windows server 2003安全设置和管理
一,用户管理
重命名超级管理员名称,设置复杂密码,密码设置原则是7位以上不易于猜解,不提倡过于复杂的密码,不易于管理。禁用来宾帐户,新建远程账号,给予远程登录权限以及其他的一些较低权限,远程管理时进行切换。
二,权限管理
在磁盘管理以及IIS设置NTFS权限时以最小权限为原则,静态网站只是给予读取权限,动态网站给予运行权限,需要写入权限时个别添加,如数据库,要单独给数据库设置,这样较为安全。
三,远程管理
Windows Service 2003 远程端口默认的是3389要对这个进行修改,在注册表中修改,详细方法暂不叙述,另外有时无法弹出登录窗口,这个是由于远程连接固有的漏洞,以及可能是由于系统太大引起,要是这样,可以多等会。
当遇到终端连接数超出时,可以用在运行中输入以下命令连接:
“mstsc /console /v:10.0.0.110:3389“回车即可。
另外在远程时,原则上不允许打开网站,一则是这样会增大数据传输量造成连接速度慢,二则是容易因为浏览不安全的网站感染病毒,这样很不安全。
四,杀毒管理
安装杀毒软件后,要设置自动升级,并且要定期全面杀毒,一旦遇到杀毒软件不正常,则可能已经感染病毒,此时不要急于重新安装杀毒软件或者是安装其他杀毒软件,要根据系统症状在网上调查下,对症下药。
感染病毒后,首先查看任务管理器,看是否有异常进程,若有,则用相关软件查到可执行文件路径,而后删除,并清除辅助文件和对应的注册表项,若无,则是被插入了dll文件,这样可以和找可执行文件一样,一般在C盘中搜索最近修改的文件,找到dll文件后,可以在运行中输入“regvr32 –u 文件名.dll“这样便卸载了,然后删除,不然删除不掉,这些是简单方法,一般是寻找专杀,现在针对网络攻击的,如arp攻击已经不再使用常规方法感染,它使用映像劫持和驱动更新技术,上述方法已经不能完全清除,可以通过寻找sys结尾的可以文件清除,查到这类异常文件清除。
五,日志分析
日志是分析系统故障和入侵的基础,在计算机管理中可以看到,但是日志很多,对我们有用的信息很少,这样查找效率比较低,我们可以通过工具MyEventVieweren查找。另外对日志保护异常重要,一定要注意日志的权限设置。
六,安全策略
安全策略可以使用导入和导出的方法设置,这样最快,下面是设置内容:
开始菜单->管理工具->本地安全策略
A、本地策略–>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略–>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组
通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除
C、本地策略–>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
D、账户策略–>账户锁定策略
将账户设为“5次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”
七,关于黑客入侵
发现黑客入侵后,要立即寻找隐藏账号,在计算机管理中和注册表中的SAM目录下寻找,若找到马上删除,之后,寻找灰鸽子之类的后门,先用“netstat –abn“查看,可以看到端口和对应的可执行文件,可以找到是否有灰鸽子之类的后门,若有,结束进程并删除,这时应该分析日志,提取证据和查看系统破坏情况,并在磁盘中查找最近修改的exe,bat,dll,sys扩展名文件,查到后检查下,若是异常立即删除,在上述工作结束后,复查下并做好监控,最后进行全盘杀毒。
八,IIS管理
IIS的管理主要是权限设置和匿名账号访问,匿名账号一般是IUSR_计算机名字,注意不要试图加密,这样影响站点访问,关于IIS中的权限设置,推荐以下方法:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
