最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
win服務(wù)器安全策略 服務(wù)器安全策略怎么做

如何讓win更安全

“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此,照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計算機欣賞音樂、上網(wǎng)沖浪、運行游戲,還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全,成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓W(xué)indows Server 2003更加安全。

我們提供的服務(wù)有:做網(wǎng)站、成都做網(wǎng)站、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、隴縣ssl等。為上千多家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的隴縣網(wǎng)站制作公司

理解你的角色

理解服務(wù)器角色絕對是安全進(jìn)程中不可或缺的一步。Windows Server可以被配置為多種角色,Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個服務(wù)器甚至可以被配置為上述角色的組合。

現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如,如果你的服務(wù)器將作為IIS服務(wù)器,那么你將需要開啟IIS服務(wù)。然而,如果服務(wù)器將作為獨立的文件或者打印服務(wù)器,啟用IIS服務(wù)則會帶來巨大的安全隱患。

我之所以在這里談到這個的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。

因為有很多強化服務(wù)器的方法,所以我將以配置一個簡單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟。我將努力指出當(dāng)服務(wù)器角色改變時你將要做的。請諒解這并不是一個涵蓋每種角色服務(wù)器的完全指南。

物理安全

為了實現(xiàn)真正意義上的安全,你的服務(wù)器必須被放置在一個安全的位置。通常地,這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當(dāng)重要的,因為現(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點。對于任何角色的Windows Server 2003,這都是必要的。

創(chuàng)建基線

除了建立良好的物理安全以外,我能給你的最佳建議是,在配置一系列Windows Server 2003的時候,應(yīng)該確定你的安全需求策略,并立即部署和執(zhí)行這些策略 。

實現(xiàn)這一目的最好的方法是創(chuàng)建一個安全基線(security baseline)。安全基線是文檔和公認(rèn)安全設(shè)置的清單。在大多數(shù)情況下,你的基線會隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個不同的基線,以便將它們應(yīng)用到不同類型的服務(wù)器上。例如,你可以為文件服務(wù)器制定一個基線,為域控制器制定另一個基線,并為IAS服務(wù)器制定一個和前兩者都不同的基線。

windows 2003包含一個叫"安全配置與分析"的工具。這個工具讓你可以將服務(wù)器的當(dāng)前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。

安全模板是一系列基于文本的INF文件,被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個體模板最簡單的方法是使用管理控制臺(MMC)。

要打開這個控制 臺,在RUN提示下輸入MMC命令,在控制臺加載后,選擇添加/刪除管理單元屬性命令,Windows就會顯示添加/刪除管理單元列表。點擊"添加"按鈕,你將會看到所有可用管理單元的列表。選擇安全模板管理單元,接著依次點擊添加,關(guān)閉和確認(rèn)按鈕。

在安全模板管理單元加載后,你就可以察看每一個安全模板了。在遍歷控制臺樹的時候,你會發(fā)現(xiàn)每個模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個模板的用途。例如,HISECDC模板就是一個高安全性的域控制器模板。

如果你正在安全配置一個文件服務(wù)器,我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時,你會發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全,但是不一定能滿足你的需求。某些安全設(shè)置可能過于嚴(yán)格或過于松散。我建議你修改現(xiàn)有的設(shè)置,或是創(chuàng)建一個全新的策略。通過在控制臺中右擊C:WINDOWSSecurityTemplates文件夾并在目標(biāo)菜單中選擇新建模板命令,你就可以輕輕松松地創(chuàng)建一個新的模板。

在創(chuàng)建了符合需求的模板后,回到添加/刪除管理單元屬性面板,并添加一個安全配置與分析的管理單元。在這個管理單元加載后,右擊"安全配置與分析"容器,接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫"命令,點擊"打開"按鈕,你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。

接下來,右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點擊打開。在模板被導(dǎo)入后,再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計算機"命令。Windows將會提示你寫入錯誤日志的.位置,鍵入文件路徑并點擊"確定"。

在這樣的情況下,Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過"安全配置與分析控制臺"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。

在你可以檢查差異列表的時候,就是執(zhí)行基于模板安全策略的時候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計算機"命令。這一工具將會立即修改你計算機的安全策略,從而匹配模板策略。

組策略實際上是層次化的。組策略可以被應(yīng)用到本地計算機級別、站點級別、域級別和OU級別。當(dāng)你實現(xiàn)基于模板的安全之時,你正在在修改計算機級別的組策略。其他的組策略不會受到直接影響,盡管最終策略可能會反映變化,由于計算機策略設(shè)置被更高級別的策略所繼承。

修改內(nèi)建的用戶賬號

多年以來,微軟一直在強調(diào)最好重命名Administrator賬號并禁用Guest賬號,從而實現(xiàn)更高的安全。在Windows Server 2003中,Guest 賬號是缺省禁用的,但是重命名Administrator賬號仍然是必要的,因為黑客往往會從Administrator賬號入手開始進(jìn)攻。

有很多工具通過檢查賬號的SID來尋找賬號的真實名稱。不幸的是,你不能改變用戶的SID,也就是說基本上沒有防止這種工具來檢測Administrator賬號真實名稱的辦法。即便如此,我還是鼓勵每個人重命名Administrator 賬號并修改賬號的描述信息,有兩個原因:

首先,誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號為一個獨特的名稱讓你能更方便的監(jiān)控黑客對此賬號的進(jìn)攻。

另一個技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號,完全獨立于域中的管理 員賬號。你可以配置每個成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測出你的本地用戶名和密碼,你肯定不希望他用相同的賬號侵犯其他的服務(wù)器。當(dāng)然,如果你擁有良好的物理安全,誰也不能使用本地賬號取得你服務(wù)器的權(quán)限。

服務(wù)賬號

Windows Server 2003在某種程度上最小化服務(wù)賬號的需求。即便如此,一些第三方的應(yīng)用程序仍然堅持傳統(tǒng)的服務(wù)賬號。如果可能的話,盡量使用本地賬號而不是域賬號作為服務(wù)賬號,因為如果某人物理上獲得了服務(wù)器的訪問權(quán)限,他可能會轉(zhuǎn)儲服務(wù)器的LSA機密,并泄露密碼。如果你使用域密碼,森林中的任何計算機都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶,密碼只能在本地計算機上使用,不會給域帶來任何威脅。

系統(tǒng)服務(wù)

一個基本原則告訴我們,在系統(tǒng)上運行的代碼越多,包含漏洞的可能性就越大。你需要關(guān)注的一個重要安全策略是減少運行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時增強服務(wù)器的性能。

在Windows 2000中,缺省運行的服務(wù)有很多,但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場。事實上,windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中,微軟關(guān)閉了大多數(shù)不是絕對必要的服務(wù)。即使如此,還是有一些有爭議的服務(wù)缺省運行。

其中一個服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計簡化用戶的工作。DFS允許管理員創(chuàng)建一個邏輯的區(qū)域,包含多個服務(wù)器或分區(qū)的資源。對于用戶,所有這些分布式的資源存在于一個單一的文件夾中。

我個人很喜歡DFS,尤其因為它的容錯和可伸縮特性。然而,如果你不準(zhǔn)備使用DFS,你需要讓用戶了解文件的確切路徑。在某些環(huán)境下,這可能意味著更強的安全性。在我看來,DFS的利大于弊。

另一個這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強制的服務(wù),因為它能夠保持SYSVOL文件夾的同步。對于成員服務(wù)器來說,這個服務(wù)不是必須的,除非運行DFS。

如果你的文件服務(wù)器既不是域控制器,也不使用DFS,我建議你禁用FRS服務(wù)。這么做會減少黑客在多個服務(wù)器間復(fù)制惡意文件的可能性。

另一個需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請求,并在這些請求下控制所有的打印工作。所有的打印操作都離不開這個服務(wù),它也是缺省被啟用的。

不是每個服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器,你應(yīng)該禁用這個服務(wù)。畢竟,專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地,沒有人會在服務(wù)器控制臺工作,因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。

我相信通常在災(zāi)難恢復(fù)操作過程中,打印錯誤消息或是事件日志都是十分必要的。然而,我依然建議在非打印服務(wù)器上簡單的關(guān)閉這一服務(wù)。

信不信由你,PSS是最危險的Windows組件之一。有不計其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動機是因為它是統(tǒng)級的服務(wù),因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級別的特權(quán)。為了防止此類攻擊,還是關(guān)掉這個服務(wù)吧。

Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng),相比Windows 2000/XP系統(tǒng)來說,各方面的功能確實得到了增強,尤其在安全方面,總體感覺做的還算不錯.但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server,你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.

Windows 服務(wù)器安全設(shè)置的方法教程

阿江的Windows 2000服務(wù)器安全設(shè)置教程

前言

其實,在服務(wù)器的安全設(shè)置方面,我雖然有一些經(jīng)驗,但是還談不上有研究,所以我寫這篇文章的時候心里很不踏實,總害怕說錯了會誤了別人的事。

本文更側(cè)重于防止ASP漏洞攻擊,所以服務(wù)器防黑等方面的講解可能略嫌少了點。

基本的服務(wù)器安全設(shè)置

安裝補丁

安裝好操作系統(tǒng)之后,最好能在托管之前就完成補丁的安裝,配置好網(wǎng)絡(luò)后,如果是2000則確定安裝上了SP4,如果是2003,則最好安裝上SP1,然后點擊開始→Windows Update,安裝所有的關(guān)鍵更新。

安裝殺毒軟件

雖然殺毒軟件有時候不能解決問題,但是殺毒軟件避免了很多問題。我一直在用諾頓2004,據(jù)說2005可以殺木馬,不過我沒試過。還有人用瑞星,瑞星是確定可以殺木馬的。更多的人說卡巴司機好,不過我沒用過。

不要指望殺毒軟件殺掉所有的木馬,因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。

設(shè)置端口保護(hù)和防火墻、刪除默認(rèn)共享

都是服務(wù)器防黑的措施,即使你的服務(wù)器上沒有IIS,這些安全措施都最好做上。這是阿江的盲區(qū),大概知道屏蔽端口用本地安全策略,不過這方面的東西網(wǎng)上攻略很多,大家可以擻出來看看,晚些時候我或者會復(fù)制一些到我的網(wǎng)站上。

權(quán)限設(shè)置

阿江感覺這是防止ASP漏洞攻擊的關(guān)鍵所在,優(yōu)秀的權(quán)限設(shè)置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設(shè)置思路,聰明的朋友應(yīng)該看完這個就能解決問題了。

權(quán)限設(shè)置的原理

WINDOWS用戶,在WINNT系統(tǒng)中大多數(shù)時候把權(quán)限按用戶(組)來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統(tǒng)用戶和用戶組。

NTFS權(quán)限設(shè)置,請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū),然后我們可以確定每個分區(qū)對每個用戶開放的權(quán)限?!疚募▕A)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權(quán)限。

IIS匿名用戶,每個IIS站點或者虛擬目錄,都可以設(shè)置一個匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶),當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時候,這個.ASP文件所具有的權(quán)限,就是這個“IIS匿名用戶所具有的權(quán)限。

權(quán)限設(shè)置的思路

要為每個獨立的要保護(hù)的個體(比如一個網(wǎng)站或者一個虛擬目錄)創(chuàng)建一個系統(tǒng)用戶,讓這個站點在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。

在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個用戶名。

設(shè)置所有的分區(qū)禁止這個用戶訪問,而剛才這個站點的主目錄對應(yīng)的那個文件夾設(shè)置允許這個用戶訪問(要去掉繼承父權(quán)限,并且要加上超管組和SYSTEM組)。

這樣設(shè)置了之后,這個站點里的ASP程序就只有當(dāng)前這個文件夾的權(quán)限了,從探針上看,所有的硬盤都是紅叉叉。

我的設(shè)置方法

我是先創(chuàng)建一個用戶組,以后所有的站點的用戶都建在這個組里,然后設(shè)置這個組在各個分區(qū)沒病權(quán)限。然后再設(shè)置各個IIS用戶在各在的文件夾里的權(quán)限。

因為比較多,所以我很不想寫,其實知道了上面的原理,大多數(shù)人都應(yīng)該懂了,除非不知道怎么添加系統(tǒng)用戶和組,不知道怎么設(shè)置文件夾權(quán)限,不知道IIS站點屬性在那里。真的有那樣的人,你也不要著急,要沉住氣慢慢來,具體的方法其實自己也能摸索出來的,我就是這樣。當(dāng)然,如果我有空,我會寫我的具體設(shè)置方法,很傲能還會配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我的在阿江探針1.9里加入了不安全組件檢測功能(其實這是參考7i24的代碼寫的,只是把界面改的友好了一點,檢測方法和他是基本一樣的),這個功能讓很多站長吃驚不小,因為他發(fā)現(xiàn)他的服務(wù)器支持很多不安全組件。

其實,只要做好了上面的權(quán)限設(shè)置,那么FSO、XML、strem都不再是不安全組件了,因為他們都沒有跨出自己的文件夾或者站點的權(quán)限。那個歡樂時光更不用怕,有殺毒軟件在還怕什么時光啊。

最危險的組件是WSH和Shell,因為它可以運行你硬盤里的EXE等程序,比如它可以運行提升程序來提升SERV-U權(quán)限甚至用SERVU來運行更高權(quán)限的系統(tǒng)程序。

卸載最不安全的組件

最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個.BAT文件,

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然后運行一下,WScript.Shell, Shell.application, WScript.Network就會被卸載了??赡軙崾緹o法刪除文件,不用管它,重啟一下服務(wù)器,你會發(fā)現(xiàn)這三個都提示“×安全了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改,并且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】,然后【編輯→查找→填寫Shell.application→查找下一個】,用這個方法能找到兩個注冊表項:“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。為了確保萬無一失,把這兩個注冊表項導(dǎo)出來,保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_ajiang

那么,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊表中(雙擊即可),導(dǎo)入了改名后的注冊表項之后,別忘記了刪除原有的`那兩個項目。這里需要注意一點,Clsid中只能是十個數(shù)字和ABCDEF六個字母。

下面是我修改后的代碼(兩個文件我合到一起了):

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把這個保存為一個.reg文件運行試一下,但是可別就此了事,因為萬一黑客也看了我的這篇文章,他會試驗我改出來的這個名字的。

防止列出用戶組和系統(tǒng)進(jìn)程

我在阿江ASP探針1.9中結(jié)合7i24的方法利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進(jìn)程的列表,這個列表可能會被黑客利用,我們應(yīng)當(dāng)隱藏起來,方法是:

【開始→程序→管理工具→服務(wù)】,找到Workstation,停止它,禁用它。

防止Serv-U權(quán)限提升

其實,注銷了Shell組件之后,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設(shè)置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。

另外注意設(shè)置Serv-U所在的文件夾的權(quán)限,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防范

一般情況下,黑客總是瞄準(zhǔn)論壇等程序,因為這些程序都有上傳功能,他們很容易的就可以上傳ASP木馬,即使設(shè)置了權(quán)限,木馬也可以控制當(dāng)前站點的所有文件了。另外,有了木馬就然后用木馬上傳提升工具來獲得更高的權(quán)限,我們關(guān)閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關(guān)閉了上傳功能,則黑客會想辦法獲得超管密碼,比如,如果你用動網(wǎng)論壇并且數(shù)據(jù)庫忘記了改名,人家就可以直接下載你的數(shù)據(jù)庫了,然后距離找到論壇管理員密碼就不遠(yuǎn)了。

作為管理員,我們首先要檢查我們的ASP程序,做好必要的設(shè)置,防止網(wǎng)站被黑客進(jìn)入。另外就是防止攻擊者使用一個被黑的網(wǎng)站來控制整個服務(wù)器,因為如果你的服務(wù)器上還為朋友開了站點,你可能無法確定你的朋友會把他上傳的論壇做好安全設(shè)置。這就用到了前面所說的那一大堆東西,做了那些權(quán)限設(shè)置和防提升之后,黑客就算是進(jìn)入了一個站點,也無法破壞這個網(wǎng)站以外的東西。

Win server 應(yīng)用組策略和安全

組策略用于從一個單獨的點對多個Microsoft Active Directory目錄服務(wù)用戶和計算機對象進(jìn)行配置。在默認(rèn)情況下,策略不僅影響應(yīng)用該策略的容器中的對象,還影響子容器中的對象。

組策略包含了"計算機配置、Windows 設(shè)置、安全設(shè)置"下的安全設(shè)置。您可將預(yù)先配置的安全模板導(dǎo)入策略,來完成對這些設(shè)置的配置。

應(yīng)用組策略

下列步驟顯示了如何應(yīng)用組策略,以及如何向"用戶權(quán)限分配"添加安全組。

將組策略應(yīng)用于組織單位或域

1.依次單擊"開始"、"管理工具"、"Active Directory 用戶和計算機",打開"Active Directory 用戶和計算機"。

2.突出顯示相關(guān)域或組織單位,單擊"操作"菜單,選擇"屬性"。

3.選擇"組策略"選項卡。

注意:每個容器可應(yīng)用多個策略。這些策略的處理順序是從列表的底部向上。如果出現(xiàn)沖突,最后應(yīng)用的策略優(yōu)先。

4.單擊"新建"創(chuàng)建一個策略,并為其指定有實際意義的名稱,如"域策略"。

注意:單擊"選項"按鈕可配置"禁止替代"設(shè)置。"禁止替代"是為每個單獨的策略配置的,而不是為整個容器;"阻止策略繼承"則是為整個容器配置的。如果"禁止替代"和"阻止策略繼承"設(shè)置發(fā)生沖突,"禁止替代"設(shè)置優(yōu)先。要配置"阻止策略繼承",請選中 OU 屬性中的復(fù)選框。

組策略可自動更新,但為了立即啟動更新過程,可在命令提示符下使用下面的 GPUpdate 命令:GPUpdate /force

向"用戶權(quán)限分配"添加安全組

1.依次單擊"開始"、"管理工具"、"Active Directory 用戶和計算機",打開"Active Directory 用戶和計算機"。

2.突出顯示相關(guān) OU(如"成員服務(wù)器"),單擊"操作"菜單,選擇"屬性"。

3.單擊"組策略"選項卡,選擇相關(guān)策略(如"成員服務(wù)器基準(zhǔn)策略"),然后單擊"編輯"。

4.在"組策略對象編輯器"中,依次展開"計算機配置"、"Windows 設(shè)置"、"安全設(shè)置"、"本地策略",然后突出顯示"用戶權(quán)限分配"。

5.在右側(cè)窗格中,右鍵單擊相關(guān)用戶權(quán)限。

6.選中"定義這些策略設(shè)置"復(fù)選框,單擊"添加用戶和組"修改該列表。

7.單擊"確定"。

將安全模板導(dǎo)入組策略

下列步驟顯示了如何向組策略導(dǎo)入安全模板。

導(dǎo)入安全模板

1.依次單擊"開始"、"管理工具"、"Active Directory 用戶和計算機",打開"Active Directory 用戶和計算機"。

2.突出顯示相關(guān)域或 OU,單擊"操作"菜單,選擇"屬性"。

3.選擇"組策略"選項卡。

4.突出顯示相關(guān)策略,單擊"編輯"。

5.依次展開"計算機配置"、"Windows 設(shè)置",然后突出顯示"安全設(shè)置"。

6.單擊"操作"菜單,選擇"導(dǎo)入策略"。

7.導(dǎo)航到 Security GuideJob Aids,選擇相關(guān)模板,單擊"打開"。

8.在"組策略對象編輯器"中,單擊"文件"菜單,選擇"退出"。

9.在容器屬性中,單擊"確定"。

使用"安全配置和分析"

下列步驟顯示了如何使用"安全配置和分析"來導(dǎo)入、分析和應(yīng)用安全模板。

導(dǎo)入安全模板

1.依次單擊"開始"、"運行"。在"打開"文本框中鍵入 mmc,然后單擊"確定"。

2.在 Microsoft 管理控制臺中,單擊"文件",選擇"添加/刪除管理單元"。

3.單擊"添加",突出顯示列表中的"安全配置和分析"。

4.依次單擊"添加"、"關(guān)閉"、"確定"。

5.突出顯示"安全配置和分析",單擊"操作"菜單,選擇"打開數(shù)據(jù)庫"。

6.鍵入新的`數(shù)據(jù)庫名稱(如 Bastion Host),單擊"打開"。

7.在"導(dǎo)入模板"界面中,導(dǎo)航到 Security GuideJob Aids,選擇相關(guān)模板。單擊"打開"。

分析導(dǎo)入的模板并與當(dāng)前設(shè)置比較

1.突出顯示 Microsoft 管理單元中的"安全配置和分析",單擊"操作"菜單,并選擇"立即分析計算機"。

2.單擊"確定",接受默認(rèn)的"錯誤日志文件路徑"。

3.完成分析后,展開節(jié)點標(biāo)題對結(jié)果進(jìn)行研究。

應(yīng)用安全模板

1.突出顯示 Microsoft 管理單元中的"安全配置和分析",單擊"操作"菜單,選擇"立即配置計算機"。

2.單擊"確定",接受默認(rèn)的"錯誤日志文件路徑"。

3.在 Microsoft 管理控制臺,單擊"文件",然后選擇"退出"關(guān)閉"安全配置和分析"。

如何設(shè)置Windows服務(wù)器安全設(shè)置

如何設(shè)置Windows服務(wù)器安全設(shè)置

一、取消文件夾隱藏共享在默認(rèn)狀態(tài)下,Windows 2000/XP會開啟所有分區(qū)的隱藏共享,從“控制面板/管理工具/計算機管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”,就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”。但是只要鍵入“計算機名或者IPC$”,系統(tǒng)就會詢問用戶名和密碼,遺憾的是,大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空,入侵者可以輕易看到C盤的內(nèi)容,這就給網(wǎng)絡(luò)安全帶來了極大的隱患。

怎么來消除默認(rèn)共享呢?方法很簡單,打開注冊表編輯器,進(jìn)入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一個名為“AutoShareWKs”的雙字節(jié)值,并將其值設(shè)為“0”,然后重新啟動電腦,這樣共享就取消了。關(guān)閉“文件和打印共享”文件和打印共享應(yīng)該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下,我們可以將它關(guān)閉。用鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,然后單擊“文件和打印共享”按鈕,將彈出的“文件和打印共享”對話框中的兩個復(fù)選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器,進(jìn)入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”,將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協(xié)議對于服務(wù)器來說,只安裝TCP/IP協(xié)議就夠了。鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,再鼠標(biāo)右擊“本地連接”,選擇“屬性”,卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源,對于不需要提供文件和打印共享的主機,還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉,避免針對NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級”,進(jìn)入“高級TCP/IP設(shè)置”對話框,選擇“WINS”標(biāo)簽,勾選“禁用TCP/IP上的NETBIOS”一項,關(guān)閉NETBIOS。四、禁用不必要的服務(wù):Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠(yuǎn)程修改注冊表)Server(文件共享)Task Scheduler(計劃任務(wù))TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

Administrator帳戶擁有最高的系統(tǒng)權(quán)限,一旦該帳戶被人利用,后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設(shè)置一個強大復(fù)雜的密碼(個人建議至少12位),然后我們重命名Administrator帳戶,再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限,也就在一定程度上減少了危險性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進(jìn)一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計算機給別人當(dāng)玩具,那還是禁止的好。打開控制面板,雙擊“用戶和密碼”,單擊“高級”選項卡,再單擊“高級”按鈕,彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵,選擇屬性,在“常規(guī)”頁中選中“賬戶已停用”。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全。七、防范木馬程序

木馬程序會竊取所植入電腦中的有用信息,因此我們也要防止被黑客植入木馬程序,常用的辦法有:

● 在下載文件時先放到自己新建的文件夾里,再用殺毒軟件來檢測,起到提前預(yù)防的作用。

● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運行項目,如果有,刪除即可。

● 將注冊表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務(wù),還需要對IIS服務(wù)進(jìn)行安全配置:

(1) 更改Web服務(wù)主目錄。右鍵單擊“默認(rèn)Web站點→屬性→主目錄→本地路徑”,將“本地路徑”指向其他目錄。

(2) 刪除原默認(rèn)安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認(rèn)安裝沒有打開任何安全審核,所以需要進(jìn)入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。系統(tǒng)提供了九類可以審核的事件,對于每一類都可以指明是審核成功事件、失敗事件,還是兩者都審核策略更改:成功或失敗登錄事件:成功和失敗對象訪問:失敗事件過程追蹤:根據(jù)需要選用目錄服務(wù)訪問:失敗事件特權(quán)使用:失敗事件系統(tǒng)事件:成功和失敗賬戶登錄事件:成功和失敗賬戶管理:成功和失敗十、安裝必要的安全軟件

我們還應(yīng)在電腦中安裝并使用必要的防黑軟件,殺毒軟件和防火墻都是必備的。在上網(wǎng)時打開它們,這樣即便有黑客進(jìn)攻我們的安全也是有保證的。當(dāng)然我們也不應(yīng)安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統(tǒng)打上補丁,微軟那些沒完沒了的補丁還是很有用的。


當(dāng)前題目:win服務(wù)器安全策略 服務(wù)器安全策略怎么做
網(wǎng)頁鏈接:http://fisionsoft.com.cn/article/dojjisj.html