Windows Server 2003已經慢慢淡出人們的視野,主要是微軟官方已經停止了對Windows Server 2003系統的補丁更新,雖然現在Windows Server 2016已經出來很久了,但是市場佔有率一直都不高,目前絕大部分使用Windows系統的站長都會使用目前普及率最高的Windows Server 2008 R2企業版,這個版本已經非常的成熟,只要補丁更新到位,基本不會出什麼大問題,但是他相對於Windows Server 2003 還是要複雜很多,還需要對他做很多安全策略,以保證服務器的穩定和網站的安全運行,以下是針對服務器安全方面的一些基本設置和安全策略,如果有沒說到的希望大家踴躍提出一起分享,我們維恩網絡科技主要是做海外的高防服務器租用,有興趣可以私信哦。
一, 目錄和用戶權限
系統C盤只用保留最基本的權限,除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權,之後再對其下的子目錄作單獨的目錄權限,當您的網站放在D盤的時候,D盤根目錄權限只保留Administrators和SYSTEM兩個權限,可以在D盤的二級目錄中加上網站目錄所必須用到的IIS或者USERS權限以保證網站有足夠的權限運行。
二, 修改遠程端口3389
這個就不用多說了,網上能找到很多修改遠程端口的軟件,一般很多小白黑客都會使用傻瓜式的工具在互聯網上24小時不停的掃描所有開放3389端口的服務器,並使用弱口令詞典不斷的破解你的管理員密碼,不僅會佔用系統的資源,而且對系統安全造成很大的威脅,解決方法就是用修改遠程端口的工具把端口修改成其它端口,並將3389和TCP連接加入阻止連接列表。
三, 設置本地連接屬性
打開網絡屬性,本地連接屬性,將“Microsoft網絡客戶端”,“Microsoft網絡的文件和打印機共享” 前面的勾去掉並點卸載。
四, 關閉網絡共享和發現
將“網絡共享,文件共享,公用文件共享,打印機共享,顯示我正在共享的所有文件和文件夾,顯示這臺計算機上所有共享的網絡文件夾” 全部關閉。注意要把密碼保護共享啟用。
五, 本地安全策略
1,打開CMD運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-->Windows設置-->安全設置-->本地策略-->安全選項
交互式登陸:不顯示最後的用戶名 啟用
網絡訪問:不允許SAM帳戶的匿名枚舉 啟用 已經啟用
網絡訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網絡訪問:不允許儲存網絡身份驗證的憑據 啟用
網絡訪問:可匿名訪問的共享 內容全部刪除
網絡訪問:可匿名訪問的命名管道 內容全部刪除
網絡訪問:可遠程訪問的註冊表路徑 內容全部刪除
網絡訪問:可遠程訪問的註冊表路徑和子路徑 內容全部刪除
帳戶:重命名來賓帳戶 這裡可以更改guest帳號
帳戶:重命名系統管理員帳戶 這裡可以更改Administrator帳號
2,打開組策略編輯器,選擇計算機配置-->Windows設置-->安全設置-->賬戶策略-->賬戶鎖定策略,將密碼策略中的密碼必須符合性要求啟用,密碼最小值改成14,密碼最長使用期限改成30天,養成定期更改密碼的好習慣。
3,將賬戶鎖定閾值設為“三次登陸無效”,“鎖定時間為30分鐘”,“復位鎖定計數設為30分鐘”。
4,選擇計算機配置-->Windows設置-->安全設置-->本地策略-->用戶權限分配 關閉系統: 只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
5,通過終端服務允許登陸:加入Administrators組,其他全部刪除。
這個是最最重要的,微軟也是在為不斷的更新和完善自己的系統,所以對系統打上最新補丁是非常有必要的。
通過以上的安全設置,能有效提高網站服務器的安全性能,保證網站更安全更穩定的運行。
閱讀更多 維恩網絡科技 的文章
