用NTFS格式分區(qū)

　　把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)安全得多。

　　5.設(shè)置屏幕保護(hù)密碼

　　很簡單也很有必要，設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，讓他黑屏就可以了。所有系統(tǒng)用戶所使用的機(jī)器最好也加上屏幕保護(hù)密碼。

　　6.把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶”

　　“everyone” 在win2000與win3003中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設(shè)置成”everyone”組。包括打印共享，默認(rèn)的屬性就是”everyone”組的。

　　7.保障備份盤的安全

　　一旦系統(tǒng)資料被破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份放在安全的地方。千萬別把資料備份在同一臺服務(wù)器上，我們在3001房間已經(jīng)部署了備份服務(wù)器。

　　艾銻無限是國內(nèi)領(lǐng)先IT外包服務(wù)商，專業(yè)為企業(yè)提供IT運(yùn)維外包、兼職網(wǎng)管、網(wǎng)絡(luò)布線、電腦維護(hù)、網(wǎng)絡(luò)維護(hù)、辦公設(shè)備維護(hù)、服務(wù)器維護(hù)、數(shù)據(jù)備份恢復(fù)、門禁監(jiān)控、網(wǎng)站建設(shè)等多項IT外包服務(wù)。

　　服務(wù)熱線：400-650-7820 聯(lián)系電話：010-62684652 手機(jī)：15601064618 咨詢QQ：2488237107 地址：北京市中關(guān)村科技會展中心1號樓B座6-7M 用心服務(wù)每一天，為企業(yè)的發(fā)展提升更高的效率，創(chuàng)造更大的價值，更多的IT外包信息盡在艾銻無限 http://www.maosdadas.net