電腦security怎麼設定
Windows伺服器安全策略配置——簡單實用!
Windows伺服器安全策略怎麼做?不要覺得這是一個非常深奧遙不可及的問題,其實也是從各個方面去加固系統的安全性而已,它沒有一個定論。
我是艾西今天和你們分享一下windows伺服器基本安全策略保障伺服器基本安全的一些簡單實用的加固方法。
對windows伺服器進行以上的設定和相關策略的制定,可以有效的增加伺服器的自身防禦能力,防止駭客利用常見的攻擊手段和方法對伺服器進行入侵和破壞,降低資料被盜取的風險。
計算機安全策略配置:
(一) 修改遠端桌面埠
將預設埠XXX修改為XXX。
(二) 帳戶
對系統管理員預設帳戶administrator進行重新命名,停用guest使用者。
(三) 開啟windows防火牆
1、取消網路連線中的檔案和列印共享。
2、在例外裡面新增遠端桌面埠XXX。
3、在防火牆高階設定時勾選Web服務和安全的Web服務。
4、在防火牆開放FTP埠XX。
5、開放簡訊傳送平臺埠:XXX
(四) 禁用無關服務
1、Printspooler 列印服務
2、Wirelessconfiguration 無線服務
3、RoutingandRemoteAccess在區域網以及廣域網環境中為企業提供路由服務。
4、NTLMSecuritysupportprovide:telnet服務和MicrosoftSerch服務使用。
5、Telnet允許遠端使用者登入到此計算機並執行程式。
6、RemoteDesktopHelpSessionManager:遠端協助服務。
7、ErrorReportingService收集、儲存和向Microsoft報告異常應用程式。
8、RemoteRegistry 遠端登錄檔操作。
(五) 禁止IPC空連線
開啟登錄檔
找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把這個值改成”1”即可。
(六) 刪除預設共享
開啟登錄檔
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,新建AutoShareServer型別是REG_DWORD把值改為0。
(七) 策略配置
組策略配置:gpedit—>計算機配置—>windows設定—>安全設定—>本地策略。
1、在使用者權利分配下,從透過網路訪問此計算機中刪除PowerUsers和BackupOperators;
2、啟用不允許匿名訪問SAM帳號和共享;
3、啟用不允許為網路驗證儲存憑據或Passport;
4、從檔案共享中刪除允許匿名登入的DFS$和COMCFG;
5、啟用互動登入:不顯示上次的使用者名稱;
6、啟用在下一次密碼變更時不儲存LANMAN雜湊值;
7、禁止IIS匿名使用者在本地登入。
禁用Guest賬戶
Guest賬戶為駭客入侵打開了方便之門,駭客使用Guest賬戶可以進行提權。禁用Guest賬戶是很好的選擇。
開啟“開始——管理工具——計算機管理——本地使用者和組——使用者——Guest,右鍵開啟屬性,打勾“賬戶已禁用”,最後點選應用和確定即可禁用Guest賬戶
二、密碼策略
作業系統和資料庫系統管理,使用者身份標識應具有不易被冒用的特點,口令應有複雜度要求並定期更換密碼。
進入“開始——管理工具——本地安全策略”,在“帳戶策略——密碼策略”;
“密碼必須符合複雜度要求” 設定為“啟用”
“密碼長度最小值”設定為“8-12個字元”
“密碼最長使用期限”設定為“90天”
“強制密碼歷史”設定為“記住5個密碼”
“用可以還原的加密來儲存密碼”設定為“禁用”
加固前:
加固後:
三、連續登入失敗賬戶鎖定策略
應啟用登入失敗鎖定功能,可採取結束會話、限制非法登入次數和自動退出等措施。對於採用靜態口令認證技術的伺服器,應設定當用戶連續登入失敗次數超過5 次(不含5 次),鎖定該使用者使用的賬號**分鐘。
比如連續登入失敗超過5次,鎖定該使用者賬號15分鐘
進入“開始——管理工具——本地安全策略”,在“帳戶策略——帳戶鎖定策略”:
“賬戶鎖定時間”設定為15分鐘
“賬戶額鎖定閥值”設定為5 次
“復位賬戶鎖定計數器”設定為15分鐘
四、日誌稽核策略
稽核內容應包括重要使用者行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件。在主機的稽核策略上設定日誌稽核策略,進入“開始 ——管理工具——本地安全策略”,在“本地策略——稽核策略”在主機的稽核策略上設定日誌稽核策略:
審計帳戶登入事件: 成功,失敗
審計帳戶管理: 成功,失敗
審計目錄服務訪問: 成功,失敗
審計登入事件: 成功,失敗
審計物件訪問: 成功,失敗
審計策略更改: 成功,失敗
審計特權使用: 成功,失敗
審計系統事件: 成功,失敗
審計過程追蹤: 成功,失敗
五、
設定不顯示
最後
的使用者名稱
在本地安全設定系統登入時不顯示最後的使用者名稱。
進入“開始——管理工具——本地安全策略”,在“本地策略——安全選項”
“互動式登入:不顯示最後的使用者名稱”設定為“已啟用”
六、
啟用主機安全選項的”關機前清除虛擬記憶體頁面”
應確保系統內的檔案、目錄和資料庫記錄等資源所在的 儲存空間,被釋放或重新分配 給其他使用者前得到完全清除。
進入“開始——管理工具——本地安全策略”,在本地策略——安全選項
“關機:清除虛擬頁面檔案記憶體”設定為“已啟用”
七、
配置日誌檔案大小
配置日誌檔案容量,避免受到未預期的刪除、修改或覆蓋等
進入“開始——管理工具——計算機管理——事件檢視器——windows日誌-系統,右鍵屬性
八、磁碟配額配置
磁碟配額可以限制指定賬戶能夠使用的磁碟空間,這樣可以避免因某個使用者的過度使用磁碟空間造成其他使用者無法正常工作甚至影響系統執行
進入“我的電腦——C盤——屬性——配額”
“啟用磁碟管理”設定為啟用
“磁碟空間限制為”設定為”90GB”
“將警告等級設為”設定為”90GB”
“使用者超出配額限制時記錄事件(G)”打勾
“使用者超過警告等級時記錄事件(V)” 打勾
九、遠端會話策略
預設情況下,遠端桌面服務允許使用者從遠端桌面服務會話斷開連線,而不用登出和結束會話。啟用此策略設定,則達到指定時間後將從伺服器中刪除已斷開連線的會話
進入執行——gpedit。msc——計算機配置——管理模板——wondows元件——遠端服務——遠端桌面會話主機——會話時間限制
“設定已中斷會話的時間限制”設定為“已啟用”
“結束已斷開連線的會話”設定為“5分鐘”
十、
強制啟用SSL
當為伺服器進行遠端管理時,應採取必要措施,防止鑑別資訊在網路傳輸過程中被竊聽。
開啟“執行-輸入命令 【gpedit。msc】-本地組策略編輯器—計算機配置—管理模板—windows 元件—遠端桌面服務—遠端桌面會話主機—安全
啟用“設定客戶端連線加密級別”,將加密等級設定為高階。
啟用“遠端(RDP)連線要求使用指定的安全層”安全層選擇SSL。
維護系統的安全以及業務的穩定執行,這些步驟必不可少,各位伺服器管理員務必重視,安全不怕做多,就怕做少。這些都是常用的操作維護系統的安全,當然也有其它方面的安全性需要鞏固的
以上便是運維平常使用的系統鞏固方法,也是最簡單實用的了。
希望今天的分享可以幫助到你們~我是艾西我們下期再見!