灌溉梦想,记录脚步
« »
2008年9月19日技术合集

windows server 2003安全设置和管理

一,用户管理
重命名超级管理员名称,设置复杂密码,密码设置原则是7位以上不易于猜解,不提倡过于复杂的密码,不易于管理。禁用来宾帐户,新建远程账号,给予远程登录权限以及其他的一些较低权限,远程管理时进行切换。
二,权限管理
在磁盘管理以及IIS设置NTFS权限时以最小权限为原则,静态网站只是给予读取权限,动态网站给予运行权限,需要写入权限时个别添加,如数据库,要单独给数据库设置,这样较为安全。
三,远程管理
Windows Service 2003 远程端口默认的是3389要对这个进行修改,在注册表中修改,详细方法暂不叙述,另外有时无法弹出登录窗口,这个是由于远程连接固有的漏洞,以及可能是由于系统太大引起,要是这样,可以多等会。
当遇到终端连接数超出时,可以用在运行中输入以下命令连接:
“mstsc /console /v:10.0.0.110:3389“回车即可。
另外在远程时,原则上不允许打开网站,一则是这样会增大数据传输量造成连接速度慢,二则是容易因为浏览不安全的网站感染病毒,这样很不安全。
四,杀毒管理
安装杀毒软件后,要设置自动升级,并且要定期全面杀毒,一旦遇到杀毒软件不正常,则可能已经感染病毒,此时不要急于重新安装杀毒软件或者是安装其他杀毒软件,要根据系统症状在网上调查下,对症下药。
感染病毒后,首先查看任务管理器,看是否有异常进程,若有,则用相关软件查到可执行文件路径,而后删除,并清除辅助文件和对应的注册表项,若无,则是被插入了dll文件,这样可以和找可执行文件一样,一般在C盘中搜索最近修改的文件,找到dll文件后,可以在运行中输入“regvr32 –u 文件名.dll“这样便卸载了,然后删除,不然删除不掉,这些是简单方法,一般是寻找专杀,现在针对网络攻击的,如arp攻击已经不再使用常规方法感染,它使用映像劫持和驱动更新技术,上述方法已经不能完全清除,可以通过寻找sys结尾的可以文件清除,查到这类异常文件清除。
五,日志分析
日志是分析系统故障和入侵的基础,在计算机管理中可以看到,但是日志很多,对我们有用的信息很少,这样查找效率比较低,我们可以通过工具MyEventVieweren查找。另外对日志保护异常重要,一定要注意日志的权限设置。
六,安全策略
安全策略可以使用导入和导出的方法设置,这样最快,下面是设置内容:
开始菜单->管理工具->本地安全策略
  A、本地策略–>审核策略
  审核策略更改   成功 失败  
  审核登录事件   成功 失败
  审核对象访问      失败
  审核过程跟踪   无审核
  审核目录服务访问    失败
  审核特权使用      失败
  审核系统事件   成功 失败
  审核账户登录事件 成功 失败
  审核账户管理   成功 失败
B、本地策略–>用户权限分配
  关闭系统:只有Administrators组、其它全部删除。
  通过终端服务拒绝登陆:加入Guests组
  通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除
C、本地策略–>安全选项
  交互式登陆:不显示上次的用户名       启用
  网络访问:不允许SAM帐户和共享的匿名枚举   启用
  网络访问:不允许为网络身份验证储存凭证   启用
  网络访问:可匿名访问的共享         全部删除
  网络访问:可匿名访问的命          全部删除
  网络访问:可远程访问的注册表路径      全部删除
  网络访问:可远程访问的注册表路径和子路径  全部删除
  帐户:重命名来宾帐户           重命名一个帐户
  帐户:重命名系统管理员帐户        重命名一个帐户
D、账户策略–>账户锁定策略
将账户设为“5次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”
七,关于黑客入侵
发现黑客入侵后,要立即寻找隐藏账号,在计算机管理中和注册表中的SAM目录下寻找,若找到马上删除,之后,寻找灰鸽子之类的后门,先用“netstat –abn“查看,可以看到端口和对应的可执行文件,可以找到是否有灰鸽子之类的后门,若有,结束进程并删除,这时应该分析日志,提取证据和查看系统破坏情况,并在磁盘中查找最近修改的exe,bat,dll,sys扩展名文件,查到后检查下,若是异常立即删除,在上述工作结束后,复查下并做好监控,最后进行全盘杀毒。
八,IIS管理
IIS的管理主要是权限设置和匿名账号访问,匿名账号一般是IUSR_计算机名字,注意不要试图加密,这样影响站点访问,关于IIS中的权限设置,推荐以下方法:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。

日志信息 »

该日志于2008-09-19 10:49由 kevin 发表在技术合集分类下, 你可以发表评论。除了可以将这个日志以保留源地址及作者的情况下引用到你的网站或博客,还可以通过RSS 2.0订阅这个日志的所有评论。

发表回复