如何防止服务器被入侵?你的问题,有我回答,我是IT屠工!1、用户安全(1) 运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字, 并新建同名Administrator 普通用户,设置超长密码去除所有隶属用户组
如何防止服务器被入侵?
你的问题,有我回答,我是IT屠工!
1、用户安全
(1) 运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字, 并新【读:xīn】建同名Administrator 普通用户,设置超长密码去除所[练:suǒ]有隶属用户组。
(2) 运行 gpedit.msc ——计算机配置—安全设《繁体:設》置—账户策略—密码策略 启动密码复杂性要yào 求,设置密码最小长度、密码最长使用期限,定期修改密码保证 服务器账户(繁:戶)的密码安全。
(3) 运行 gpedit.msc ——计算机配置—安全《拼音:quán》设置—账户策略—账户锁定策略 启动账(繁:賬)户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项 交互式登录 :不{读:bù}显示上次的用户名;——启动 交互式(练:shì)登录:回(拼音:huí)话锁定时显示用户信息;——不显示用户信息
(5) 运《繁体:運》行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项
网络(繁:絡)访问:可匿名访问的共享;——清空
网络访问:可匿名访问的命名[拼音:míng]管道;——清空
网络访问:可远程访问的注(繁体:註)册表路径;——清空
网络访问:可【pinyin:kě】远程访问的注册表路径和子路径;——清空
(6) 运行[练:xíng] gpedit.msc
——计算机配{pèi}置—安全设置—本地策略 通过终端服务拒绝登陆——加jiā 入一下用户
ASPNET
Guest IUSR_***** IWAM_*****
NETWORK SERVICE
SQLDebugger
注:用户添加查找《zhǎo》如下图:
(7) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—策略【pinyin:lüè】审核 即系统日志记录的审核消(拼音:xiāo)息,方便我们检查服务器的账户安全,推荐设置如下:
2、共(gòng)享安全
(1) 运行 Regedit——删除系统默(mò)认的共(gòng)享 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter
s]增加一个键:名称 : AutoShareServer 类型 : REG_DWORD值 : 0
(2) 运行 Regedit——禁止 IPC 空连【pinyin:lián】接 [Local_Machine/System/CurrentControlSet/Control/LSA] 把 RestrictAnonymous 的键值zhí 改成{chéng} ”1”。
3. 服务端口安[练:ān]全
(1) 运行 Regedit——修改 3389 远程端口(练:kǒu)
世界杯打dǎ 开 [HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal
ServerWds dpwdTds cp],将 PortNamber 的键值(默认是shì 3389 )修改gǎi 成自定义端 口:14720
打开 [HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp] ,将 PortNumber 的键值(默认是3389)修xiū 改成自定[练:dìng]义《繁:義》 端口 :14720
(2) 运行 services.msc——禁用不需要的和危险的服《fú》务 以下列出【练:chū】建议禁止的服务,具体情况根据需求分析执行xíng :
Alerter 澳门新葡京 发[繁体:發]送管理警报和通知
Automatic Updates Windows 自动《繁:動》更新服务
Computer Browser 维护【pinyin:hù】网络计算机更新(网上邻居列表)
Distributed File System 局域(读:yù)网管理共享文件
Distribute澳门伦敦人d linktracking client 用于局域网更新连接信[练:xìn]息
Er澳门金沙ror reporting service 发送错(读:cuò)误报告
Remote Procedure Call (RPC) Locator RpcNs*远[繁体:遠]程过程调用(RPC)
Remote Registry 远程修改注册表《繁:錶》
Removable storage 管理可移动【练:dòng】媒体、驱动程序和库
Remote Desktop Help Session Manager 远程协(繁体:協)助
Routing and Remote Access 在局域网以《练:yǐ》及广域网环境中为企业提供路由服务
Shell Hardware Detection 为自动播放《拼音:fàng》硬件事件提供通知。
Messenger 消息文件传输(拼音:shū)服务
Net Logon 域控制器通道[读:dào]管理
NTLMSecuritysupportprovide telnet 服(fú)务和 Microsoft Serch 用的
PrintSpooler 打印服【pinyin:fú】务
te开云体育lnet telnet 服务(繁:務)
Workstation 泄漏系统用户名《míng》列表(注:如使用局域网请勿关闭)
(3) 运行 gpedit.msc —— IPSec安全加密端口,内部(bù)使用加密访问。
原理:利用组策略中的“ IP 安全策略”功能中zhōng ,安全服务器(需{pinyin:xū}要安全)功能。
将 所有访问远程如13013 端口的(拼音:de)请求筛选到该ip安全策略中来, 使得该请求需要通过 双方的(拼音:de)预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行 连接。在此条件下,不影响其他服务的正常运行。
操作【pinyin:zuò】步骤:
1) 打{dǎ}开 GPEDIT.MSC
,在计算机策略中有“ IP 安全策略” ,选择“安全服务器(需要 安全)”项目属性,然后在IP 安全规则中选择“所有IP 通信”打开编辑,在“编 辑规则属性”中,双击“所有IP通信”,在 IP 筛选器中【zhōng】,添加或编辑一yī 个筛选
2) 退回到 “编辑规则属性” 中,在此再选择“身份验[拼音:yàn]证方法【练:fǎ】” 。删除“ Kerberos 5”,
点击添加,在“新身份验证方法”中,选择“使用此字符串(预共享密钥) ,然后填写服务器所填的预共享xiǎng 密钥 (服务器(读:qì)的预共享密钥为 ”123abc,.”)。然后确 定。
3) 选择“安【拼音:ān】全服务器(需要安全)”右键指派即可。 附截图:
以【练:yǐ】上是我的回答,希望可以帮助到您!
本文链接:http://21taiyang.com/Business-Operations/22118029.html
服务器防病[练:bìng]毒转载请注明出处来源
