15621857753

担心VPS不安全么 win2003安全策略设置攻略

来源:齐鲁CMS 栏目:其他 阅读: 日期:2022-04-24

本文介绍了担心VPS不安全么 win2003安全策略设置攻略,系统一管理理员账户最好少建,更改默许的管理员帐户名(Administrator)和描写,password最好认为合适而使用数码加体积写字母加数码的上档键组合,长度最好不少于14位。

VPS安全策略,win安全设置

一 设置和管理账户

1、系统一管理理员账户最好少建,更改默许的管理员帐户名(Administrator)和描写,password最好认为合适而使用数码加体积写字母加数码的上档键组合,长度最好不少于14位。

2、新建一个名为Administrator的陷坑帐号,为其设置最小的职权范围,而后轻易输入组合的最好不低于20位的password。

3、将Guest账户禁用并更改名字和描写,而后输入一个复杂的password,而后禁用。

4、着手-手续-管理工具-本地安全策略,挑选计算机配备布置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆失效”,“锁定时间为30分钟”,“复位锁定统计设为10分钟”。

5、在安全设置-本地策略-安全选项中将“不显露上次的用户名”设为开始使用。

6.本地策略-安全选项-对佚名连署的另外限止.挑选(不准许枚举SAM帐号和共享)

二 网络服务安全管理

1、严禁C$、D$、ADMIN$一类的缺省共享

敞开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右面的窗户中新建Dword值,名字设为AutoShareServer值设为0.注册表不成解.不要轻易更改.

2、去掉消除NetBios与TCP/IP协议的绑定右击网上邻舍-属性-右击本地连署-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3、关闭不必的服务,以下为提议选项

着手-全部手续-管理工具-服务

ComputerBrowser:保护网络计算机更新,禁用

DistributedFileSystem:局域网管理共享文件,不必禁用

Distributedlinktrackingclient:用于局域网更新连署信息,不必禁用

Errorreportingservice:严禁送出不正确报告陈述

MicrosoftSerch:供给迅速的单词搜索,不必可禁用

NTLMSecuritysupportprovide:telnet服务和MicrosoftSerch用的,不必禁用

PrintSpooler:假如没有打印机可禁用

RemoteRegistry:严禁长程改正注册表

RemoteDesktopHelpSessionManager:严禁长程辅佐

Messenger:信使服务(windows2000)

TaskScheduler:准许手续在指定时间运行(无须规划担任的工作就禁用掉)

TCP/IPNetBIOSHelperService:NetBIOS(Net变态)”服务以及NetBIOS名字解析的支持

注:新上架的服务器已经做过其它安全设置只开以下端口,需求开其它端口可以在。

右击网上邻舍-属性-Internet协议(TCP/IP)属性-高级-选项-TCP/IP用筛子选-属性-TCP端口-添加你想要开的端口.

默许开启的端口列表:

FTP:20.21

mail:25.110

Web:80

pcanywhere:5631

长程桌面儿:3389(3389不要关闭,否则将没有办法长程连署)

三 系统安全管理

1.对于系统的NTFS磁盘职权范围设置,C盘只给administrators和system职权范围,其它的职权范围不给,其它的盘也可以这么设置,这处给的system职权范围也不尽然需求给,只是因为某些第三方应用手续是以服务方式开始工作的,需求加上这个用户,否则导致开始工作不成。

2.Windows目次要加上给users的默许职权范围,否则ASP和ASPX等应用手续就没有办法运行。

3.额外在c:/DocumentsandSettings/这处相当关紧,后面的目次里的职权范围根本不会秉承以前的设置,假如仅只只是设置了C盘给administrators职权范围,而在AllUsers/ApplicationData目次下会显露出来everyone用户有绝对扼制职权范围,这么侵入国这可以跳转到这个目次,写入脚本代码或只文件,再接合其它破绽来提高职权范围.

4.net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe这些个文件都设置只准许administrators.system过访.guests严禁过访四敞开相应的审查核定策略着手-手续-管理工具-本地安全策略-安全设置-本地策略-审查核定策略

注:windows2003已经开启局部.windows2000没有开启.可以依据实际事情状况来设置.

引荐的要审查核定的项目是:

登录事情成功败绩

账户登录事情成功败绩

系统事情成功败绩

策略更改成功败绩

对象过访败绩

目次服务过访败绩

特别的权利运用败绩