MyException - 我的异常网
当前位置:我的异常网» Windows xp » 怎么配置网络服务器安全?请

怎么配置网络服务器安全?请

www.MyException.Cn  网友分享于:2015-08-26  浏览:11次
如何配置网络服务器安全?请高手指点
想架设一台网络服务器的安全,不能清楚就怎么具体的怎么做?请各位高手指点啊??
  小弟在这里谢谢了。

------解决方案--------------------
向Win2003提问?估计Win2008也未必能给你满意的答案

很明显这么广义的问题,适合自已找资料,有更具体一些的问题再上论坛发问
google关键词“windows 服务器 安全”
------解决方案--------------------
服务器安全是一个比较全面的问题,包括硬件、系统、应用程序等因素,建议楼主多看看相关资料,不是一两句能说清楚啊。而且针对不同的网络环境配置也是不同的。
------解决方案--------------------
我个人收集的一些东西,希望能对你有些帮助,有点长
一 总述

windows的安全的设置一般人还是比较熟悉的,这里只是为了方便大家而总结的一个流程。资料来源于网络和杂志,在此向这些作者表示感谢。
可能出现的结果是,如实的做了,但可能您的服务转不起来了。自己要在安全和平衡之间做个合适的选择。
本文档是免费的,可以任意下载与交流,不能用于商业用途,如要转载请保留此段。同时希望您也参与进来,您可以把您的建议以邮件的形式发送到gba66@163.com 注明:windows安全设置建议(如:本文档提到的工具名称,来源错误。设置技巧的错误。以及需要完善的地方等)。

二.安装安全

(注意:安装时一定不要将主机连入internet)做为服务器使用,建议使用英文版本的系统软件,还有2003比2000强很多,系统格式采用NTFS格式。推荐使用WIN2000服务器版或高级服务器版、WIN2003企业版,因为在IIS连接数上没有什么限制,而专业版PRO、家庭版HOME、以及所有WINXP版本(HOME、PRO)均有IIS同时连接数量限制(APACHE中则称为并发连接)< =10。超过10则提示不允许连接。除非你是为了测试、调试程序,否则偶推荐你只使用推荐系统。当然VISTA安全性能更不错,比如它的UAC安全特性。

推荐建立三个逻辑驱动器,第一个用来装系统和重要的日志文件;第二个放IIS;第三个放FTP(4个也好。可以把日志和备份放到第四个里。)。WIN2K在安装时有一个漏洞,就是在输入Administrator的密码后,系统会建立“$ADMIN”的共享,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“$ADMIN”进入系统。不要安装编译软件如VC++6.0等

不要安装比如qq(比如2007年年初的QQ,UC漏洞威胁还是很大的)等无关的软件,不要使用服务器做日常的上网工作,修改BIOS密码保障安全。 做为个人的用户现在很流行使用那个ghost版本的windowsxp系统,这个版本存在的问题是有个new和administrator俩个空口令的用户,而且开了3389。请在计算机管理里将administrator和new改名并设置复杂口令。右击“我的电脑”在远程连接里把“允许远程用户连接此计算机”和“允许从这台计算机发出远程邀请”前面的勾去掉。
 
其次,注意补丁的安装。补丁应该在所有应用程序(冷寒冰:注意,象SQL,SERV-U这样的软件千万不要按照默认的路径安装。容易被猜到)安装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁的话可能无法起到应有的效果。(冷寒冰:平时注意积累windows补丁是个好习惯,刻成光盘,方便使用,而且显的您很职业!)最后提一点的是在WINDOWS的升级中,容易需要安装独立的补丁,需要特别的下载。比如office的补丁,针对某些office漏洞网上很流行套office全版溢出捆绑工具(补丁下载地址为http://www.microsoft.com/downloa ... p;DisplayLang=zh-hk)。而且最近针对Vista系统安全性相对较好的情况,针对非系统的漏洞研究更多比如针对OFFICE2007的漏洞利用等。
 
安装后,使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置。

这里要说的是windows2003可以使用“安全配置向导”这个工具来做系统的安全。默认情况下并没有被安装。请在添加删除程序中自行添加此组件。

三 系统帐号安全
运行里命令“compmgmt.msc \s” 打开计算机管理。
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。 

这里介绍个支持@这样特殊字符的来命名管理员帐号的小方法:
开始-运行-gpedit.msc-计算机配置-windows设置-安全设置-本地策略-安全选项。然后是:帐户:重命名系统管理员帐户。输入带@的用户名。确定。这样就可以用了。

  2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码 

  3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,您也可以选择将guest用户删除(默认删除不了).

4.在运行中输入gpedit.msc回车

(冷寒冰:任何时刻我们在“运行”里敲命令时一定要把后缀名输入完整,比如cmd.exe,因为在windows下cmd.com是比cmd.exe先运行的。而cmd.com可能就是黑客的后门或是病毒,另外,对方可以通过设定系统环境变量来改变当前的后缀执行顺序,他可以这样做:
set PATH=c:\winnt\system32\test;c:\winnt\system32;
set PATHEXT=.COM;.BAT;.EXE;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.VBS
来使环境变量改变,达到使net.bat先于net.exe执行,而net.bat是个恶意的批处理。
)

打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时渖栉?0分钟”,“复位锁定计数设为30分钟”。 

  5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 

  6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果您使用了Asp.net还要保留Aspnet账户。 

  7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令(runas /profile /user:使用的用户 想使用的应用程序).(冷寒冰:平时我们上网时也最好使用user用户上网,可以避免不少流氓软件的骚扰和网马的侵害)

8.注意更改您的用户的口令,同时注意经常查看注册表核对注册表值查看是否有隐藏的用户(HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Nmaes),校对HKEY_MACHNE\SAM\SAM\Domains\Account\user\Names\Administrator的数值。检查隐藏用户的一个很方便的工具是LP_Check。

9.在账户策略->密码策略中设定: 

  密码复杂性要求 启用 

  密码长度最小值 6位 

  强制密码历史 5次 

  最长存留期 30天 (口令必须定期更改,建议至少两周该一次)

  在账户策略->账户锁定策略中设定: 

  账户锁定 3次错误登录 

  锁定时间 20分钟 

  复位锁定计数 20分钟 

10.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等。再为每个虚拟目录下每个站点建一个用户.

文章评论

中美印日四国程序员比较
中美印日四国程序员比较
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
为什么程序员都是夜猫子
为什么程序员都是夜猫子
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
程序员和编码员之间的区别
程序员和编码员之间的区别
旅行,写作,编程
旅行,写作,编程
漫画:程序员的工作
漫画:程序员的工作
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
我是如何打败拖延症的
我是如何打败拖延症的
程序员必看的十大电影
程序员必看的十大电影
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
老程序员的下场
老程序员的下场
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
程序员应该关注的一些事儿
程序员应该关注的一些事儿
鲜为人知的编程真相
鲜为人知的编程真相
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
如何成为一名黑客
如何成为一名黑客
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
 程序员的样子
程序员的样子
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
编程语言是女人
编程语言是女人
Java程序员必看电影
Java程序员必看电影
总结2014中国互联网十大段子
总结2014中国互联网十大段子
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
每天工作4小时的程序员
每天工作4小时的程序员
那些争议最大的编程观点
那些争议最大的编程观点
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
一个程序员的时间管理
一个程序员的时间管理
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
程序员的鄙视链
程序员的鄙视链
代码女神横空出世
代码女神横空出世
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有