Windows系统安全设置方法中级安全篇服务器教程(精选10篇)由网友“给你两下”投稿提供,下面是小编为大家整理后的Windows系统安全设置方法中级安全篇服务器教程,供大家参考借鉴,希望可以帮助您。
篇1:Windows系统安全设置方法中级安全篇服务器教程
1.利用win的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求,具体内容请参考微软主页:www.microsoft.com/windows2000/techi...y/sctoolset.asp
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是 入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问,
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName
把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
11.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
责编:豆豆技术应用
篇2:Windows系统安全设置方法高级安全篇服务器教程
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求,关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator
和Backup Operators组成员才可连接,Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径,比如 c:winnt
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机
解决办法:
打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
在右边建立一个名为AutoShareServer的DWORD键。值为0
3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了),
然而,它也能够给 提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 www.microsoft.com/windows2000/techi...ity/encrypt.asp
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限。
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management
把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
责编:豆豆技术应用
篇3:Windows XP 组策略之安全篇服务器教程
有时候我们的电脑会被其他来用户使用,
或许你的某些资料不想被别人看到,
或者别人会在不经意间更改了你的系统设置,
有没有好的办法防止呢?
我们知道在注册表中我们可以更改系统的很多设置,
但修改起来很麻烦,而组策略把各种配置模块集中在一起,
方便了用户的设置,
打开方式:运行——gpedit.msc
界面:
需要说明的是这里的“计算机配置”是对整个计算机中的系统配置进行设置的,是对计算机中所有用户的运行环境起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用,步入正题,
1、隐藏电脑的驱动器
位置:用户配置管理模板Windows组件Windows资源管理器
启用后,发现我的电脑里的磁盘驱动器全不见了,但在地址栏输入盘符后,仍然可以访问,如果再把下面的防止从“我的电脑”访问驱动器设置为启用,在地址栏输入盘符就无法访问了,但在运行里直接输入cmd,在Dos下仍然可以看见,接下来就是把CMD命令也禁用了。
位置:用户配置管理模板系统
2、禁用注册表
位置:用户配置管理模板系统
篇4:Windows Advance Serve安全设置服务器教程
网络安全应该是网络管理的一个重点,如何构建安全的企业网,是每个企业网管的重要工作,Windows 2000 Advance Serve是比较流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事,下面我就自己的工作经验,谈谈Windows 2000 Advance Serve网络的安全设置.
一、定制自己的Windows 2000 Advance Serve
1. 版本的选择:Win2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。
2. 组件的安装:Win2000在默认情况下进行典型安装,不过这种安装的系统是脆弱的,不够安全的,根据安全原则,最少的服务+最小的权限=最大的安全。请根据自己服务器的所需要求做出合理的配置。
3.根据用途对服务器进行单独管理:就是说如果你根据企业的各种需要作出有不同功能的服务器,原则上是一台服务服务器只提供单独的服务,如域控制器,文件服务器,备份服务器,WEB服务器,FTP服务器等等。
二、合理安装Windows 2000 Advance Serve
1.安装Windows 2000 Advance Serve,建议最少CREATE两个分区,一个系统分区,一个应用程序分区。
2.顺序的选择:Windows 2000 Advance Serve在安装中有几个顺序是一定要注意的:
首先,Windows 2000 Advance Serve在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000 Server之前,一定不要把主机接入网络,
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
三、安全配置Win2000 Server
即使正确的安装了Win2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。
1.PORT:PORT是计算机和外部网络相连的逻辑接口,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
2.IIS:IIS是微软的组件中漏洞最多的一个,所以IIS的配置是我们的重点:
首先,DELTREE C:\INETPUB ,在c盘以外creat Inetpub在IIS管理器中将主目录指向x:\Inetpub;
其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除
第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,删除你不需要的映射。
最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。
责编:豆豆技术应用
篇5:Windows Server 服务器教程
server|window
4月,Windows Server 2003发布;对活动目录、组策略操作和管理、磁盘管理等面向服务器的功能作了较大改进,对.net技术的完善支持进一步扩展了服务器的应用范围,
Windows Server 2003有四个版本:Windows Server 2003 Web服务器版本(Web Edition)、Windows Server 2003标准版(Standard Edition)、Windows Server 2003企业版(Enterprise Edition)以及Windows Server 2003数据中心版(Datacenter Edition),
Web Edition主要是为网页服务器(web hosting)设计的,而Datacenter是一个为极高端系统使用的。标准和企业版本则介于两者中间。
Windows Server 2003是目前微软最新的服务器操作系统。
一开始,该产品叫作“Windows .NET Server”,改成“Windows .NET Server 2003”,后最终被改成“Windows Server 2003”,于203月28日发布,并在同年四月底上市。
Windows Server 2003有多种版本,每种都适合不同的商业需求:
Windows Server 2003 Web版
Windows Server 2003 标准版
Windows Server 2003 企业版
Windows Server 2003 数据中心版
篇6:WinRouteDHCP服务器设置服务器教程
服务器
由于该软件在局域网中用的比较多,为了能方便地给局域网中的每一台计算机分配IP地址,WinRoute 4.1版本提供了DHCP(动态IP地址分配)功能,通过该功能用户可以自动配置局域网上的每台计算机上的网络相关参数,
它的具体设置方法如下:
首先从菜单栏中选择“SETTINGS”菜单项,并单击其下拉菜单中的“DHCP SERVER”命令,程序将会弹出一个对话框。在弹出的对话框中首先应该选中“DHCP SERVER ENABLED”,接着用鼠标选中“DEFAULT OPTION”(默认选项)后按住“EDIT”按钮,程序将打开一个标题为“CHANGE DEFAULT OPTIONS”(修改缺省选项)的对话框,该对话框共提供了四个复选项,如果选中“DNS SERVER”表示起用域名转换功能,同时用户可以在右边的“SPECIFY”文本栏中输入因特网服务商提供的DNS服务器地址,
另外用户还必须选中“LEASE TIME”这一项来指定IP地址的释放时间,一般改成12小时就足够了。对缺省选项设置修改后,单击“OK”按钮返回图7所示的界面,在该界面中请用户单击“ADVANCED”(高级)按钮,在弹出的窗口中选中第一个复选项,表示为客户机在启动时使用动态IP表,这样客户机重新启动的时候就不会占用几个IP地址,第二个复选项表示客户机将自动从远程服务器上获得动态的IP地址。
接着用户可以单击图中界面中的“NEW SCOPE”按钮,在弹出的对话框中设置一个DHCP服务器上的动态IP地址分配范围,用户可以在“FROM”文本栏中填入一个起始地址,在“TO”文本栏后填入结束地址,在“MASK”文本栏中输入掩码的IP地址,通常为255.255.255.0,设置后单击“OK”按钮就完成了DHCP有关的参数设置工作。
篇7:Windows服务器系统安全缺陷影响域名服务
据国外媒体报道,今年微软公司Windows操作系统零天缺陷是潜在的、最严重的安全缺陷之一,微软报告称,在它的Windows服务器系统中发现了一个危险的零天缺陷,由于缺陷潜在的影响了企业网络,因此在服务器软件中利用这一缺陷进行的攻击被认为特别严重,
在公司的安全咨询中微软表示,在公司的Windows Server SP4、Windows Server SP1和Windows Server 2003 SP2软件中,这一缺陷影响了域名系统服务器提供的服务。
微软指出,公司最初的调查显示,这一缺陷试图允许攻击者运行域名系统服务器服务的相关安全代码。这些安全代码运行默认的当地系统。
到目前为止,除非用户提出强烈要求,微软还没有在在每月的安全补丁周期外发布专门解决这一缺陷的补丁。
篇8:Win 2000检测系统安全清单服务器教程
安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录,Win 2000检测系统安全清单(1)服务器教程
。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是 们入侵系统的突破口,系统的帐户越多, 们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的,
创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
篇9:巧用组策略保障系统安全服务器教程
为了保护工作站系统的安全,不少朋友往往会下意识地想到使用系统自带的或第三方防火墙,来对系统进行多方面的安全“护卫”,可是在实际保护系统安全的过程中,我们有时会遇到系统防火墙因受到意外损坏而无法启用的现象,这样一来系统的安全就缺少了防火墙的“护卫”,那么系统受到非法攻击的可能性就会大大增加。事实上,在防火墙无法“护卫”系统安全的情况下,我们完全可以变换思路,从系统组策略出发,来让系统仍然享受防火墙级别的安全“护卫”!
1、预防远程入侵连接
为了有效制止非法攻击者通过网络随意攻击或访问本地工作站系统,第三方专业防火墙工具往往都会为我们提供关闭远程网络连接的功能,通过该功能我们可以随时阻止非法攻击者的入侵连接,从而保护系统的安全。但即使没有第三方专业防火墙的安全“护卫”,我们只要按照如下操作步骤修改系统的组策略,仍然能够让系统享受到这种安全“护卫”待遇:
首先依次单击本地工作站系统桌面中的“开始”、“运行”菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地系统的组策略编辑窗口;
其次在该编辑窗口的左侧显示区域中,用鼠标逐一展开“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”分支选项,在“网络连接”分支选项所在的右侧显示区域中,找到“删除所有用户远程访问连接”项目,并用鼠标双击该项目,打开如图1所示的组策略属性设置对话框;
篇10:Windows网站服务器安全设置
有很多人都认为微软的东西漏洞太多,微软的系统安全性太差,网站服务器通常都不建议用微软的系统,不过,如果网站维护人员很少,通过在Windows Server里进行一些安全配置,也可以让系统的安全性有所提高,对于网站的备份、恢复等一系列复杂操作,也可以通过一些较为简单的方式来实现,下面是我总结的一些Windows Server安全配置和备份恢复的一些经验和技巧,供各位参考,
Windows服务器安全配置技巧 - Windows服务器安装、网络安全配置、安全模板设置等。
防止服务器网卡被误停用 - 服务器一般放在IDC机房,如果我们远程控制Windows服务器的时候,不小心禁用了网卡,后果不堪设想。
ASP博客安全技巧 - 以Z-Blog博客系统为例介绍在独立主机可配置的条件下(托管、租用或者合租主机)的系统安全设置。
海量文件复制和备份的技巧 - 海量文件服务技巧,带权限文件复制(单个文件的权限)技巧。
修改远程登录3389端口 - 众所周知,远程终端服务基于端口3389,
入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。
五个远程管理Windows服务器的技巧 - 一些有效管理服务器的小技巧。
IIS 的备份恢复 - Windows的IIS有一个非常“ ”的备份还原功能,和大部分备份还原不同的是,这个服务默认不支持不同电脑之间的备份还原,如果用户重装Windows的话,即使备份了IIS的相关文件,还原的时候还是提示“无效签名”,导致这个IIS无法恢复。
Windows IIS日志文件分析程序 - Windows Server具有事件日志记录的功能,其IIS日志文件里记录了包括下列信息:谁访问了您的站点,访问者查看了哪些内容等等。通过定期检查这些日志文件,网站管理员可以检测到服务器或站点的哪些方面易受攻击或存在其他安全隐患。
Google KMZ/MKL文件设置 - Google Earth的KML文件的MIME类型是application/vnd.google-earth.kml+xml,KMZ文件的MIME类型是application/vnd.google-earth.kmz。
★ windows服务器防止asp木马详细教程Windows服务器操作系统
★ htc文件的妙用
【Windows系统安全设置方法中级安全篇服务器教程(精选10篇)】相关文章:
如何设置一个高容量的Linux POP3服务器服务器教程2023-01-21
win内置防火墙配置教程服务器教程2023-11-12
Windows 配置POP3服务服务器教程2022-12-04
Excel服务器教程2023-10-20
鼠标悬停信息提示的制作2023-09-21
linux关闭mysql strict mode的方法介绍linux操作系统2023-05-04
WIN7系统安装打印机驱动教程2024-04-18
案场主管求职简历2022-11-18
windows、Centos双系统无法启动问题2022-11-07
wifi管家领取wifi上网卡教程2023-04-10