win7如何限制它账户使用组策略-(win7用户没有权限打开组策略)
来源:191路由网 2022-11-19 15:42:03
windows如何操作服务器安全设置,应注意什么?
本文与您分享的是windows小编认为服务器安全设置的操作非常实用,所以我想和大家分享一下。本文总结了多种支付方式,非常详细。感兴趣的朋友们,让我们跟。
Windows服务器是Microsoft Windows Server System(WSS)的核心,Windows 服务器操作系统。每个Windows服务器对应家用(工作站)版(2003) R2除外)。
1)基本设置系统安全
1.安装说明:系统全部NTFS格式化,重新安装系统(使用原版win2003)安装杀毒软件(Mcafee),更新杀毒软件,安装sp2补钉,安装IIS(只安装必要的组件),安装SQL2000,安装.net2.打开防火墙。并在服务器上贴上最新的补丁。
2)关闭不必要的服务
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking 路由知识 client:不需要禁止局域网更新连接信息
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机,可以禁用
Remote Registry:注册表禁止远程修改
Remote Desktop Help Session Manager:禁止远程协助 其它服务需要验证
3)设置和管理账户
1、将Guest禁用账户并更改名称和描述,然后输入复杂的密码
2.最好少建系统管理员账户,改变默认管理员账户名(Administrator)和描述,密码最好用数字加小写字母加数字的上档键组合,长度最好不少于10位
3.新建一个名字Administrator为陷阱帐户设置最小权限,然后随意输入不少于20位的密码
4.计算机配置-Windows设置-安全设置-账户策略-账户锁定策略将账户设置为三次登录无效 时间为30分钟
5.在安全设置-本地策略-安全选项中设置不显示上次用户名作为启用
6、 从网络访问这台计算机只保留在安全设置-本地策略-用户权利分配中Internet客人账户,启动IIS进程账户,Aspnet账户
7、创建一个User如果账户、操作系统需要使用特权命令Runas命令。
4)打开相应的审计策略
更改审计策略:成功
审核登录事件:成功、失败
访问审核对象:失败
跟踪审核对象:成功、失败
审核目录服务访问:失败
使用审计特权:失败
审计系统事件:成功,失败
审核账户登录事件:成功、失败
审计账户管理:成功,失败
5)、 其它安全相关设置
1、禁止C$、D$、ADMIN$缺省共享的一类
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的 窗口中新建Dword值,名称设为AutoShareServer值设为0
2、解除NetBios与TCP/IP协议的绑定
右击在线邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS
3.隐藏重要文件/目录
可修改注册表,实现完全隐藏: “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”,鼠标右击“CheckedValue选择修改,将数值从1改为0
4、防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为SynAttackProtect,值为2
5、 禁止响应ICMP路由通知报告
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0
6. 防止ICMP攻击重定向报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0
7、 不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为IGMPLevel 值为0
8、禁用DCOM:运行中输入 Dcomcnfg.exe。 回车, 单击控制台根节点下的组件服务。 回车, 单击控制台根节点下的组件服务。 打开计算机 文件夹。
对于本地计算机,请右键单击我的电脑,然后选择属于 性”。选择默认属性选项卡。在这台计算机上启用分布式清除 COM”复选框。
默认端口为3389,终端服务可考虑修改为其他端口。
修改方法如下: 服务器端:打开注册表,HKLM\\SYSTEM\\Current ControlSet\\Control\\Terminal Server\\Win Stations” 处找到类似RDP-TCP修改子键PortNumber值。 客户端:按正常步骤建立客户端连接,选择此连接,在文件菜单中选择导出,在指定位置 产生后缀为.cns的文件。打开文件,修改Server Port服务器端值PortNumber对应的 值。然后导入文件(方法:菜单:→文件→导入),使客户端修改端口。
6)、配置 IIS 服务
1.不使用默认Web网站,如果使用,也会 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。
3.删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。
4.删除不必要的IIS扩展名映射。 单击单击默认Web站点→属性→主目录→配置,打开应用程序窗口,删除不必要的应用程序映射 射。主要为.shtml, .shtm, .stm
5、更改IIS日志的路径 单击单击默认Web站点→属性-网站-点击启用日志记录下的属性
6.如果使用2000,可以使用iislockdown来保护IIS,在2003运行的IE6.不需要0版本。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它介入HTTP分析数据包并拒绝任何可疑的通信量。 最新版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。 没有特殊要求的,采用UrlScan默认配置就够了。
但如果你在服务器上运行,如果你在服务器上运行ASP.NET要调试,需要打开程序 %WINDIR%System32InetsrvURLscan,文件夹中的URLScan.ini 然后是文件UserAllowVerbs节添 加debug谓词,注意这一节是区分大小写的。
假如你的网页是.asp你需要在网页上DenyExtensions删除.asp相关内容。
如果你的网页使用非非ASCII你需要代码Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 更改文件后,需要重启IIS只有这样,服务才能生效,并务才能生效iisreset 若配置后出现问题,您可以通过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)整个网站的工具SQL Injection 脆弱性扫描.
7)、配置Sql服务器
1、System Administrators 最好不要超过两个角色
3、不要使用Sa账户,配置超复杂的密码
4.删除以下扩展存储过程格式:
use master sp_dropextendedproc '.扩展存储过程名称'
xp_cmdshell:删除访问登记表的存储过程是进入操作系统的最佳捷径,
删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏 SQL Server、默认变更1433端口
右击实例选择属性-常规-网络配置选择TCP/IP协议的属性,选择隐藏 SQL Server 例子,改原默 认的1433端口。
8)修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志DNS日志默认位置:%systemroot%\\system32\\config,默认 文件大小512KB,管理员会改变默认大小。
安全日志文件:%systemroot%\\system32\\config\\SecEvent.EVT 系统日志文件:%systemroot%\\system32\\config\\SysEvent.EVT 应用程序日志文件:%systemroot%\\system32\\config\\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\\system32\\logfiles\\msftpsvc1\\,每天默许一天 志 Internet信息服务WWW日志默认位置:%systemroot%\\system32\\logfiles\\w3svc1\\,每天默许一天 志 Scheduler(任务计划)服务日志默认位置:%systemroot%\\schedlgu.txt 应用程序日志、安全日志、系统日志、DNS这些服务器日志LOG注册表中的文件: HKEY_LOCAL_MACHINE\\System\\Curr en
相关阅读
-
-
重装系统怎么不识别u盘-()
如何识别重装系统()新安装的系统无法识别U盘?是电脑吗?USB嘴坏了,换了一个USB接口无法识别U盘。基本判断不是电脑USB接口损坏。可以断定是USB驱动故障!下载驱动精灵软件,检查计算机是否有硬件驱动器未安装。检测发现所有驱动程序已正常安装。然后更换驱动人生软件,检测计算机驱动...
2022-11-19
-
-
win7如何限制它账户使用组策略-(win7用户没有权限打开组策略)
win77如何限制账户使用组策略(win7用户无权打开组策略。windows如何操作服务器安全设置,应注意什么?本文与您分享的是windows小编认为服务器安全设置的操作非常实用,所以我想和大家分享一下。本文总结了多种支付方式,非常详细。感兴趣的朋友们,让我们跟。Windows服务器是Microsoft...
2022-11-19
-
-
u盘病毒杀不怎么办-(U盘病毒杀不掉)
u杀盘病毒怎么办?(U盘病毒杀不掉)用U盘复制数据并相互传输真的安全吗?事实上,在日常使用中确实存在这样的安全隐患。也许一不小心就招了,U磁盘也可能直接在一些计算机上复制数据文件,并在没有任何安全保护的情况下在其他计算机上使用。为U盘病...
2022-11-19
-
-
win7nvme整合版下载-(win7 nvme整合版)
win7nvme整合版下载(win7nvme整合版)M.2nvme安装win7步骤基于PCI-E通道的M.2固态盘是由NVMe协议控制需要安装NVMe可以识别驱动程序,使用不同的主控NVMe不同的驱动。目前只有Win10能做到NVMe免驱,Win7和Win8必须安装驱动器才能识别。只有这一个,很多小白用户被挡在门外,网上也充斥着Win7用不了M.2谣言,还有一句话是M.2上想装W...
2022-11-19
-
-
大白菜u盘启动安装iso教程-(大白菜u盘启动安装iso教程)
大白菜u盘开始安装iso教程(大白菜u盘开始安装iso教程)学会安装一个系统需要两分钟,不管是我们自己的电脑,还是哪个女生需要重新安装系统来泡妞。不管用哪个,网上搜索U盘系统都会有很多软件,我经常用大白菜。如今,u盘安...
2022-11-19
191路由网 - 192.168.1.1,192.168.0.1无线路由器设置教程
版权声明:本站的文章和图片来自互联网收集,仅做分享之用如有侵权请联系站长,我们将在24小时内删除