如何提高windows 服務(wù)器安全性 知乎

1)、禁用Guest賬號(hào)在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼。

創(chuàng)新互聯(lián)公司專注于比如網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供比如營(yíng)銷型網(wǎng)站建設(shè)，比如網(wǎng)站制作、比如網(wǎng)頁設(shè)計(jì)、比如網(wǎng)站官網(wǎng)定制、微信平臺(tái)小程序開發(fā)服務(wù)，打造比如網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供比如網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

2)、限制不必要的用戶 去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。

3)、創(chuàng)建兩個(gè)管理員賬號(hào)創(chuàng)建一個(gè)一般權(quán)限用戶用來收信以及處理一些日常事物，另一個(gè)擁有Administrator權(quán)限的用戶只在需要的時(shí)候使用。

4)、把系統(tǒng)Administrator賬號(hào)改名Windows XP的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。

5)、創(chuàng)建一個(gè)陷阱用戶創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。

6)、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶 不要把共享文件的用戶設(shè)置成“Everyone”組，包括打印共享，默認(rèn)的屬性就是“Everyone”組的。

7)、不讓系統(tǒng)顯示上次登錄的用戶名 打開注冊(cè)表編輯器并找到注冊(cè)表項(xiàng)HKLMSoftwaremicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把鍵值改成1。

8)、系統(tǒng)賬號(hào)/共享列表 Windows XP的默認(rèn)安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號(hào)/共享列表，這個(gè)本來是為了方便局域網(wǎng)用戶共享文件的，但是一個(gè)遠(yuǎn)程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。可以通過更改注冊(cè)表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止139空連接，還可以在Windows XP的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項(xiàng)RestrictAnonymous（匿名連接的額外限制）

維護(hù)機(jī)房設(shè)備時(shí)，應(yīng)首先檢查什么？如何保證自身安全?

給你一個(gè)全面的，我們以前給別人建機(jī)房時(shí)用的。　

一、機(jī)房人員日常行為準(zhǔn)則

1、必須注意環(huán)境衛(wèi)生。禁止在機(jī)房?jī)?nèi)吃食物、抽煙、隨地吐痰；對(duì)于意外或工作過程中弄污機(jī)房地板和其它物品的，必須及時(shí)采取措施清理干凈，保持機(jī)房無塵潔凈環(huán)境。

2、必須注意個(gè)人衛(wèi)生。工作人員儀表、穿著要整齊、談吐文雅、舉止大方。

3、機(jī)房用品要各歸其位，不能隨意亂放。

4、機(jī)房應(yīng)安排人員值日，負(fù)責(zé)機(jī)房的日常整理和行為督導(dǎo)。

5、進(jìn)出機(jī)房按要求必須換鞋，雨具、鞋具等物品要按位擺放整齊。

6、注意檢查機(jī)房的防曬、防水、防潮，維持機(jī)房環(huán)境通爽，注意天氣對(duì)機(jī)房的影響，下雨天時(shí)應(yīng)及時(shí)主動(dòng)檢查和關(guān)閉窗戶、檢查去水通風(fēng)等設(shè)施。

7、機(jī)房?jī)?nèi)部不應(yīng)大聲喧嘩、注意噪音/音響音量控制、保持安靜的工作環(huán)境。

8、堅(jiān)持每天下班之前將桌面收拾干凈、物品擺放整齊。

二、機(jī)房保安制度

1、出入機(jī)房應(yīng)注意鎖好防盜門。對(duì)于有客人進(jìn)出機(jī)房，機(jī)房相關(guān)的工作人員應(yīng)負(fù)責(zé)該客人的安全防范工作。最后離開機(jī)房的人員必須自覺檢查和關(guān)閉所有機(jī)房門窗、鎖定防盜裝置。應(yīng)主動(dòng)拒絕陌生人進(jìn)出機(jī)房。

2、工作人員離開工作區(qū)域前，應(yīng)保證工作區(qū)域內(nèi)保存的重要文件、資料、設(shè)備、數(shù)據(jù)處于安全保護(hù)狀態(tài)。如檢查并鎖上自己工作柜枱、鎖定工作電腦、并將桌面重要資料和數(shù)據(jù)妥善保存等等。

3、工作人員、到訪人員出入應(yīng)登記。

4、外來人員進(jìn)入必須有專門的工作人員全面負(fù)責(zé)其行為安全。

5、未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)，禁止將機(jī)房相關(guān)的鑰匙、密碼透露給其它人員，同時(shí)有責(zé)任對(duì)信息保密。對(duì)于遺失物品的情況要即時(shí)上報(bào)，并積極主動(dòng)采取措施保證機(jī)房安全。

6、機(jī)房人員對(duì)機(jī)房安全制度上的漏洞和不完善的地方有責(zé)任及時(shí)提出改善建議。

7、禁止帶領(lǐng)與機(jī)房工作無關(guān)的人員進(jìn)出機(jī)房。

8、絕不允許與機(jī)房工作無關(guān)的人員直接或間接操縱機(jī)房任何設(shè)備。

9、出現(xiàn)機(jī)房盜竊、破門、火警、水浸、110報(bào)警等嚴(yán)重事件時(shí)，機(jī)房工作人員有義務(wù)以最快的速度和最短的時(shí)間到達(dá)現(xiàn)場(chǎng)，協(xié)助處理相關(guān)的事件。

三、機(jī)房用電安全制度

1、機(jī)房人員應(yīng)學(xué)習(xí)常規(guī)的用電安全操作和知識(shí)，了解機(jī)房?jī)?nèi)部的供電、用電設(shè)施的操作規(guī)程。

2、機(jī)房人員應(yīng)經(jīng)常實(shí)習(xí)、掌握機(jī)房用電應(yīng)急處理步驟、措施和要領(lǐng)。

3、機(jī)房應(yīng)安排有專業(yè)資質(zhì)的人員定期檢查供電、用電設(shè)備、設(shè)施。

4、不得亂拉亂接電線，應(yīng)選用安全、有保證的供電、用電器材。

5、在真正接通設(shè)備電源之前必須先檢查線路、接頭是否安全連接以及設(shè)備是否已經(jīng)就緒、人員是否已經(jīng)具備安全保護(hù)。

6、嚴(yán)禁隨意對(duì)設(shè)備斷電、更改設(shè)備供電線路，嚴(yán)禁隨意串接、并接、搭接各種供電線路。

7、如發(fā)現(xiàn)用電安全隱患，應(yīng)即時(shí)采取措施解決，不能解決的必須及時(shí)向相關(guān)負(fù)責(zé)人員提出解決。

8、機(jī)房人員對(duì)個(gè)人用電安全負(fù)責(zé)。外來人員需要用電的，必須得到機(jī)房管理人員允許，并使用安全和對(duì)機(jī)房設(shè)備影響最少的供電方式。

9、機(jī)房工作人員需要離開當(dāng)前用電工作環(huán)境，應(yīng)檢查并保證工作環(huán)境的用電安全。

10、最后離開機(jī)房的工作人員，應(yīng)檢查所有用電設(shè)備，應(yīng)關(guān)閉長(zhǎng)時(shí)間帶電運(yùn)作可能會(huì)產(chǎn)生嚴(yán)重后果的用電設(shè)備。

11、禁止在無人看管下在機(jī)房中使用高溫、熾熱、產(chǎn)生火花的用電設(shè)備。

12、在使用功率超過特定瓦數(shù)的用電設(shè)備前，必須得到上級(jí)主管批準(zhǔn)，并在保證線路保險(xiǎn)的基礎(chǔ)上使用。

13、在危險(xiǎn)性高的位置應(yīng)張貼相應(yīng)的安全操作方法、警示以及指引，實(shí)際操作時(shí)應(yīng)嚴(yán)格執(zhí)行。

14、在外部供電系統(tǒng)停電時(shí)，機(jī)房工作人員應(yīng)全力配合完成停電應(yīng)急工作。

15、應(yīng)注意節(jié)約用電。

四、機(jī)房消防安全制度

1、機(jī)房工作人員應(yīng)熟悉機(jī)房?jī)?nèi)部消防安全操作和規(guī)則，了解消防設(shè)備操作原理、掌握消防應(yīng)急處理步驟、措施和要領(lǐng)。

2、任何人不能隨意更改消防系統(tǒng)工作狀態(tài)、設(shè)備位置。需要變更消防系統(tǒng)工作狀態(tài)和設(shè)備位置的，必須取得主管領(lǐng)導(dǎo)批準(zhǔn)。工作人員更應(yīng)保護(hù)消防設(shè)備不被破壞。

3、應(yīng)定期進(jìn)行消防演習(xí)、消防常識(shí)培訓(xùn)、消防設(shè)備使用培訓(xùn)。

4、如發(fā)現(xiàn)消防安全隱患，應(yīng)即時(shí)采取措施解決，不能解決的應(yīng)及時(shí)向相關(guān)負(fù)責(zé)人員提出解決。

5、應(yīng)嚴(yán)格遵守張貼于相應(yīng)位置的操作和安全警示及指引。

6、最后離開的機(jī)房工作人員，應(yīng)檢查消防設(shè)備的工作狀態(tài)，關(guān)閉將會(huì)帶來消防隱患的設(shè)備，采取措施保證無人狀態(tài)下的消防安全。

五、機(jī)房用水制度

1、禁止將供水管道和設(shè)施安裝在機(jī)房?jī)?nèi)。

2、應(yīng)格遵守張貼于相應(yīng)位置的安全操作、警示以及安全指引。

六、機(jī)房硬件設(shè)備安全使用制度

1、機(jī)房人員必須熟知機(jī)房?jī)?nèi)設(shè)備的基本安全操作和規(guī)則。

2、應(yīng)定期檢查、整理硬件物理連接線路，定期檢查硬件運(yùn)作狀態(tài)（如設(shè)備指示燈、儀表），定期調(diào)閱硬件運(yùn)作自檢報(bào)告，從而及時(shí)了解硬件運(yùn)作狀態(tài)。

3、禁止隨意搬動(dòng)設(shè)備、隨意在設(shè)備上進(jìn)行安裝、拆卸硬件、或隨意更改設(shè)備連線、禁止隨意進(jìn)行硬件復(fù)位。

4、禁止在服務(wù)器上進(jìn)行試驗(yàn)性質(zhì)的配置操作，需要對(duì)服務(wù)器進(jìn)行配置，應(yīng)在其它可進(jìn)行試驗(yàn)的機(jī)器上調(diào)試通過并確認(rèn)可行后，才能對(duì)服務(wù)器進(jìn)行準(zhǔn)確的配置。

5、對(duì)會(huì)影響到全局的硬件設(shè)備的更改、調(diào)試等操作應(yīng)預(yù)先發(fā)布通知，并且應(yīng)有充分的時(shí)間、方案、人員準(zhǔn)備，才能進(jìn)行硬件設(shè)備的更改。

6、對(duì)重大設(shè)備配置的更改，必須首先形成方案文件，經(jīng)過討論確認(rèn)可行后，由具備資格的技術(shù)人員進(jìn)行更改和調(diào)整，并應(yīng)做好詳細(xì)的更改和操作記錄。對(duì)設(shè)備的更改、升級(jí)、配置等操作之前，應(yīng)對(duì)更改、升級(jí)、配置所帶來的負(fù)面后果做好充分的準(zhǔn)備，必要時(shí)需要先準(zhǔn)備好后備配件和應(yīng)急措施。

7、不允許任何人在服務(wù)器、交換設(shè)備等核心設(shè)備上進(jìn)行與工作范圍無關(guān)的任何操作。未經(jīng)上級(jí)允許，更不允許他人操作機(jī)房?jī)?nèi)部的設(shè)備，對(duì)于核心服務(wù)器和設(shè)備的調(diào)整配置，更需要小組人員的共同同意后才能進(jìn)行。

8、要注意和落實(shí)硬件設(shè)備的維護(hù)保養(yǎng)措施。

如何提高FTP服務(wù)器安全性

FTP是一種文件傳輸協(xié)議。有時(shí)我們把他形象的叫做文件交流集中地。FTP文件服務(wù)器的主要用途就是提供文件存儲(chǔ)的空間，讓用戶可以上傳或者下載所需要的文件。在企業(yè)中，往往會(huì)給客戶提供一個(gè)特定的FTP空間，以方便跟可以進(jìn)行一些大型文件的交流，如大到幾百兆的設(shè)計(jì)圖紙等等。同時(shí)，F(xiàn)TP還可以作為企業(yè)文件的備份服務(wù)器，如把數(shù)據(jù)庫等關(guān)鍵應(yīng)用在FTP服務(wù)器上實(shí)現(xiàn)異地備份等等。

可見，F(xiàn)TP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的。真是因?yàn)槠涔δ苋绱说膹?qiáng)大，所以，很多黑客、病毒也開始關(guān)注他了。他們企圖通過FTP服務(wù)器為跳板，作為他們傳播木馬、病毒的源頭。同時(shí)，由于FTP服務(wù)器上存儲(chǔ)著企業(yè)不少有價(jià)值的內(nèi)容。在經(jīng)濟(jì)利益的誘惑下，F(xiàn)TP服務(wù)器也就成為了別人攻擊的對(duì)象。

在考慮FTP服務(wù)器安全性工作的時(shí)候，第一步要考慮的就是誰可以訪問FTP服務(wù)器。在Vsftpd服務(wù)器軟件中，默認(rèn)提供了三類用戶。不同的用戶對(duì)應(yīng)著不同的權(quán)限與操作方式。

一類是Real帳戶。這類用戶是指在FTP服務(wù)上擁有帳號(hào)。當(dāng)這類用戶登錄FTP服務(wù)器的時(shí)候，其默認(rèn)的主目錄就是其帳號(hào)命名的目錄。但是，其還可以變更到其他目錄中去。如系統(tǒng)的主目錄等等。

第二類帳戶實(shí)Guest用戶。在FTP服務(wù)器中，我們往往會(huì)給不同的部門或者某個(gè)特定的用戶設(shè)置一個(gè)帳戶。但是，這個(gè)賬戶有個(gè)特點(diǎn)，就是其只能夠訪問自己的主目錄。服務(wù)器通過這種方式來保障FTP服務(wù)上其他文件的安全性。這類帳戶，在Vsftpd軟件中就叫做Guest用戶。擁有這類用戶的帳戶，只能夠訪問其主目錄下的目錄，而不得訪問主目錄以外的文件。

在組建FTP服務(wù)器的時(shí)候，我們就需要根據(jù)用戶的類型，對(duì)用戶進(jìn)行歸類。默認(rèn)情況下，Vsftpd服務(wù)器會(huì)把建立的所有帳戶都?xì)w屬為Real用戶。但是，這往往不符合企業(yè)安全的需要。因?yàn)檫@類用戶不僅可以訪問自己的主目錄，而且，還可以訪問其他用戶的目錄。這就給其他用戶所在的空間 帶來一定的安全隱患。所以，企業(yè)要根據(jù)實(shí)際情況，修改用戶雖在的類別。

修改方法：第一步：修改/etc/Vsftpd/vsftpd.conf文件。

默認(rèn)情況下，只啟用了Real與Anonymous兩類用戶。若我們需要啟用Guest類用戶的時(shí)候，就需要把這個(gè)選項(xiàng)啟用。修改/etc/Vsftpd/vsftpd.conf文件，把其中的chroot_list_enable=YES這項(xiàng)前面的注釋符號(hào)去掉。去掉之后，系統(tǒng)就會(huì)自動(dòng)啟用Real類型的帳戶。

第二步：修改/etc/vsftpd.conf文件。

若要把某個(gè)FTP服務(wù)器的帳戶歸屬為Guest帳戶，則就需要在這個(gè)文件中添加用戶。通常情況下，F(xiàn)TP服務(wù)器上沒有這個(gè)文件，需要用戶手工的創(chuàng)建。利用VI命令創(chuàng)建這個(gè)文件之后，就可以把已經(jīng)建立的FTP帳戶加入到這個(gè)文件中。如此的話，某個(gè)帳戶就屬于Real類型的用戶了。他們登錄到FTP服務(wù)器后，只能夠訪問自己的主目錄，而不能夠更改主目錄。

第三步：重新啟動(dòng)FTP服務(wù)器。

按照上述步驟配置完成后，需要重新啟動(dòng)FTP服務(wù)器，其配置才能夠生效。我們可以重新啟動(dòng)服務(wù)器，也可以直接利用Restart命令來重新啟動(dòng)FTP服務(wù)。

在對(duì)用戶盡心分類的時(shí)候，筆者有幾個(gè)善意的提醒。

一是盡量采用Guest類型的用戶，而減少Real類行的用戶。一般我們?cè)诮TP帳戶的時(shí)候，用戶只需要訪問自己的主目錄下的文件即可。當(dāng)給某個(gè)用戶的權(quán)限過大時(shí)，會(huì)對(duì)其他用戶文件的安全產(chǎn)生威脅。

在以下幾種情況下，我們要禁止這些賬戶訪問FTP服務(wù)器，以提高服務(wù)器的安全。

一是某些系統(tǒng)帳戶。如ROOT帳戶。這個(gè)賬戶默認(rèn)情況下是Linxu系統(tǒng)的管理員帳戶，其對(duì)系統(tǒng)具有最高的操作與管理權(quán)限。若允許用戶以這個(gè)賬戶為賬戶名進(jìn)行登陸的話，則用戶不但可以訪問Linux系統(tǒng)的所有資源，而且，還好可以進(jìn)行系統(tǒng)配置。這對(duì)于FTP服務(wù)器來說，顯然危害很大。所以，往往不允許用戶以這個(gè)Root等系統(tǒng)帳戶身份登陸到FTP服務(wù)器上來。

第二類是一些臨時(shí)賬戶。有時(shí)候我們出于臨時(shí)需要，為開一些臨時(shí)賬戶。如需要跟某個(gè)客戶進(jìn)行圖紙上的交流，而圖紙本身又比較大時(shí)，F(xiàn)TP服務(wù)器就是一個(gè)很好的圖紙中轉(zhuǎn)工具。在這種情況下，就需要為客戶設(shè)立一個(gè)臨時(shí)賬戶。這些賬戶用完之后，一般就加入到了黑名單。等到下次需要再次用到的時(shí)候，再啟用他。

在vstftpd服務(wù)器中，要把某些用戶加入到黑名單，也非常的簡(jiǎn)單。在Vsftpd軟件中，有一個(gè)/etc/vsftpd.user_lise配置文件。這個(gè)文件就是用來指定哪些賬戶不能夠登陸到這個(gè)服務(wù)器。我們利用vi命令查看這個(gè)文件，通常情況下，一些系統(tǒng)賬戶已經(jīng)加入到了這個(gè)黑名單中。FTP服務(wù)器管理員要及時(shí)的把一些臨時(shí)的或者不再使用的帳戶加入到這個(gè)黑名單中。從而才可以保證未經(jīng)授權(quán)的賬戶訪問FTP服務(wù)器。在配置后，往往不需要重新啟動(dòng)FTP服務(wù)，配置就會(huì)生效。

不過，一般情況下，不會(huì)影響當(dāng)前會(huì)話。也就是說，管理員在管理FTP服務(wù)器的時(shí)候，發(fā)現(xiàn)有一個(gè)非法賬戶登陸到了FTP服務(wù)器。此時(shí)，管理員馬上把這個(gè)賬戶拉入黑名單。但是，因?yàn)檫@個(gè)賬戶已經(jīng)連接到FTP服務(wù)器上，所以，其當(dāng)前的會(huì)話不會(huì)受到影響。當(dāng)其退出當(dāng)前會(huì)話，下次再進(jìn)行連接的時(shí)候，就不允許其登陸FTP服務(wù)器了。所以，若要及時(shí)的把該賬戶禁用掉的話，就需要在設(shè)置好黑名單后，手工的關(guān)掉當(dāng)前的會(huì)話。

對(duì)于一些以后不再需要使用的帳戶時(shí)，管理員不需要把他加入黑名單，而是直接刪除用戶為好。同時(shí)，在刪除用戶的時(shí)候，要記得把用戶對(duì)應(yīng)的主目錄也一并刪除。不然主目錄越來越多，會(huì)增加管理員管理的工作量。在黑名單中，只保留那些將來可能利用的賬戶或者不是用作FTP服務(wù)器登陸的賬戶。這不但可以減少服務(wù)器管理的工作量，而且，還可以提高FTP服務(wù)器的安全性。

在系統(tǒng)默認(rèn)配置下，匿名類型的用戶只可以下載文件，而不能夠上傳文件。雖然這不是我們推薦的配置，但是，有時(shí)候出于一些特殊的需要，確實(shí)要開啟這個(gè)功能。如筆者以前在企業(yè)中，利用這個(gè)功能實(shí)現(xiàn)了對(duì)用戶終端文件進(jìn)行備份的功能。為了設(shè)置的方便，就在FTP服務(wù)器上開啟了匿名訪問，并且允許匿名訪問賬戶網(wǎng)某個(gè)特定的文件夾中上傳某個(gè)文件。

筆者再次重申一遍，一般情況下，是不建議用戶開啟匿名賬戶的文件上傳功能。因?yàn)楹茈y保證匿名賬戶上傳的文件中，不含有一些破壞性的程序，如病毒或者木馬等等。有時(shí)候，雖然開啟了這個(gè)功能，但是往往會(huì)在IP上進(jìn)行限制。如只允許企業(yè)內(nèi)部IP可以進(jìn)行匿名訪問并上傳文件，其他賬戶則不行。如此的話，可以防止外部用戶未經(jīng)授權(quán)匿名訪問企業(yè)的FTP服務(wù)器。若用戶具有合法的賬戶，就可以在外網(wǎng)中登陸到FTP服務(wù)器上。

總之，在FTP服務(wù)器安全管理上，主要關(guān)注三個(gè)方面的問題。一是未經(jīng)授權(quán)的用戶不能往FTP空間上上傳文件；二是用戶不得訪問未經(jīng)授權(quán)的目錄，以及對(duì)這些目錄的文件進(jìn)行更改，包括刪除與上傳；三是FTP服務(wù)器本身的穩(wěn)定性。以上三個(gè)問題中的前兩部分內(nèi)容，都可以通過上面的三個(gè)方法有效的解決。

Windows 的服務(wù)器安全加固方案

因?yàn)镮IS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個(gè)安全的Web服務(wù)器，是很多人關(guān)心的話題。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows 2003的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的`第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對(duì)服務(wù)器進(jìn)行安全加固，以免遭到黑客的攻擊，造成嚴(yán)重的后果。

我們通過以下幾個(gè)方面對(duì)您的系統(tǒng)進(jìn)行安全加固：

1. 系統(tǒng)的安全加固：我們通過配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

系統(tǒng)的安全加固：

1.目錄權(quán)限的配置：

1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對(duì)其下的子目錄作單獨(dú)的目錄權(quán)限，如果WEB站點(diǎn)目錄，你要為其目錄權(quán)限分配一個(gè)與之對(duì)應(yīng)的匿名訪問帳號(hào)并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅(jiān)固，可以分配只讀權(quán)限并對(duì)特殊的目錄作可寫權(quán)限。

1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個(gè)隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個(gè)配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

1.5 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號(hào)拒絕訪問。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫。

2.組策略配置:

在用戶權(quán)利指派下，從通過網(wǎng)絡(luò)訪問此計(jì)算機(jī)中刪除Power Users和Backup Operators;

啟用不允許匿名訪問SAM帳號(hào)和共享;

啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設(shè)置:

開始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對(duì)象訪問失敗

審核過程跟蹤 無審核

審核目錄服務(wù)訪問失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

注：在設(shè)置審核登陸事件時(shí)選擇記失敗，這樣在事件查看器里的安全日志就會(huì)記錄登陸失敗的信息。

當(dāng)前文章：如何提高服務(wù)器機(jī)房安全性 服務(wù)器機(jī)房一般需要怎么維護(hù)
路徑分享：http://www.chinadenli.net/article18/dddjegp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機(jī)網(wǎng)站建設(shè)、App設(shè)計(jì)、搜索引擎優(yōu)化、網(wǎng)站設(shè)計(jì)公司、服務(wù)器托管、品牌網(wǎng)站設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)