服務(wù)器安全基線怎么設(shè)置 服務(wù)器上的安全

華三交換機(jī)基線配置

H3C交換機(jī)安全配置基線H3C交換機(jī)安全配置基線（Version 1.0）2012年12月1 引言 (1)2 適用范圍 (1)3 縮略語(yǔ) (1)4 安全基線要求項(xiàng)命名規(guī)則 (2)5 文檔使用說明 (2)6 注意事項(xiàng) (3)7 安全配置要求 (3)7.1 賬號(hào)管理 (3)7.1.1 運(yùn)維賬號(hào)共享管理 (3)7.1.2 刪除與工作無關(guān)賬號(hào) (3)7.2 口令管理 (4)7.2.1 靜態(tài)口令加密 (4)7.2.2 靜態(tài)口令運(yùn)維管理 (4)7.3 認(rèn)證管理 (5)7.3.1 RADIUS認(rèn)證（可選） (5)7.4 日志審計(jì) (6)7.4.1 RADIUS記賬（可選） (6)7.4.2 啟用信息中心 (6)7.4.3 遠(yuǎn)程日志功能 (7)7.4.4 日志記錄時(shí)間準(zhǔn)確性 (7)7.5 協(xié)議安全 (7)7.5.1 BPDU防護(hù) (8)7.5.2 根防護(hù) (8)7.5.3 VRRP認(rèn)證 (8)7.6 網(wǎng)絡(luò)管理 (9)7.6.1 SNMP協(xié)議版本 (9)7.6.2 修改SNMP默認(rèn)密碼 (9)7.6.3 SNMP通信安全（可選） (10)7.7 設(shè)備管理 (10)7.7.1 交換機(jī)帶內(nèi)管理方式 (10)7.7.2 交換機(jī)帶內(nèi)管理通信 (11)7.7.3 交換機(jī)帶內(nèi)管理超時(shí) (11)7.7.4 交換機(jī)帶內(nèi)管理驗(yàn)證 (12)7.7.5 交換機(jī)帶內(nèi)管理用戶級(jí)別 (12)7.7.6 交換機(jī)帶外管理超時(shí) (13)7.7.7 交換機(jī)帶外管理驗(yàn)證 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址數(shù) (14)7.8.3 交換機(jī)VLAN劃分 (14)7.9 其它 (15)7.9.1 交換機(jī)登錄BANNER管理 (15)7.9.2 交換機(jī)空閑端口管理 (15)7.9.3 禁用版權(quán)信息顯示 (16)附錄A 安全基線配置項(xiàng)應(yīng)用統(tǒng)計(jì)表 (17)附錄B 安全基線配置項(xiàng)應(yīng)用問題記錄表 (19)

目前創(chuàng)新互聯(lián)已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站運(yùn)營(yíng)、企業(yè)網(wǎng)站設(shè)計(jì)、武都網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

附錄C 中國(guó)石油NTP服務(wù)器列表 (20)1 引言本文檔規(guī)定了中國(guó)石油使用的H3C系列交換機(jī)應(yīng)當(dāng)遵循的交換機(jī)安全性設(shè)置標(biāo)準(zhǔn)，是中國(guó)石油安全基線文檔之一。本文檔旨在對(duì)信息系統(tǒng)的安全配置審計(jì)、加固操作起到指導(dǎo)性作用。本文檔主要起草人：靖小偉、楊志賢、張志偉、滕征岑、裴志宏、劉磊、葉銘、王勇、吳強(qiáng)。2 適用范圍本文檔適用于中國(guó)石油使用的H3C系列交換機(jī)，明確了H3C系列交換機(jī)在安全配置方面的基本要求，可作為編制設(shè)備入網(wǎng)測(cè)試、安全驗(yàn)收、安全檢查規(guī)范等文檔的參考。3 縮略語(yǔ)TCP Transmission Control Protocol 傳輸控制協(xié)議UDP User Datagram Protocol 用戶數(shù)據(jù)報(bào)協(xié)議SNMP Simple Network Management Protocol 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議ARP Address Resolution Protocol 地址解析協(xié)議VLAN Virtual LAN 虛擬局域網(wǎng)STP Spanning Tree Protocol 生成樹協(xié)議RSTP Rapid Spanning Tree Protocol 快速生成樹協(xié)議MSTP Multiple Spanning Tree Protocol 多生成樹協(xié)議BPDU Bridge Protocol Data Unit 橋接協(xié)議數(shù)據(jù)單元VRRP Virtual Router Redundancy Protocol 虛擬路由器冗余協(xié)議NTP Network Time Protocol 網(wǎng)絡(luò)時(shí)間協(xié)議AAA Authentication，Authorization，Accounting 認(rèn)證，授權(quán)，記賬GCC General Computer Controls 信息系統(tǒng)總體控制SBL Security Base Line 安全基線4 安全基線要求項(xiàng)命名規(guī)則安全基線要求項(xiàng)是安全基線的最小單位，每一個(gè)安全基線要求項(xiàng)對(duì)應(yīng)一個(gè)基本的可執(zhí)行

的安全規(guī)范明細(xì)，安全基線要求項(xiàng)命名規(guī)則為“安全基線–一級(jí)分類–二級(jí)分類–類型編號(hào)–明細(xì)編號(hào)”，如SBL-Switch-H3C-01-01，代表“安全基線–交換機(jī)– H3C –賬號(hào)類–運(yùn)維賬號(hào)共享管理“。5 文檔使用說明1 隨著信息技術(shù)發(fā)展，路由器與交換機(jī)在功能上逐漸融合，具有共同點(diǎn)，部分路由器上配有交換板卡，可以實(shí)現(xiàn)服務(wù)器與終端計(jì)算機(jī)接入；部分交換機(jī)配有路由引擎，可以實(shí)現(xiàn)路由功能。雖然兩者具有一定共同點(diǎn)，但從路由器與交換機(jī)在生產(chǎn)環(huán)境中的應(yīng)用定位出發(fā)，本系列文檔分為路由器安全基線（側(cè)重于路由協(xié)議等）和交換機(jī)安全基線（側(cè)重于局域網(wǎng)交換與端口安全等）。2 H3C交換機(jī)可以通過命令行、Web、NMS等多種方式管理，本文檔中涉及的操作，均在命令行下完成。3 命令行中需要用戶定義的名稱與數(shù)值，文檔中均以標(biāo)出，用戶根據(jù)需要自行定義。例如local-user ，表示創(chuàng)建賬號(hào)名稱為name1的本地用戶，password cipher password1，表示本地用戶name1的密碼為passowrd1。4 由于各信息系統(tǒng)對(duì)于H3C系列交換機(jī)的要求不盡相同，因此對(duì)于第7章安全配置要求中的安全基線要求項(xiàng)，各信息系統(tǒng)根據(jù)實(shí)際情況選擇性進(jìn)行配置，并填寫附錄A《安全基線配置項(xiàng)應(yīng)用統(tǒng)計(jì)表》。5 在第7章安全配置要求中，部分安全基線要求項(xiàng)提供了閾值，如“交換機(jī)帶內(nèi)管理設(shè)置登錄超時(shí)，超時(shí)時(shí)間不宜設(shè)置過長(zhǎng)，參考值為5分鐘。”，此閾值為參考值，通過借鑒GCC、中國(guó)石油企標(biāo)、國(guó)內(nèi)外大型企業(yè)信息安全最佳實(shí)踐等資料得出。各信息系統(tǒng)如因業(yè)務(wù)需求無法應(yīng)用此閾值，在附錄A《安全基線配置項(xiàng)應(yīng)用統(tǒng)計(jì)表》的備注項(xiàng)進(jìn)行說明。6 注意事項(xiàng)由于H3C系列交換機(jī)普遍應(yīng)用于重要生產(chǎn)環(huán)境，對(duì)于本文檔中安全基線要求項(xiàng)，實(shí)施前需要在測(cè)試環(huán)境進(jìn)行驗(yàn)證后應(yīng)用。在應(yīng)用安全基線配置項(xiàng)的過程中，如遇到技術(shù)性問題，填寫附錄B《安全基線配置項(xiàng)應(yīng)用問題記錄表》。在應(yīng)用安全基線配置前需要備份交換機(jī)的配置文件，以便出現(xiàn)故障時(shí)進(jìn)行

回退。7 安全配置要求7.1 賬號(hào)管理7.1.1 運(yùn)維賬號(hào)共享管理安全基線編號(hào)SBL-Switch- H3C-01-01安全基線名稱運(yùn)維賬號(hào)共享安全基線要求項(xiàng)安全基線要求按照用戶分配賬號(hào)，避免不同用戶間共享運(yùn)維賬號(hào)檢測(cè)操作參考[Switch]dis current | i local-user安全判定依據(jù)1）網(wǎng)絡(luò)管理員列出交換機(jī)運(yùn)維人員名單；2）查看dis current | i local-user結(jié)果：local-userlocal-userlocal-user3）對(duì)比命令顯示結(jié)果與運(yùn)維人員賬號(hào)名單，如果運(yùn)維人員之間不存在共享運(yùn)維賬號(hào)，表明符合安全要求。基線配置項(xiàng)重要度高中低操作風(fēng)險(xiǎn)評(píng)估高中低7.1.2 刪除與工作無關(guān)賬號(hào)安全基線編號(hào)SBL- Switch- H3C-01-02安全基線名稱賬號(hào)整改安全基線要求項(xiàng)安全基線要求刪除與工作無關(guān)的賬號(hào)，提高系統(tǒng)賬號(hào)安全檢測(cè)操作參考[Switch]dis current | i local-user安全判定依據(jù)1）網(wǎng)絡(luò)管理員列出交換機(jī)運(yùn)維人員的賬號(hào)名單；2）查看dis current | i local-user結(jié)果：local-userlocal-userlocal-user3）對(duì)比顯示結(jié)果與賬號(hào)名單，如果發(fā)現(xiàn)與運(yùn)維無關(guān)的賬號(hào)，表明不符合安全要求。備注無關(guān)賬號(hào)主要指測(cè)試賬號(hào)、共享賬號(hào)、長(zhǎng)期不用賬號(hào)（半年以上）等?；€配置項(xiàng)重要度高中低操作風(fēng)險(xiǎn)評(píng)估高中低7.2 口令管理7.2.1 靜態(tài)口令加密安全基線編號(hào)SBL- Switch- H3C-02-01安全基線名稱靜態(tài)口令加密安全基線要求項(xiàng)安全基線要求1）配置本地用戶口令使用“cipher”關(guān)鍵字2）配置super口令使用“cipher”關(guān)鍵字檢測(cè)操作參考1）[Switch]dis current | b local-user2）[Switch]dis current | i super password

安全判定依據(jù)如果顯示“cipher”關(guān)鍵字，如：1）local-userpassword cipher 密文password2）super password level cipher 密文password 表明符合安全要求?；€配置項(xiàng)重要度高中低操作風(fēng)險(xiǎn)評(píng)估高中低7.2.2 靜態(tài)口令運(yùn)維管理安全基線編號(hào)SBL- Switch- H3C-02-02安全基線名稱靜態(tài)口令運(yùn)維管理安全基線要求項(xiàng)安全基線要求1）采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令最小長(zhǎng)度不少于8個(gè)字符2）采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令生存期最長(zhǎng)為90天基線配置項(xiàng)重要度高中低7.3 認(rèn)證管理7.3.1 RADIUS認(rèn)證（可選）安全基線編號(hào)SBL- Switch- H3C-03-01安全基線名稱RADIUS認(rèn)證安全基線要求項(xiàng)安全基線要求配置RADIUS認(rèn)證，確認(rèn)遠(yuǎn)程用戶身份，判斷訪問者是否為合法的網(wǎng)絡(luò)用戶檢測(cè)操作參考1）[Switch]dis current | b radius scheme 2）[Switch]dis current | b domain3）[Switch]dis current | b user-interface vty安全判定依據(jù)如果顯示類似：1）配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2）配置域domainauthentication login radius-scheme local 3）配置本地用戶user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求。基線配置項(xiàng)重要度高中低操作風(fēng)險(xiǎn)評(píng)估高中低7.4 日志審計(jì)7.4.1 RADIUS記賬（可選）

安全基線編號(hào)SBL- Switch- H3C-04-01安全基線名稱RADIUS記賬安全基線要求項(xiàng)安全基線要求與記賬服務(wù)器配合，設(shè)備配置日志功能：1）對(duì)用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)，用戶使用的IP地址；2）對(duì)用戶設(shè)備操作進(jìn)行記錄，如賬號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改等，記錄需要包含用戶賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。檢測(cè)操作參考1）[Switch]dis current | b radius scheme2）[Switch]dis current | b domain安全判定依據(jù)如果顯示類似：1）配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2）配置域domainaccounting login radius-scheme local 表明符合安全要求?；€配置項(xiàng)重要度高中低操作風(fēng)險(xiǎn)評(píng)估高中低7.4.2 啟用信息中心安全基線編號(hào)SBL- Switch- H3C-04-02安全基線名稱信息中心啟用安全基線要求項(xiàng)安全基線要求啟用信息中心，記錄與設(shè)備相關(guān)的事件檢測(cè)操作參考[Switch]dis info-center安全判定依據(jù)如果顯示類似：Information Center: enabled 表明符合安全要求?；€配置項(xiàng)重要度高中低操作風(fēng)險(xiǎn)評(píng)估高中低7.4.3 遠(yuǎn)程日志功能安全基線編號(hào)SBL- Switch- H3C-04-03安全基線名稱遠(yuǎn)程日志功能安全基線要求項(xiàng)安全基線要求配置遠(yuǎn)程日志功能，使設(shè)備日志能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器檢測(cè)操作參考[Switch]dis current | i info-center loghost安全判定依據(jù)如果顯示類似：info-center loghost 表明符合安全要求。

￥

5

百度文庫(kù)VIP限時(shí)優(yōu)惠現(xiàn)在開通,立享6億+VIP內(nèi)容

立即獲取

H3C交換機(jī)安全配置基線

H3C交換機(jī)安全配置基線

H3C交換機(jī)安全配置基線（Version 1.0）

2012年12月

1 引言 (1)

2 適用范圍 (1)

3 縮略語(yǔ) (1)

4 安全基線要求項(xiàng)命名規(guī)則 (2)

5 文檔使用說明 (2)

6 注意事項(xiàng) (3)

7 安全配置要求 (3)

如何讓win更安全

“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計(jì)算機(jī)欣賞音樂、上網(wǎng)沖浪、運(yùn)行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全，成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓W(xué)indows Server 2003更加安全。

理解你的角色

理解服務(wù)器角色絕對(duì)是安全進(jìn)程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個(gè)服務(wù)器甚至可以被配置為上述角色的組合。

現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如，如果你的服務(wù)器將作為IIS服務(wù)器，那么你將需要開啟IIS服務(wù)。然而，如果服務(wù)器將作為獨(dú)立的文件或者打印服務(wù)器，啟用IIS服務(wù)則會(huì)帶來巨大的安全隱患。

我之所以在這里談到這個(gè)的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。

因?yàn)橛泻芏鄰?qiáng)化服務(wù)器的方法，所以我將以配置一個(gè)簡(jiǎn)單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟。我將努力指出當(dāng)服務(wù)器角色改變時(shí)你將要做的。請(qǐng)諒解這并不是一個(gè)涵蓋每種角色服務(wù)器的完全指南。

物理安全

為了實(shí)現(xiàn)真正意義上的安全，你的服務(wù)器必須被放置在一個(gè)安全的位置。通常地，這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當(dāng)重要的，因?yàn)楝F(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時(shí)候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點(diǎn)。對(duì)于任何角色的Windows Server 2003，這都是必要的。

創(chuàng)建基線

除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時(shí)候，應(yīng)該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

實(shí)現(xiàn)這一目的最好的方法是創(chuàng)建一個(gè)安全基線(security baseline)。安全基線是文檔和公認(rèn)安全設(shè)置的清單。在大多數(shù)情況下，你的基線會(huì)隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個(gè)不同的基線，以便將它們應(yīng)用到不同類型的服務(wù)器上。例如，你可以為文件服務(wù)器制定一個(gè)基線，為域控制器制定另一個(gè)基線，并為IAS服務(wù)器制定一個(gè)和前兩者都不同的基線。

windows 2003包含一個(gè)叫"安全配置與分析"的工具。這個(gè)工具讓你可以將服務(wù)器的當(dāng)前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。

安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個(gè)體模板最簡(jiǎn)單的方法是使用管理控制臺(tái)(MMC)。

要打開這個(gè)控制 臺(tái)，在RUN提示下輸入MMC命令，在控制臺(tái)加載后，選擇添加/刪除管理單元屬性命令，Windows就會(huì)顯示添加/刪除管理單元列表。點(diǎn)擊"添加"按鈕，你將會(huì)看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點(diǎn)擊添加，關(guān)閉和確認(rèn)按鈕。

在安全模板管理單元加載后，你就可以察看每一個(gè)安全模板了。在遍歷控制臺(tái)樹的時(shí)候，你會(huì)發(fā)現(xiàn)每個(gè)模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個(gè)模板的用途。例如，HISECDC模板就是一個(gè)高安全性的域控制器模板。

如果你正在安全配置一個(gè)文件服務(wù)器，我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時(shí)，你會(huì)發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全，但是不一定能滿足你的需求。某些安全設(shè)置可能過于嚴(yán)格或過于松散。我建議你修改現(xiàn)有的設(shè)置，或是創(chuàng)建一個(gè)全新的策略。通過在控制臺(tái)中右擊C:WINDOWSSecurityTemplates文件夾并在目標(biāo)菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個(gè)新的模板。

在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個(gè)安全配置與分析的管理單元。在這個(gè)管理單元加載后，右擊"安全配置與分析"容器，接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫(kù)"命令，點(diǎn)擊"打開"按鈕，你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫(kù)。

接下來，右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會(huì)看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點(diǎn)擊打開。在模板被導(dǎo)入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計(jì)算機(jī)"命令。Windows將會(huì)提示你寫入錯(cuò)誤日志的.位置，鍵入文件路徑并點(diǎn)擊"確定"。

在這樣的情況下，Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過"安全配置與分析控制臺(tái)"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。

在你可以檢查差異列表的時(shí)候，就是執(zhí)行基于模板安全策略的時(shí)候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計(jì)算機(jī)"命令。這一工具將會(huì)立即修改你計(jì)算機(jī)的安全策略，從而匹配模板策略。

組策略實(shí)際上是層次化的。組策略可以被應(yīng)用到本地計(jì)算機(jī)級(jí)別、站點(diǎn)級(jí)別、域級(jí)別和OU級(jí)別。當(dāng)你實(shí)現(xiàn)基于模板的安全之時(shí)，你正在在修改計(jì)算機(jī)級(jí)別的組策略。其他的組策略不會(huì)受到直接影響，盡管最終策略可能會(huì)反映變化，由于計(jì)算機(jī)策略設(shè)置被更高級(jí)別的策略所繼承。

修改內(nèi)建的用戶賬號(hào)

多年以來，微軟一直在強(qiáng)調(diào)最好重命名Administrator賬號(hào)并禁用Guest賬號(hào)，從而實(shí)現(xiàn)更高的安全。在Windows Server 2003中，Guest 賬號(hào)是缺省禁用的，但是重命名Administrator賬號(hào)仍然是必要的，因?yàn)楹诳屯鶗?huì)從Administrator賬號(hào)入手開始進(jìn)攻。

有很多工具通過檢查賬號(hào)的SID來尋找賬號(hào)的真實(shí)名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測(cè)Administrator賬號(hào)真實(shí)名稱的辦法。即便如此，我還是鼓勵(lì)每個(gè)人重命名Administrator 賬號(hào)并修改賬號(hào)的描述信息，有兩個(gè)原因:

首先，誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號(hào)為一個(gè)獨(dú)特的名稱讓你能更方便的監(jiān)控黑客對(duì)此賬號(hào)的進(jìn)攻。

另一個(gè)技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號(hào)，完全獨(dú)立于域中的管理 員賬號(hào)。你可以配置每個(gè)成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測(cè)出你的本地用戶名和密碼，你肯定不希望他用相同的賬號(hào)侵犯其他的服務(wù)器。當(dāng)然，如果你擁有良好的物理安全，誰也不能使用本地賬號(hào)取得你服務(wù)器的權(quán)限。

服務(wù)賬號(hào)

Windows Server 2003在某種程度上最小化服務(wù)賬號(hào)的需求。即便如此，一些第三方的應(yīng)用程序仍然堅(jiān)持傳統(tǒng)的服務(wù)賬號(hào)。如果可能的話，盡量使用本地賬號(hào)而不是域賬號(hào)作為服務(wù)賬號(hào)，因?yàn)槿绻橙宋锢砩汐@得了服務(wù)器的訪問權(quán)限，他可能會(huì)轉(zhuǎn)儲(chǔ)服務(wù)器的LSA機(jī)密，并泄露密碼。如果你使用域密碼，森林中的任何計(jì)算機(jī)都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶，密碼只能在本地計(jì)算機(jī)上使用，不會(huì)給域帶來任何威脅。

系統(tǒng)服務(wù)

一個(gè)基本原則告訴我們，在系統(tǒng)上運(yùn)行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個(gè)重要安全策略是減少運(yùn)行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時(shí)增強(qiáng)服務(wù)器的性能。

在Windows 2000中，缺省運(yùn)行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場(chǎng)。事實(shí)上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多數(shù)不是絕對(duì)必要的服務(wù)。即使如此，還是有一些有爭(zhēng)議的服務(wù)缺省運(yùn)行。

其中一個(gè)服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計(jì)簡(jiǎn)化用戶的工作。DFS允許管理員創(chuàng)建一個(gè)邏輯的區(qū)域，包含多個(gè)服務(wù)器或分區(qū)的資源。對(duì)于用戶，所有這些分布式的資源存在于一個(gè)單一的文件夾中。

我個(gè)人很喜歡DFS，尤其因?yàn)樗娜蒎e(cuò)和可伸縮特性。然而，如果你不準(zhǔn)備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強(qiáng)的安全性。在我看來，DFS的利大于弊。

另一個(gè)這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強(qiáng)制的服務(wù)，因?yàn)樗軌虮３諷YSVOL文件夾的同步。對(duì)于成員服務(wù)器來說，這個(gè)服務(wù)不是必須的，除非運(yùn)行DFS。

如果你的文件服務(wù)器既不是域控制器，也不使用DFS，我建議你禁用FRS服務(wù)。這么做會(huì)減少黑客在多個(gè)服務(wù)器間復(fù)制惡意文件的可能性。

另一個(gè)需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請(qǐng)求，并在這些請(qǐng)求下控制所有的打印工作。所有的打印操作都離不開這個(gè)服務(wù)，它也是缺省被啟用的。

不是每個(gè)服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器，你應(yīng)該禁用這個(gè)服務(wù)。畢竟，專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地，沒有人會(huì)在服務(wù)器控制臺(tái)工作，因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。

我相信通常在災(zāi)難恢復(fù)操作過程中，打印錯(cuò)誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務(wù)器上簡(jiǎn)單的關(guān)閉這一服務(wù)。

信不信由你，PSS是最危險(xiǎn)的Windows組件之一。有不計(jì)其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動(dòng)機(jī)是因?yàn)樗墙y(tǒng)級(jí)的服務(wù)，因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級(jí)別的特權(quán)。為了防止此類攻擊，還是關(guān)掉這個(gè)服務(wù)吧。

Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實(shí)得到了增強(qiáng)，尤其在安全方面，總體感覺做的還算不錯(cuò).但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server，你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.

如何設(shè)置Windows服務(wù)器安全設(shè)置

如何設(shè)置Windows服務(wù)器安全設(shè)置

一、取消文件夾隱藏共享在默認(rèn)狀態(tài)下，Windows 2000/XP會(huì)開啟所有分區(qū)的隱藏共享，從“控制面板/管理工具/計(jì)算機(jī)管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”，就可以看到硬盤上的每個(gè)分區(qū)名后面都加了一個(gè)“$”。但是只要鍵入“計(jì)算機(jī)名或者IPC$”，系統(tǒng)就會(huì)詢問用戶名和密碼，遺憾的是，大多數(shù)個(gè)人用戶系統(tǒng)Administrator的密碼都為空，入侵者可以輕易看到C盤的內(nèi)容，這就給網(wǎng)絡(luò)安全帶來了極大的隱患。

怎么來消除默認(rèn)共享呢?方法很簡(jiǎn)單，打開注冊(cè)表編輯器，進(jìn)入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個(gè)名為“AutoShareWKs”的雙字節(jié)值，并將其值設(shè)為“0”，然后重新啟動(dòng)電腦，這樣共享就取消了。關(guān)閉“文件和打印共享”文件和打印共享應(yīng)該是一個(gè)非常有用的功能，但在不需要它的時(shí)候，也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，我們可以將它關(guān)閉。用鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對(duì)話框中的兩個(gè)復(fù)選框中的鉤去掉即可。二、禁止建立空連接打開注冊(cè)表編輯器，進(jìn)入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協(xié)議對(duì)于服務(wù)器來說，只安裝TCP/IP協(xié)議就夠了。鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，再鼠標(biāo)右擊“本地連接”，選擇“屬性”，卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源，對(duì)于不需要提供文件和打印共享的主機(jī)，還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉，避免針對(duì)NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級(jí)”，進(jìn)入“高級(jí)TCP/IP設(shè)置”對(duì)話框，選擇“WINS”標(biāo)簽，勾選“禁用TCP/IP上的NETBIOS”一項(xiàng)，關(guān)閉NETBIOS。四、禁用不必要的服務(wù):Automatic Updates(自動(dòng)更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠(yuǎn)程修改注冊(cè)表)Server(文件共享)Task Scheduler(計(jì)劃任務(wù))TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦該帳戶被人利用，后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號(hào)。

首先是為Administrator帳戶設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼(個(gè)人建議至少12位)，然后我們重命名Administrator帳戶，再創(chuàng)建一個(gè)沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個(gè)帳戶真正擁有管理員權(quán)限，也就在一定程度上減少了危險(xiǎn)性六、把Guest及其它不用的賬號(hào)禁用有很多入侵都是通過這個(gè)賬號(hào)進(jìn)一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計(jì)算機(jī)給別人當(dāng)玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，單擊“高級(jí)”選項(xiàng)卡，再單擊“高級(jí)”按鈕，彈出本地用戶和組窗口。在Guest賬號(hào)上面點(diǎn)擊右鍵，選擇屬性，在“常規(guī)”頁(yè)中選中“賬戶已停用”。另外，將Administrator賬號(hào)改名可以防止黑客知道自己的管理員賬號(hào)，這會(huì)在很大程度上保證計(jì)算機(jī)安全。七、防范木馬程序

木馬程序會(huì)竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時(shí)先放到自己新建的文件夾里，再用殺毒軟件來檢測(cè)，起到提前預(yù)防的作用。

● 在“開始”→“程序”→“啟動(dòng)”或“開始”→“程序”→“Startup”選項(xiàng)里看是否有不明的運(yùn)行項(xiàng)目，如果有，刪除即可。

● 將注冊(cè)表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務(wù)，還需要對(duì)IIS服務(wù)進(jìn)行安全配置：

(1) 更改Web服務(wù)主目錄。右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

(2) 刪除原默認(rèn)安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認(rèn)安裝沒有打開任何安全審核，所以需要進(jìn)入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。系統(tǒng)提供了九類可以審核的事件，對(duì)于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對(duì)象訪問：失敗事件過程追蹤：根據(jù)需要選用目錄服務(wù)訪問：失敗事件特權(quán)使用：失敗事件系統(tǒng)事件：成功和失敗賬戶登錄事件：成功和失敗賬戶管理：成功和失敗十、安裝必要的安全軟件

我們還應(yīng)在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網(wǎng)時(shí)打開它們，這樣即便有黑客進(jìn)攻我們的安全也是有保證的。當(dāng)然我們也不應(yīng)安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統(tǒng)打上補(bǔ)丁，微軟那些沒完沒了的補(bǔ)丁還是很有用的。

名稱欄目：服務(wù)器安全基線怎么設(shè)置 服務(wù)器上的安全
文章分享：http://www.bm7419.com/article16/ddoocgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供、做網(wǎng)站、微信小程序、App開發(fā)、軟件開發(fā)、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)