建站
咨詢
售后
建站咨詢
新聞中心
如何保障windows服務(wù)器的安全
九個(gè)步驟確保Windows Server企業(yè)安全
為吳橋等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù),及吳橋網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、吳橋網(wǎng)站設(shè)計(jì),以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求,就會得到認(rèn)可,從而選擇與我們長期合作。這樣,我們也可以走得更遠(yuǎn)!
雖然無法徹底防止企業(yè)遭受攻擊,但這里的九個(gè)步驟可以大大降低Windows Server企業(yè)安全風(fēng)險(xiǎn)。部署這些技巧后,進(jìn)一步觀察你的管理環(huán)境,根據(jù)你的安全態(tài)宴形勢適當(dāng)引入第三方工具衡遲或技巧。
PKI改進(jìn)有助于Windows服務(wù)器的安全
公鑰基礎(chǔ)設(shè)施促進(jìn)安全行業(yè)各個(gè)部門致力于維護(hù)和改善與PKI技術(shù)相關(guān)的方方面面。從根證書頒發(fā)機(jī)構(gòu)到X.509認(rèn)證,都證明了其在保護(hù)服務(wù)器基礎(chǔ)設(shè)施及數(shù)據(jù)方面的成功。每發(fā)布一個(gè)新的Windows Server版本,人們都希望看到服務(wù)帆攔銀器公鑰基礎(chǔ)設(shè)施的變化和改進(jìn)。
Windows Server 2012中的安全變化
安全一直是IT部門關(guān)注的重點(diǎn),微軟也通過不斷聆聽客戶的聲音將一些好的創(chuàng)新應(yīng)用到Windows Server的最新版本中,而且使它們部署起來更加方便。所有這些現(xiàn)象背后是微軟對一些關(guān)鍵技術(shù)的改進(jìn),如NTFS的改進(jìn)以及對舊版本BIOS的替換以提供新的安全功能。
增強(qiáng)你的信息安全知識
作為一名技術(shù)人員,每天都圍繞著信息安全是件痛苦的事情,更不用說突然出現(xiàn)的各種更新和挑戰(zhàn)。信息安全項(xiàng)目是Windows Server安裝的重要安全組成部分,所以管理員應(yīng)該學(xué)習(xí)和調(diào)整自身的信息安全技能。
組建一個(gè)功能性的企業(yè)IT安全委員會
成立一個(gè)安全委員會,包括IT以外的人,由此幫助每個(gè)人對安全相同的認(rèn)識。從人力資源、行政管理或法律等多方面或得提高安全性的信息。
Windows服務(wù)器如何做好安全防護(hù)?
系統(tǒng)安全:
1.設(shè)置較為復(fù)雜的主機(jī)密碼,建議8位數(shù)以上,大小寫混合帶數(shù)字、特殊字符,不要使用123456、password等弱口令。
2.開啟系統(tǒng)自動更新功能,定期給系統(tǒng)打補(bǔ)丁。
3.windows主機(jī)安裝安全狗、360主機(jī)衛(wèi)士等防入侵的產(chǎn)品。
4.做好網(wǎng)站的注入漏洞檢查,做好網(wǎng)站目錄訪問權(quán)限控制。(建議將網(wǎng)站設(shè)置為只讀狀態(tài),對需要上傳附件等目錄單獨(dú)開通寫權(quán)限功能,對上傳文件目錄設(shè)置為禁止腳本執(zhí)行權(quán)限)
5.如果用于網(wǎng)站服務(wù),建議安裝我們預(yù)裝“網(wǎng)站管理助手”的操作系統(tǒng)模板,該系統(tǒng)我們做過安全加固,比純凈版要更安全。新建網(wǎng)站強(qiáng)烈建議用網(wǎng)站管理助手創(chuàng)建,本系統(tǒng)創(chuàng)建的網(wǎng)站會相互隔離,避免一個(gè)網(wǎng)站被入侵就導(dǎo)致其他網(wǎng)站也受影響。
6.關(guān)閉不侍信需要的服務(wù),如server,worksation等服務(wù)一般用不上,建議禁用。
7.啟用TCP/IP篩選功能,關(guān)閉危險(xiǎn)端口,防止遠(yuǎn)程掃描、蠕蟲和溢出攻擊。 比如mssql數(shù)據(jù)庫的1433端口,一般用不上遠(yuǎn)程連接的話,建議封掉,只允許本機(jī)坦神連接。
8.如果自己安裝數(shù)據(jù)庫,建議修改為普通用戶運(yùn)行,默認(rèn)是system權(quán)限運(yùn)行的,非常不安全。查看幫助
9.如果是自主安裝純凈版的系統(tǒng),建議修改掉3389、22等默認(rèn)端讓談虧口,用其他非標(biāo)準(zhǔn)端口可以減少被黑的幾率。
Windows 的服務(wù)器安全加固方案
因?yàn)镮IS(即Internet Information Server)的方便性和易用性,使它成為最受歡迎的Web服務(wù)器軟件之一。但是,IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個(gè)安全的Web服務(wù)器,是很多人關(guān)心的話題。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器,必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全,因?yàn)镮IS的用戶同時(shí)也是Windows 2003的用戶,并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制,所以保護(hù)IIS安全的`第一步就是確保Windows 2000操作系統(tǒng)的安全,所以要對服務(wù)器進(jìn)行安全加固,以免遭到黑客的攻擊,造成嚴(yán)重的后果。
我們通過以下幾個(gè)方面對您的系統(tǒng)進(jìn)行安全加固:
1. 系統(tǒng)的安全加固:我們通過配置目錄權(quán)限,系統(tǒng)安全策略,協(xié)議棧加強(qiáng),系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng),整體提高服務(wù)器的安全性。
2. IIS手工加固:手工加固iis可以有效的提高iweb站點(diǎn)的安全性,合理分配用戶權(quán)限,配置相應(yīng)的安全策略,有效的防止iis用戶溢出提權(quán)。
3. 系統(tǒng)應(yīng)用程序加固,提供應(yīng)用程序的安全性,例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。
系統(tǒng)的安全加固:
1.目錄權(quán)限的配置:
1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán),之后再對其下的子目錄作單獨(dú)的目錄權(quán)限,如果WEB站點(diǎn)目錄,你要為其目錄權(quán)限分配一個(gè)與之對應(yīng)的匿名訪問帳號并賦予它有修改權(quán)限,如果想使網(wǎng)站更加堅(jiān)固,可以分配只讀權(quán)限并對特殊的目錄作可寫權(quán)限。
1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限,之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。
1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限,所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán),其下的子目錄同樣。另外還有一個(gè)隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以輕松的調(diào)取這個(gè)配置文件。
1.4 配置Program files目錄,為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。
1.5 配置Windows目錄,其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的,不過還是應(yīng)該進(jìn)入SYSTEM32目錄下,將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。
1.6審核MetBase.bin,C:WINNTsystem32inetsrv目錄只有administrator只帆旅謹(jǐn)允許Administrator用戶讀寫。
2.組策略配置:
在用戶權(quán)利指派下,從通過網(wǎng)絡(luò)訪問此計(jì)算機(jī)中刪除Power Users和鎮(zhèn)鋒Backup Operators;
啟用不允許匿名訪問SAM帳號和共享;
啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲憑據(jù)或Passport;
從文件共享中刪除允許匿名登錄的DFS$和COMCFG;
啟用交互登錄:不顯示上次的用戶名;
啟用在下一次密碼變更時(shí)不存儲LANMAN哈希值;
禁止IIS匿名用戶在本地登錄;
3.本地安全策略設(shè)置:
開始菜單—管理工具—本地安全策略
A、本地策略——審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問失敗
審核特權(quán)使用失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理態(tài)基 成功 失敗
注:在設(shè)置審核登陸事件時(shí)選擇記失敗,這樣在事件查看器里的安全日志就會記錄登陸失敗的信息。
網(wǎng)頁標(biāo)題:windows服務(wù)器安全技術(shù) 服務(wù)器安全策略怎么做
URL網(wǎng)址:http://ef60e0e.cn/article/ddpecec.html
