服务器基本安全配置

服务器基本安全配置服务器基本安全配置服务器基本安全配置全文共服务器基本安全配置全文共15页，当前为第1页。————————————————————————————————作者：————————————————————————————————日期：服务器基本安全配置全文共15页，当前为第2页。服务器基本安全配置全文共15页，当前为第2页。服务器基本安全配置用户安全运行lｕsrmｇr．msｃ,重命名原Ａｄministraｔor用户为自定义一定长度的名字，并新建同名Admｉｎistrator普通用户,设置超长密码去除所有隶属用户组。运行gpedit．msｃ——计算机配置—安全设置—账户策略—密码策略启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。运行gpedit.ｍsc——计算机配置—安全设置—账户策略—账户锁定策略启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。服务器基本安全配置全文共15页，当前为第3页。服务器基本安全配置全文共15页，当前为第3页。运行gpeｄit．msc——计算机配置—安全设置—本地策略—安全选项交互式登录:不显示上次的用户名;——启动交互式登录：回话锁定时显示用户信息;——不显示用户信息运行gpｅdｉt.msc——计算机配置—安全设置—本地策略—安全选项网络访问:可匿名访问的共享；——清空网络访问：可匿名访问的命名管道；——清空网络访问:可远程访问的注册表路径;——清空网络访问：可远程访问的注册表路径和子路径；——清空运行ｇpｅｄit.ｍsc——计算机配置—安全设置—本地策略通过终端服务拒绝登陆——加入一下用户(＊**＊代表计算机名)ASPNEＴGuestIＵSR＿*＊***ＩWAＭ＿**＊**ＮETＷＯＲKＳERVＩＣESQLDeｂuggｅr服务器基本安全配置全文共15页，当前为第4页。注:用户添加查找如下图服务器基本安全配置全文共15页，当前为第4页。运行ｇｐeｄit.msc——计算机配置—安全设置—本地策略—策略审核即系统日志记录的审核消息，方便我们检查服务器的账户安全,推荐设置如下:服务器基本安全配置全文共服务器基本安全配置全文共15页，当前为第5页。共享安全运行Reｇedit——删除系统默认的共享[HKEＹ_ＬOCＡＬ_MACHINE＼SYSTEＭ\ＣuｒrentＣontrolSet\Serviｃes\LanmanSerｖer＼Ｐａraｍｅterｓ]增加一个键：名称:AｕtoＳhareSｅrｖer;类型:REG_DWORD；值：0运行Regｅdit——禁止IPＣ空连接[Lｏcal＿Machinｅ/Sysｔeｍ／CurrentCｏnｔｒoｌSet/Ｃontrol／LＳA］把RｅstrｉctAnoｎｙmoｕs的键值改成”１”。服务器基本安全配置全文共服务器基本安全配置全文共15页，当前为第6页。服务端口安全运行Ｒegedit——修改3389远程端口打开[HKEＹ_ＬOCAL＿MACＨINE\ＳYSTEM\CurrｅntCoｎtrolＳeｔ\Control\TermｉnalServer\Wｄs\ｒdｐwd\Tｄs\tｃp]，将PorｔＮａｍｂeｒ的键值（默认是3389）修改成自定义端口:14720打开[HKEＹ_ＬＯＣAL_ＭＡCHINＥ\SYSＴEM＼CurreｎｔContro1Set\Contｒol\TeｎninalSeｒveｒ\WｉｎSｔａtions\RDＰ-Tcp],将PoｒtNuｍber的键值(默认是3389)修改成自定义端口:14720运行serｖｉces．msc——禁用不需要的和危险的服务以下列出建议禁止的服务，具体情况根据需求分析执行：Ａlertｅr发送管理警报和通知AutomaticUpｄａtesWinｄows自动更新服务ComputeｒBrｏwｓer维护网络计算机更新(网上邻居列表)Distributｅd局域网管理共享文件Diｓtributedｌｉｎktraｃkinｇcliｅnt用于局域网更新连接信息服务器基本安全配置全文共15页，当前为第7页。服务器基本安全配置全文共15页，当前为第7页。ＲemoteProcedｕreＣall(ＲＰＣ)LｏcatoｒＲpｃNs*远程过程调用(RPC)RemｏteRｅgｉstｒy远程修改注册表Rｅmovablｅｓtoragｅ管理可移动媒体、驱动程序和库RｅmoteＤeskｔopHelpＳessionManager远程协助RoutingandReｍotｅＡccｅsｓ在局域网以及广域网环境中为企业提供路由服务SｈｅllHardwａrｅＤetｅctiｏn为自动播放硬件事件提供通知。Messengeｒ消息文件传输服务NetLoｇon域控制器通道管理NTＬＭSecｕritｙsupｐortpｒovidetelnet服务和ＭicrosoftSerch用的PｒintSpｏoｌer打印服务ｔｅlnettelｎeｔ服务Workstａtion泄漏系统用户名列表（注:如使用局域网请勿关闭）运行gpedｉｔ.mｓｃ——ＩPSｅc安全加密端口，内部使用加密访问。原理:利用组策略中的“IP安全策略”功能中,安全服务器(需要安全）功能。将所有访问远程如１３013端口的请求筛选到该ip安全策略中来,使得该请求需要通过双方的预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时，则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行连接。在此条件下,不影响其他服务的正常运行。操作步骤：打开GPEDIT.MＳＣ,在计算机策略中有“IP安全策略”,选择“安全服务器（需要安全)”项目属性,然后在ＩP安全规则中选择“所有IP通信”打开编辑,在“编辑规则属性”中,双击“所有IP通信”,在IP筛选器中，添加或编辑一个筛选器。退回到“编辑规则属性”中,在此再选择“身份验证方法”。删除“Kerｂｅｒos5”，点击添加,在“新身份验证方法”中，选择“使用此字符串（预共享密钥)”,然后填写服务器所填的预共享密钥（服务器的预共享密钥为”12３aｂc,.”）。然后确定。选择“安全服务器（需要安全)”右键指派即可。附截图：服务器基本安全配置全文共15页，当前为第8页。服务器基本安全配置全文共15页，当前为第8页。服务器基本安全配置全文共15页，当前为第9页。服务器基本安全配置全文共15页，当前为第10页。服务器基本安全配置全文共15页，当前为第11页。服务器基本安全配置全文共15页，当前为第9页。服务器基本安全配置全文共15页，当前为第10页。服务器基本安全配置全文共15页，当前为第11页。服务器基本安全配置全文共服务器基本安全配置全文共15页，当前为第12页。防火墙安全启动系统自带防火墙添加例外程序端口，除服务器对外服务端口添加到例外。其余都删除或不勾选。有必要时编辑例外设置访问地址限制。（高级设置参照要求设定)选择性安装第三方防火墙，设定防火墙网络访问规则,除了必要对外开放的端口,其他都不要对外开放。特别是Ｔelneｔ:23端口,端口，数据库端口，邮件端口:25,1０1等重要的端口，如没有必要尽可能不要对外开放。服务器基本安全配置全文共服务器基本安全配置全文共15页，当前为第13页。移动存储设备策略安全目的:一般移动感染病毒会在移动设备的根目录下带有autoruｎ．iｎf及病毒文件自动运行。主要是阻止防御移动存储设备的危险程序自动运行。运行gｐｅdit．msｃ——关闭自动播放计算机配置—管理模版—系统：关闭自动播放——已启动,所有驱动器用户配置—管理模版—系统:关闭自动播放——已启动,所有驱动器运行gpedｉｔ.msc——策略限制根目录运行文件计算机配置—wｉndｏws设置—安全设置—软件限制策略—其他规则:右键新建路径规则,不允许所有盘符根目录下的这些后缀的文件运行。(*:\*.bａt、＊:\*.ｃoｍ、*：＼*．vb*、*:\*．exe)服务器基本安全配置全文共服务器基本安全配置全文共15页，当前为第14页。其他安全Ｆtp站点目录安全，去除非必要用户的修改写入权限,定制对于权限，对于执行和修改权限配置妥当。Hｔtp站点目录权限,一般站点都需去除用户的写入权限,常用的网站一般为读取权限。数据库安全,如SQＬ数据库,设置Sa超长密码,正常情况下禁止使用sa用户访问数据库。对应其他用户设置对应数据库的映射安全，无需所有数据库映射。定期修改系统用户密码,及其他牵涉用户的相关密码。且密码要符合复杂性要求。定期检查系统日志安全,以防有人尝试破解用户账户密码。如有批量多条用户登录失败,则需特别注意调查原因。定期检查部署策