当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 服务器安全配置精华技巧(3)

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 服务器安全配置精华技巧(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 51 ::
收藏到网摘: n/a

 6.开启帐户策略

  策略 设置

  复位帐户锁定计数器 20分钟

  帐户锁定时间 20分钟

  帐户锁定阈值 3次    

  7.设定安全记录的访问权限

  安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
  
  8.把敏感文件存放在另外的文件服务器中

  虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
  
  9.不让系统显示上次登陆的用户名

  默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:

  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

  把 REG_SZ 的键值改成 1 .   

  10.禁止建立空连接

  默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:

  Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
  
  10.到微软网站下载最新的补丁程序

  很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。  
  
  高级篇:    

  1. 关闭 DirectDraw

  这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。    

  2.关闭默认共享

  win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。

  默认共享目录 路径和功能    

  C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator

  和Backup Operators组成员才可连接,Win2000 Server版本Server Operatros组也可以连接到这些共享目录ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如 c:\winntFAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。IPC$ 空连接。IPC$共享提供了登录到系统的能力。

  NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处理登陆域请求时用到

  PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机   

  解决办法:

  打开注册表编辑器。REGEDIT

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

  在右边建立一个名为AutoShareServer的DWORD键。值为0

  3.禁止dump file的产生

  dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。