Windows基本服务器安全 服务器系统安全
Windows服务器如何做好安全防护?
系统安全:
禄丰网站建设公司创新互联公司,禄丰网站设计制作,有大型网站制作公司丰富经验。已为禄丰成百上千家提供企业网站建设服务。企业网站搭建\成都外贸网站建设公司要多少钱,请找那个售后服务好的禄丰做网站的公司定做!
1.设置较为复杂的主机密码,建议8位数以上,大小写混合带数字、特殊字符,不要使用123456、password等弱口令。
2.开启系统自动更新功能,定期给系统打补丁。
3.windows主机安装安全狗、360主机卫士等防入侵的产品。
4.做好网站的注入漏洞检查,做好网站目录访问权限控制。(建议将网站设置为只读状态,对需要上传附件等目录单独开通写权限功能,对上传文件目录设置为禁止脚本执行权限)
5.如果用于网站服务,建议安装我们预装“网站管理助手”的操作系统模板,该系统我们做过安全加固,比纯净版要更安全。新建网站强烈建议用网站管理助手创建,本系统创建的网站会相互隔离,避免一个网站被入侵就导致其他网站也受影响。
6.关闭不需要的服务,如server,worksation等服务一般用不上,建议禁用。
7.启用TCP/IP筛选功能,关闭危险端口,防止远程扫描、蠕虫和溢出攻击。 比如mssql数据库的1433端口,一般用不上远程连接的话,建议封掉,只允许本机连接。
8.如果自己安装数据库,建议修改为普通用户运行,默认是system权限运行的,非常不安全。查看帮助
9.如果是自主安装纯净版的系统,建议修改掉3389、22等默认端口,用其他非标准端口可以减少被黑的几率。
维护Windows网络服务器安全的技巧
对网络服务器的恶意网络行为包括两个方面:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。
(一) 构建好你的硬件安全防御系统
选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。
防火墙在安全系统中扮演一个保安的角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色,监视你的服务器出入口,非常智能地过滤掉那些带有入侵和攻击性质的访问。
(二) 选用英文的操作系统
要知道,windows毕竟美国微软的东西,而微软的东西一向都是以Bug 和 Patch多而著称,中文版的Bug远远要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果你的服务器上装的是中文版的windows系统,微软漏洞公布之后你还需要等上一段时间才能打好补丁,也许黑客、病毒就利用这段时间入侵了你的系统。
如何防止黑客入侵
首先,世界上没有绝对安全的'系统。我们只可以尽量避免被入侵,最大的程度上减少伤亡。
(一) 采用NTFS文件系统格式
大家都知道,我们通常采用的文件系统是FAT或者FAT32,NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。
(二)做好系统备份
常言道,“有备无患”,虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。
(三)关闭不必要的服务,只开该开的端口
关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。总之,做好TCP/IP端口过滤不但有助于防止黑客入侵,而且对防止病毒也有一定的帮助。
( 四)软件防火墙、杀毒软件
虽然我们已经有了一套硬件的防御系统,但是“保镖”多几个也不是坏事。
(五)开启你的事件日志
虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用,但是通过他记录黑客的行踪,我们可以分析入侵者在我们的系统上到底做过什么手脚,给我们的系统到底造成了哪些破坏及隐患,黑客到底在我们的系统上留了什么样的后门,我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话,你还可以设置密罐,等待黑客来入侵,在他入侵的时候把他逮个正着。
如何让win更安全
“金无足赤,人无完人”任何事物都没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患.不管是你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都不可避免的面临着各种病毒的威胁,如何让Windows Server 2003更加安全,成为广大用户十分关注的问题。 下面让我们来讨论如何让Windows Server 2003更加安全。
理解你的角色
理解服务器角色绝对是安全进程中不可或缺的一步。Windows Server可以被配置为多种角色,Windows Server 2003 可以作为域控制器、成员服务器、基础设施服务器、文件服务器、打印服务器、IIS服务器、IAS服务器、终端服务器等等。一个服务器甚至可以被配置为上述角色的组合。
现在的问题是每种服务器角色都有相应的安全需求。例如,如果你的服务器将作为IIS服务器,那么你将需要开启IIS服务。然而,如果服务器将作为独立的文件或者打印服务器,启用IIS服务则会带来巨大的安全隐患。
我之所以在这里谈到这个的原因是我不能给你一套在每种情况下都适用的步骤。服务器的安全应该随着服务器角色和服务器环境的改变而改变。
因为有很多强化服务器的方法,所以我将以配置一个简单但安全的文件服务器为例来论述配置服务器安全的可行性步骤。我将努力指出当服务器角色改变时你将要做的。请谅解这并不是一个涵盖每种角色服务器的完全指南。
物理安全
为了实现真正意义上的安全,你的服务器必须被放置在一个安全的位置。通常地,这意味着将将服务器放置在上了锁的门后。物理安全是相当重要的,因为现有的许多管理和灾难恢复工具同样也可以被黑客利用。任何拥有这样工具的人都能在物理接入到服务器的时候攻击服务器。唯一能够避免这种攻击的方法是将服务器放置在安全的地点。对于任何角色的Windows Server 2003,这都是必要的。
创建基线
除了建立良好的物理安全以外,我能给你的最佳建议是,在配置一系列Windows Server 2003的时候,应该确定你的安全需求策略,并立即部署和执行这些策略 。
实现这一目的最好的方法是创建一个安全基线(security baseline)。安全基线是文档和公认安全设置的清单。在大多数情况下,你的基线会随着服务器角色的不同而产生区别。因此你最好创建几个不同的基线,以便将它们应用到不同类型的服务器上。例如,你可以为文件服务器制定一个基线,为域控制器制定另一个基线,并为IAS服务器制定一个和前两者都不同的基线。
windows 2003包含一个叫"安全配置与分析"的工具。这个工具让你可以将服务器的当前安全策略与模板文件中的基线安全策略相比较。你可以自行创建这些模板或是使用内建的安全模板。
安全模板是一系列基于文本的INF文件,被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夹下。检查或更改这些个体模板最简单的方法是使用管理控制台(MMC)。
要打开这个控制 台,在RUN提示下输入MMC命令,在控制台加载后,选择添加/删除管理单元属性命令,Windows就会显示添加/删除管理单元列表。点击"添加"按钮,你将会看到所有可用管理单元的列表。选择安全模板管理单元,接着依次点击添加,关闭和确认按钮。
在安全模板管理单元加载后,你就可以察看每一个安全模板了。在遍历控制台树的时候,你会发现每个模板都模仿组策略的结构。模板名反映出每个模板的用途。例如,HISECDC模板就是一个高安全性的域控制器模板。
如果你正在安全配置一个文件服务器,我建议你从SECUREWS模板开始。在审查所有的模板设置时,你会发现尽管模板能被用来让服务器更加安全,但是不一定能满足你的需求。某些安全设置可能过于严格或过于松散。我建议你修改现有的设置,或是创建一个全新的策略。通过在控制台中右击C:WINDOWSSecurityTemplates文件夹并在目标菜单中选择新建模板命令,你就可以轻轻松松地创建一个新的模板。
在创建了符合需求的模板后,回到添加/删除管理单元属性面板,并添加一个安全配置与分析的管理单元。在这个管理单元加载后,右击"安全配置与分析"容器,接着在结果菜单中选择"打开数据库"命令,点击"打开"按钮,你可以使用你提供的名称来创建必要的数据库。
接下来,右击"安全配置与分析"容器并在快捷菜单中选择"导入模板"命令。你将会看到所有可用模板的列表。选择包含你安全策略设置的模板并点击打开。在模板被导入后,再次右击"安全配置与分析"容器并在快捷菜单中选择"现在就分析计算机"命令。Windows将会提示你写入错误日志的.位置,键入文件路径并点击"确定"。
在这样的情况下,Windows将比较服务器现有安全设置和模板文件里的设置。你可以通过"安全配置与分析控制台"看到比较结果。每一条组策略设置显示现有的设置和模板设置。
在你可以检查差异列表的时候,就是执行基于模板安全策略的时候了。右击"安全配置与分析"容器并从快捷菜单中选择"现在就配置计算机"命令。这一工具将会立即修改你计算机的安全策略,从而匹配模板策略。
组策略实际上是层次化的。组策略可以被应用到本地计算机级别、站点级别、域级别和OU级别。当你实现基于模板的安全之时,你正在在修改计算机级别的组策略。其他的组策略不会受到直接影响,尽管最终策略可能会反映变化,由于计算机策略设置被更高级别的策略所继承。
修改内建的用户账号
多年以来,微软一直在强调最好重命名Administrator账号并禁用Guest账号,从而实现更高的安全。在Windows Server 2003中,Guest 账号是缺省禁用的,但是重命名Administrator账号仍然是必要的,因为黑客往往会从Administrator账号入手开始进攻。
有很多工具通过检查账号的SID来寻找账号的真实名称。不幸的是,你不能改变用户的SID,也就是说基本上没有防止这种工具来检测Administrator账号真实名称的办法。即便如此,我还是鼓励每个人重命名Administrator 账号并修改账号的描述信息,有两个原因:
首先,诳椭械男率挚赡懿恢?勒饫喙ぞ叩拇嬖诨蛘卟换崾褂盟?恰F浯危?孛?鸄dministrator账号为一个独特的名称让你能更方便的监控黑客对此账号的进攻。
另一个技巧适用于成员服务器。成员服务器有他们自己的内建本地管理员账号,完全独立于域中的管理 员账号。你可以配置每个成员服务器使用不同的用户名和密码。如果某人猜测出你的本地用户名和密码,你肯定不希望他用相同的账号侵犯其他的服务器。当然,如果你拥有良好的物理安全,谁也不能使用本地账号取得你服务器的权限。
服务账号
Windows Server 2003在某种程度上最小化服务账号的需求。即便如此,一些第三方的应用程序仍然坚持传统的服务账号。如果可能的话,尽量使用本地账号而不是域账号作为服务账号,因为如果某人物理上获得了服务器的访问权限,他可能会转储服务器的LSA机密,并泄露密码。如果你使用域密码,森林中的任何计算机都可以通过此密码获得域访问权限。而如果使用本地账户,密码只能在本地计算机上使用,不会给域带来任何威胁。
系统服务
一个基本原则告诉我们,在系统上运行的代码越多,包含漏洞的可能性就越大。你需要关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。
在Windows 2000中,缺省运行的服务有很多,但是有很大一部分服务在大多数环境中并派不上用场。事实上,windows 2000的缺省安装甚至包含了完全操作的IIS服务器。而在Windows Server 2003中,微软关闭了大多数不是绝对必要的服务。即使如此,还是有一些有争议的服务缺省运行。
其中一个服务是分布式文件系统(DFS)服务。DFS服务起初被设计简化用户的工作。DFS允许管理员创建一个逻辑的区域,包含多个服务器或分区的资源。对于用户,所有这些分布式的资源存在于一个单一的文件夹中。
我个人很喜欢DFS,尤其因为它的容错和可伸缩特性。然而,如果你不准备使用DFS,你需要让用户了解文件的确切路径。在某些环境下,这可能意味着更强的安全性。在我看来,DFS的利大于弊。
另一个这样的服务是文件复制服务(FRS)。FRS被用来在服务器之间复制数据。它在域控制器上是强制的服务,因为它能够保持SYSVOL文件夹的同步。对于成员服务器来说,这个服务不是必须的,除非运行DFS。
如果你的文件服务器既不是域控制器,也不使用DFS,我建议你禁用FRS服务。这么做会减少黑客在多个服务器间复制恶意文件的可能性。
另一个需要注意的服务是Print Spooler服务(PSS)。该服务管理所有的本地和网络打印请求,并在这些请求下控制所有的打印工作。所有的打印操作都离不开这个服务,它也是缺省被启用的。
不是每个服务器都需要打印功能。除非服务器的角色是打印服务器,你应该禁用这个服务。毕竟,专用文件服务器要打印服务有什么用呢?通常地,没有人会在服务器控制台工作,因此应该没有必要开启本地或网络打印。
我相信通常在灾难恢复操作过程中,打印错误消息或是事件日志都是十分必要的。然而,我依然建议在非打印服务器上简单的关闭这一服务。
信不信由你,PSS是最危险的Windows组件之一。有不计其数的木马更换其可执行文件。这类攻击的动机是因为它是统级的服务,因此拥有很高的特权。因此任何侵入它的木马能够获得这些高级别的特权。为了防止此类攻击,还是关掉这个服务吧。
Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错.但如果你曾经配置过Windows NT Server或是windows 2000 Server,你也许发现这些微软的产品缺省并不是最安全的。但是,你学习了本教程后,你可以让你的windows 2003系统变得更安全.
什么是windowsserver2012提供的最基本的安全措
windowsserver2012提供的最基本的安全措是身份验证。根据查询相关公开信息显示:WindowsServer2012提供的iSCSI目标服务器允许从存储在中央位置的一个操作系统映像通过网络启动多台计算机。
当前题目:Windows基本服务器安全 服务器系统安全
文章URL:http://scjbc.cn/article/ddooisg.html