如何设置Windows服务器安全设置
为芦山等地区用户提供了全套网页设计制作服务,及芦山网站建设行业解决方案。主营业务为成都网站建设、成都做网站、芦山网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!
一、取消文件夹隐藏共享在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。二、禁止建立空连接打开注册表编辑器,进入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。三、删掉不必要的.协议对于服务器来说,只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。四、禁用不必要的服务:Automatic Updates(自动更新下载)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(远程修改注册表)Server(文件共享)Task Scheduler(计划任务)TCP/IP NetBIOS HelperThemes(桌面主题)Windows AudioWindows TimeWorkstation五、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位),然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性六、把Guest及其它不用的账号禁用有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。七、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。八、如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。(或者更改文件名)
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打开审核策略Windows默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核策略更改:成功或失败登录事件:成功和失败对象访问:失败事件过程追踪:根据需要选用目录服务访问:失败事件特权使用:失败事件系统事件:成功和失败账户登录事件:成功和失败账户管理:成功和失败十、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门.最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的。
安全组 是一个ECS的重要安全设置,但对小白用户来说却很难理解其中晦涩难懂的专业术语。websoft9在此介绍个人的理解:
阿里云官方解释 :安全组是一种虚拟防火墙,用于设置单台或多台云服务器的网络访问控制,它是重要的网络安全隔离手段,用于在云端划分安全域。每个实例至少属于一个安全组,在创建的时候就需要指定。
注解:简单理解:服务器什么端口(服务)可以被访问,什么端口可以被封锁
例子:服务器80端口是用来提供http服务,如果服务器部署了网站,而没有开放80端口,这个网站肯定访问不了,http: //ip 是打不开的。
这是很常见的问题,用户第一感觉就是购买的服务器有问题或购买的镜像用不了。
远程连接(SSH)Linux 实例和远程桌面连接 Windows 实例可能会失败。
远程 ping 该安全组下的 ECS 实例的公网 IP 和内网 IP 可能会失败。
HTTP 访问该安全组下的 ECS 实例暴漏的 Web 服务可能会失败。
该安全组下 ECS 实例可能无法通过内网访问同地域(或者同 VPC)下的其他安全组下的 ECS 实例。
该安全组下 ECS 实例可能无法通过内网访问同地域下(或者同 VPC)的其他云服务。
该安全组下 ECS 实例可能无法访问 Internet 服务。
当用户购买一个新的服务器的时候,阿里云会提醒选择安全组,对于一部分入门用户来说,第一感觉就是选择一个等级比较高的安全组,这样更为保险。实际上,等级越高,开放的端口越少。甚至连80端口、21端口都被封锁了,导致服务器ping不通、http打不开。这样最常见的访问都无法进行,用户第一感觉就是购买的服务器有问题或购买的镜像用不了。
在Websoft9客服工作中统计发现,96%的用户浏览器http://公网IP 打不开首页,都是因为安全组的设置关闭了80端口所导致。
第一,找到对应的实例,通过安全组配置选项进入设置。
第二,点击“配置规则”,进入安全组规则设置。
小鸟云服务器配备纯SSD架构打造的高性能存储,旨在为用户提供优质、高效、弹性伸缩的云计算服务。
安全策略:设置各种与服务器通过网络通讯的权限和通讯规则的管理。 如:允许或禁止某个IP通过某种协议访问本服务器某个端口(这是由安全策略里的“IP筛选器表”来设定和管理),通讯时是否要验证,通过什么方式和加密手段验证(这些是通过“筛选器操作”来设定和管理)。 打开方式:控制面板 - 管理工具 - 本地安全策略 - IP安全策略 本地计算机 使用举例:让指定IP(IP1)(段)可以访问本机(HOST)上的SQLSERVER(1433端口),其它IP不允许连接。 步骤1:建立两个IP筛选器,一个是从HOST上的1433到IP1上任何端口的(镜像的)筛选器,命名为SQL SERVER ALLOWED IPs;另一个是HOS上的1433到任何IP任何端口的(镜像的)筛选器,命名为SQL SERVER DENIED IPs; 步骤2:建立至少两个筛选操作,一个是“允许”,一个是“阻止”; *以上两个步骤通过右击空白-管理IP筛选器表和筛选器操作来完成. 步骤3:右击空白-创建IP安全策略:点“添加”来添加两条规则。1)选择筛选器SQL SERVER DENIED IPs,对应选择“阻止”操作; 2)选择筛选器SQL SERVER ALLOWED IPs,对应选择“允许”操作。这样,策略就建好了。 步骤4:右击策略-指派。只有指派了的策略才会生效
设置安全策略:“控制面板”——〉“管理工具”——〉“本地安全策略”选择IP安全策略—创建IP安全策略—建立名称—默认下一步中国_网管联盟OK建立新的策略完成选择你新建的策略–属性然后填加下一步中国网管联盟选择WIN2000默认值(KerberosV5协议)继续下一步选择是选择所有IP通讯继续下一步完成选中“所有IP通讯”——〉点“编辑”按钮,打开“IP筛选器列表”——〉继续点“编辑”按钮,打开“筛选器属性”完成上面配置后在你刚配置的策略有键指派验证安全策略指派“控制面板”——〉“网络和拨号连接”——〉选中本机使用的网卡,比如“本地连接”——〉双击打开“属性”——〉选中“Internet协议(TCP/IP)”,打开其“属性”——〉“高级”看到“高级TCP/IP设置”——〉选中“选项”标签——〉选中“IP安全机制”——〉打开其“属性”中国网管论坛——〉“使用此IP安全策略”的下拉框中选中是否就是刚才设置的“SQL1433”配置完成后重新启动机器。方法二:局域网内找一个机器(非本机),在dos控制台下,输入telnetEP服务器IP1433如果安全策略应用成功的话,应该不能够连接,会出现如下的话:正在连接到xxxxxxx无法打开到主机的连接在端口:连接失败。
