中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Windows 服務器系統安全防御加固方法

發布時間:2020-06-07 22:13:33 來源:網絡 閱讀:1268 作者:yuanwx0328 欄目:系統運維

服務器系統安全防御加固方法">Windows 服務器系統安全防御加固方法

  • 更新:

    2017-06-01 19:24

windows服務器安全加固方案,該方案主要針對windows server 2008 r2,當然對于2012等其他系統也是適用的。

  1. 1

    刪除無用賬戶:

    使用Win+R鍵調出運行,輸入compmgmt.msc->本地用戶和組,刪除不用的賬戶

    確保guest賬戶處于禁用狀態,修改管理員默認用戶名administrator為其他。

  2. 2

    增強口令策略:

    使用Win+R鍵調出運行,輸入secpol.msc->安全設置

    1.安全策略->密碼策略

    密碼必須符合復雜性要求:啟用

    密碼長度最小值:8個字符

    密碼最短使用期限:0天

    密碼最長使用期限:90天

    強制密碼歷史:1個記住密碼

    用可還原的加密來存儲密碼:已禁用

    2.本地策略->安全選項

    交互式登錄:不顯示最后的用戶名:啟用

  3. 3

    關閉不需要的服務:

    使用Win+R鍵調出運行,輸入services.msc.禁用以下服務:

    Application  Layer Gateway Service

    Background  Intelligent Transfer Service

    Computer Browser

    DHCP Client

    Diagnostic Policy Service

    Distributed Transaction Coordinator

    DNS Client

    Distributed Link Tracking Client

    Remote Registry

    Print Spooler

    Server

    Shell Hardware Detection

    TCP/IP NetBIOS Helper

    Windows Remote Management

  4. 4

    關閉netbios服務(關閉139端口):

    網絡連接->本地連接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS。

    說明:關閉此功能,你服務器上所有共享服務功能都將關閉,別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。

  5. 5

    關閉網絡文件和打印共享:網絡連接->本地連接->屬性,把除了“Internet協議版本 4”以外的東西都勾掉。

  6. 6

    關閉IPV6:

    先關閉網絡連接->本地連接->屬性->Internet協議版本 6 (TCP/IPv6)

    然后再修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一個Dword項,名字:DisabledComponents,值:ffffffff(十六位的8個f)

  7. 7

    關閉microsoft網絡客戶端(關閉445端口)

    445端口是netbios用來在局域網內解析機器名的服務端口,一般服務器不需要對LAN開放什么共享,所以可以關閉。

    修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,則更加一個Dword項:SMBDeviceEnabled,值:0

  8. 8

    關閉LLMNR(關閉5355端口)

    使用組策略關閉,運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啟用

  9. 9

    增加網絡訪問限制:

    使用Win+R鍵調出運行,輸入secpol.msc->安全設置->本地策略->安全選項:

    網絡訪問: 不允許 SAM 帳戶的匿名枚舉:已啟用

    網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉:已啟用

    網絡訪問: 將 Everyone權限應用于匿名用戶:已禁用

    帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄:已啟用

  10. 10

    修改3389遠程訪問默認端口:

    1.防火墻中設置

    1.控制面板——windows防火墻——高級設置——入站規則——新建規則——端口——特定端口tcp(如13688)——允許連接 2.完成以上操作之后右擊該條規則作用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過此功能對特定網段屏蔽(如80端口)。

    2.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP],看見PortNamber值了嗎?其默認值是3389,修改成所希望的端口即可,例如13688

    3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],將PortNumber的值(默認是3389)修改成端口13688(自定義)。

  11. 11

    給Everyone降權:

    鼠標右鍵系統驅動器(磁盤)->“屬性”->“安全”,查看每個系統驅動器根目錄是否設置為Everyone有所有權限

    刪除Everyone的權限或者取消Everyone的寫權限

  12. 12

    增加日志審計:

    使用Win+R鍵調出運行,輸入secpol.msc ->安全設置->本地策略->審核策略

    建議設置:

    審核策略更改:成功

    審核登錄事件:成功,失敗

    審核對象訪問:成功

    審核進程跟蹤:成功,失敗

    審核目錄服務訪問:成功,失敗

    審核系統事件:成功,失敗

    審核帳戶登錄事件:成功,失敗

    審核帳戶管理:成功,失敗

  13. 13

    關閉ICMP

    在服務器的控制面板中打開 windows防火墻 , 點擊 高級設置->點擊 入站規則 ——找到 文件和打印機共享(回顯請求 - ICMPv4-In) ,啟用此規則即是開啟ping,禁用此規則IP將禁止其他客戶端ping通,但不影響TCP、UDP等連接。

    Windows 服務器系統安全防御加固方法

  14. 14

    IIS配置為不返回詳細錯誤信息:

    編輯web.config<customErrors>標記的“mode”屬性不能設置為“Off”,這樣用戶能看到異常詳情。并在IIS角色服務中去掉目錄瀏覽、 ASP、CGI、在服務器端包含文件。


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

岫岩| 东乡县| 长子县| 永泰县| 阜新市| 武安市| 永登县| 图片| 乐安县| 达孜县| 阜宁县| 丹寨县| 双鸭山市| 和静县| 翁牛特旗| 师宗县| 延边| 察隅县| 高雄县| 宁夏| 台前县| 资中县| 油尖旺区| 关岭| 达州市| 遵义县| 郴州市| 淅川县| 启东市| 房产| 米易县| 莱西市| 凌海市| 阿合奇县| 三原县| 龙岩市| 苗栗市| 晋江市| 自贡市| 时尚| 壶关县|