服務器安全(二) (1)

【一、禁止默認共享 】
    1.先察看本地共享資源
     運行-cmd-輸入net share
    2.刪除共享(每次輸入一個）
     net share admin$ /delete
     net share c$ /delete
     net share d$ /delete（如果有e,f,……可以繼續(xù)刪除）
    3.刪除ipc$空連接
    在運行內輸入regedit
    在注冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
    項里數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1.
    4.關閉自己的139端口,ipc和RPC漏洞存在于此.
    關閉139端口的方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”
    屬性，進入“高級TCP/IP設置”“WINS設置”里面有一項“禁用TCP/IP的NETBIOS”，打勾就關
    閉了139端口,禁止RPC漏洞.

----------------------------------------
 
                            【二、設置服務項，做好內部防御】
 
-------------------

A計劃.服務策略：

    控制面板→管理工具→服務
    關閉以下服務：
    1.Alerter[通知選定的用戶和計算機管理警報]
    2.ClipBook[啟用“剪貼簿查看器”儲存信息并與遠程計算機共享]
    3.Distributed File System[將分散的文件共享合并成一個邏輯名稱,共享出去，關閉后遠程計算機無法訪問共享
    4.Distributed Link Tracking Server[適用局域網分布式鏈接跟蹤客戶端服務]
    5.Human Interface Device Access[啟用對人體學接口設備(HID)的通用輸入訪問]
    6.IMAPI CD-Burning COM Service[管理 CD 錄制]
    7.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性,泄露信息]
    8.Kerberos Key Distribution Center[授權協(xié)議登錄網絡]
    9.License Logging[監(jiān)視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
   10.Messenger[警報]
   11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
   12.Network DDE[為在同一臺計算機或不同計算機上運行的程序提供動態(tài)數(shù)據(jù)交換]
   13.Network DDE DSDM[管理動態(tài)數(shù)據(jù)交換 (DDE) 網絡共享]
   14.Print Spooler[打印機服務，沒有打印機就禁止吧]
   15.Remote Desktop Help Session Manager[管理并控制遠程協(xié)助]
   16.Remote Registry[使遠程計算機用戶修改本地注冊表]
   17.Routing and Remote Access[在局域網和廣域往提供路由服務.黑客理由路由服務刺探注冊信息]
   18.Server[支持此計算機通過網絡的文件、打印、和命名管道共享]
   19.Special Administration Console Helper[允許管理員使用緊急管理服務遠程訪問命令行提示符]
   20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持
                           而使用戶能夠共享文件、打印和登錄到網絡]
   21.Telnet[允許遠程用戶登錄到此計算機并運行程序]
   22.Terminal Services[允許用戶以交互方式連接到遠程計算機]
   23.Windows Image Acquisition (WIA)[照相服務，應用與數(shù)碼攝象機]

-------------------
B計劃.帳號策略：
   
    一.打開管理工具.本地安全設置.密碼策略

           1.密碼必須符合復雜要求性.啟用
           2.密碼最小值.我設置的是10
           3.密碼最長使用期限.我是默認設置42天
           4.密碼最短使用期限0天
           5.強制密碼歷史 記住0個密碼
           6.用可還原的加密來存儲密碼 禁用
   
-------------------
C計劃.本地策略:

打開管理工具
   
    找到本地安全設置.本地策略.審核策略

           1.審核策略更改 成功失敗
           2.審核登陸事件 成功失敗
           3.審核對象訪問 失敗
           4.審核跟蹤過程 無審核
           5.審核目錄服務訪問 失敗
           6.審核特權使用 失敗
           7.審核系統(tǒng)事件 成功失敗
           8.審核帳戶登陸時間 成功失敗
           9.審核帳戶管理 成功失敗
            然后再到管理工具找到
            事件查看器
           應用程序 右鍵 屬性 設置日志大小上限 我設置了512000KB 選擇不覆蓋事件
           安全性 右鍵 屬性 設置日志大小上限 我也是設置了512000KB 選擇不覆蓋事件
           系統(tǒng) 右鍵 屬性 設置日志大小上限 我都是設置了512000KB 選擇不覆蓋事件
-------------------
D計劃.安全策略:

打開管理工具
   
    找到本地安全設置.本地策略.安全選項
          
           1.交互式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據(jù)個人需要,啟用比較好,但是我個人是不需要直接輸入密碼登陸的]
           2.網絡訪問.不允許SAM帳戶的匿名枚舉 啟用
           3.網絡訪問.可匿名的共享 將后面的值刪除
           4.網絡訪問.可匿名的命名管道 將后面的值刪除
           5.網絡訪問.可遠程訪問的注冊表路徑 將后面的值刪除
           6.網絡訪問.可遠程訪問的注冊表的子路徑 將后面的值刪除
           7.網絡訪問.限制匿名訪問命名管道和共享
           8.帳戶.重命名來賓帳戶guest [最好寫一個自己能記住中文名]讓黑客去猜解guest吧,而且還得刪除這個帳戶,后面有詳細解釋]
           9.帳戶.重命名系統(tǒng)管理員帳戶[建議取中文名]

-------------------

E計劃.用戶權限分配策略:

打開管理工具
   
    找到本地安全設置.本地策略.用戶權限分配
          
           1.從網絡訪問計算機 里面一般默認有5個用戶,除Admin外我們刪除4個,當然,等下我們還得建一個屬于自己的ID
           2.從遠程系統(tǒng)強制關機,Admin帳戶也刪除,一個都不留          
           3.拒絕從網絡訪問這臺計算機 將ID刪除
           4.從網絡訪問此計算機,Admin也可刪除,如果你不使用類似3389服務
           5.通過終端允許登陸 刪除Remote Desktop Users
         

---------------------
F計劃.終端服務配置

打開管理工具
   
    終端服務配置
         1.打開后，點連接,右鍵,屬性,遠程控制,點不允許遠程控制
         2.常規(guī),加密級別,高,在使用標準windows驗證上點√!
         3.網卡,將最多連接數(shù)上設置為0
         4.高級,將里面的權限也刪除.[我沒設置]
          再點服務器設置,在Active Desktop上,設置禁用,且限制每個使用一個會話

---------------------
G計劃.用戶和組策略

打開管理工具
    計算機管理.本地用戶和組.用戶
         
        刪除Support_388945a0用戶等等
        只留下

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]