H3C交換機安全配置基線H3C交換機安全配置基線(Version 1.0)2012年12月1 引言 (1)2 適用范圍 (1)3 縮略語 (1)4 安全基線要求項命名規(guī)則 (2)5 文檔使用說明 (2)6 注意事項 (3)7 安全配置要求 (3)7.1 賬號管理 (3)7.1.1 運維賬號共享管理 (3)7.1.2 刪除與工作無關(guān)賬號 (3)7.2 口令管理 (4)7.2.1 靜態(tài)口令加密 (4)7.2.2 靜態(tài)口令運維管理 (4)7.3 認證管理 (5)7.3.1 RADIUS認證(可選) (5)7.4 日志審計 (6)7.4.1 RADIUS記賬(可選) (6)7.4.2 啟用信息中心 (6)7.4.3 遠程日志功能 (7)7.4.4 日志記錄時間準(zhǔn)確性 (7)7.5 協(xié)議安全 (7)7.5.1 BPDU防護 (8)7.5.2 根防護 (8)7.5.3 VRRP認證 (8)7.6 網(wǎng)絡(luò)管理 (9)7.6.1 SNMP協(xié)議版本 (9)7.6.2 修改SNMP默認密碼 (9)7.6.3 SNMP通信安全(可選) (10)7.7 設(shè)備管理 (10)7.7.1 交換機帶內(nèi)管理方式 (10)7.7.2 交換機帶內(nèi)管理通信 (11)7.7.3 交換機帶內(nèi)管理超時 (11)7.7.4 交換機帶內(nèi)管理驗證 (12)7.7.5 交換機帶內(nèi)管理用戶級別 (12)7.7.6 交換機帶外管理超時 (13)7.7.7 交換機帶外管理驗證 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址數(shù) (14)7.8.3 交換機VLAN劃分 (14)7.9 其它 (15)7.9.1 交換機登錄BANNER管理 (15)7.9.2 交換機空閑端口管理 (15)7.9.3 禁用版權(quán)信息顯示 (16)附錄A 安全基線配置項應(yīng)用統(tǒng)計表 (17)附錄B 安全基線配置項應(yīng)用問題記錄表 (19)
目前創(chuàng)新互聯(lián)已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站運營、企業(yè)網(wǎng)站設(shè)計、武都網(wǎng)站維護等服務(wù),公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。
附錄C 中國石油NTP服務(wù)器列表 (20)1 引言本文檔規(guī)定了中國石油使用的H3C系列交換機應(yīng)當(dāng)遵循的交換機安全性設(shè)置標(biāo)準(zhǔn),是中國石油安全基線文檔之一。本文檔旨在對信息系統(tǒng)的安全配置審計、加固操作起到指導(dǎo)性作用。本文檔主要起草人:靖小偉、楊志賢、張志偉、滕征岑、裴志宏、劉磊、葉銘、王勇、吳強。2 適用范圍本文檔適用于中國石油使用的H3C系列交換機,明確了H3C系列交換機在安全配置方面的基本要求,可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。3 縮略語TCP Transmission Control Protocol 傳輸控制協(xié)議UDP User Datagram Protocol 用戶數(shù)據(jù)報協(xié)議SNMP Simple Network Management Protocol 簡單網(wǎng)絡(luò)管理協(xié)議ARP Address Resolution Protocol 地址解析協(xié)議VLAN Virtual LAN 虛擬局域網(wǎng)STP Spanning Tree Protocol 生成樹協(xié)議RSTP Rapid Spanning Tree Protocol 快速生成樹協(xié)議MSTP Multiple Spanning Tree Protocol 多生成樹協(xié)議BPDU Bridge Protocol Data Unit 橋接協(xié)議數(shù)據(jù)單元VRRP Virtual Router Redundancy Protocol 虛擬路由器冗余協(xié)議NTP Network Time Protocol 網(wǎng)絡(luò)時間協(xié)議AAA Authentication,Authorization,Accounting 認證,授權(quán),記賬GCC General Computer Controls 信息系統(tǒng)總體控制SBL Security Base Line 安全基線4 安全基線要求項命名規(guī)則安全基線要求項是安全基線的最小單位,每一個安全基線要求項對應(yīng)一個基本的可執(zhí)行
的安全規(guī)范明細,安全基線要求項命名規(guī)則為“安全基線–一級分類–二級分類–類型編號–明細編號”,如SBL-Switch-H3C-01-01,代表“安全基線–交換機– H3C –賬號類–運維賬號共享管理“。5 文檔使用說明1 隨著信息技術(shù)發(fā)展,路由器與交換機在功能上逐漸融合,具有共同點,部分路由器上配有交換板卡,可以實現(xiàn)服務(wù)器與終端計算機接入;部分交換機配有路由引擎,可以實現(xiàn)路由功能。雖然兩者具有一定共同點,但從路由器與交換機在生產(chǎn)環(huán)境中的應(yīng)用定位出發(fā),本系列文檔分為路由器安全基線(側(cè)重于路由協(xié)議等)和交換機安全基線(側(cè)重于局域網(wǎng)交換與端口安全等)。2 H3C交換機可以通過命令行、Web、NMS等多種方式管理,本文檔中涉及的操作,均在命令行下完成。3 命令行中需要用戶定義的名稱與數(shù)值,文檔中均以標(biāo)出,用戶根據(jù)需要自行定義。例如local-user ,表示創(chuàng)建賬號名稱為name1的本地用戶,password cipher password1,表示本地用戶name1的密碼為passowrd1。4 由于各信息系統(tǒng)對于H3C系列交換機的要求不盡相同,因此對于第7章安全配置要求中的安全基線要求項,各信息系統(tǒng)根據(jù)實際情況選擇性進行配置,并填寫附錄A《安全基線配置項應(yīng)用統(tǒng)計表》。5 在第7章安全配置要求中,部分安全基線要求項提供了閾值,如“交換機帶內(nèi)管理設(shè)置登錄超時,超時時間不宜設(shè)置過長,參考值為5分鐘。”,此閾值為參考值,通過借鑒GCC、中國石油企標(biāo)、國內(nèi)外大型企業(yè)信息安全最佳實踐等資料得出。各信息系統(tǒng)如因業(yè)務(wù)需求無法應(yīng)用此閾值,在附錄A《安全基線配置項應(yīng)用統(tǒng)計表》的備注項進行說明。6 注意事項由于H3C系列交換機普遍應(yīng)用于重要生產(chǎn)環(huán)境,對于本文檔中安全基線要求項,實施前需要在測試環(huán)境進行驗證后應(yīng)用。在應(yīng)用安全基線配置項的過程中,如遇到技術(shù)性問題,填寫附錄B《安全基線配置項應(yīng)用問題記錄表》。在應(yīng)用安全基線配置前需要備份交換機的配置文件,以便出現(xiàn)故障時進行
回退。7 安全配置要求7.1 賬號管理7.1.1 運維賬號共享管理安全基線編號SBL-Switch- H3C-01-01安全基線名稱運維賬號共享安全基線要求項安全基線要求按照用戶分配賬號,避免不同用戶間共享運維賬號檢測操作參考[Switch]dis current | i local-user安全判定依據(jù)1)網(wǎng)絡(luò)管理員列出交換機運維人員名單;2)查看dis current | i local-user結(jié)果:local-userlocal-userlocal-user3)對比命令顯示結(jié)果與運維人員賬號名單,如果運維人員之間不存在共享運維賬號,表明符合安全要求。基線配置項重要度高中低操作風(fēng)險評估高中低7.1.2 刪除與工作無關(guān)賬號安全基線編號SBL- Switch- H3C-01-02安全基線名稱賬號整改安全基線要求項安全基線要求刪除與工作無關(guān)的賬號,提高系統(tǒng)賬號安全檢測操作參考[Switch]dis current | i local-user安全判定依據(jù)1)網(wǎng)絡(luò)管理員列出交換機運維人員的賬號名單;2)查看dis current | i local-user結(jié)果:local-userlocal-userlocal-user3)對比顯示結(jié)果與賬號名單,如果發(fā)現(xiàn)與運維無關(guān)的賬號,表明不符合安全要求。備注無關(guān)賬號主要指測試賬號、共享賬號、長期不用賬號(半年以上)等?;€配置項重要度高中低操作風(fēng)險評估高中低7.2 口令管理7.2.1 靜態(tài)口令加密安全基線編號SBL- Switch- H3C-02-01安全基線名稱靜態(tài)口令加密安全基線要求項安全基線要求1)配置本地用戶口令使用“cipher”關(guān)鍵字2)配置super口令使用“cipher”關(guān)鍵字檢測操作參考1)[Switch]dis current | b local-user2)[Switch]dis current | i super password
安全判定依據(jù)如果顯示“cipher”關(guān)鍵字,如:1)local-userpassword cipher 密文password2)super password level cipher 密文password 表明符合安全要求?;€配置項重要度高中低操作風(fēng)險評估高中低7.2.2 靜態(tài)口令運維管理安全基線編號SBL- Switch- H3C-02-02安全基線名稱靜態(tài)口令運維管理安全基線要求項安全基線要求1)采用靜態(tài)口令認證技術(shù)的設(shè)備,口令最小長度不少于8個字符2)采用靜態(tài)口令認證技術(shù)的設(shè)備,口令生存期最長為90天基線配置項重要度高中低7.3 認證管理7.3.1 RADIUS認證(可選)安全基線編號SBL- Switch- H3C-03-01安全基線名稱RADIUS認證安全基線要求項安全基線要求配置RADIUS認證,確認遠程用戶身份,判斷訪問者是否為合法的網(wǎng)絡(luò)用戶檢測操作參考1)[Switch]dis current | b radius scheme 2)[Switch]dis current | b domain3)[Switch]dis current | b user-interface vty安全判定依據(jù)如果顯示類似:1)配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2)配置域domainauthentication login radius-scheme local 3)配置本地用戶user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求?;€配置項重要度高中低操作風(fēng)險評估高中低7.4 日志審計7.4.1 RADIUS記賬(可選)
安全基線編號SBL- Switch- H3C-04-01安全基線名稱RADIUS記賬安全基線要求項安全基線要求與記賬服務(wù)器配合,設(shè)備配置日志功能:1)對用戶登錄進行記錄,記錄內(nèi)容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址;2)對用戶設(shè)備操作進行記錄,如賬號創(chuàng)建、刪除和權(quán)限修改,口令修改等,記錄需要包含用戶賬號,操作時間,操作內(nèi)容以及操作結(jié)果。檢測操作參考1)[Switch]dis current | b radius scheme2)[Switch]dis current | b domain安全判定依據(jù)如果顯示類似:1)配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2)配置域domainaccounting login radius-scheme local 表明符合安全要求。基線配置項重要度高中低操作風(fēng)險評估高中低7.4.2 啟用信息中心安全基線編號SBL- Switch- H3C-04-02安全基線名稱信息中心啟用安全基線要求項安全基線要求啟用信息中心,記錄與設(shè)備相關(guān)的事件檢測操作參考[Switch]dis info-center安全判定依據(jù)如果顯示類似:Information Center: enabled 表明符合安全要求。基線配置項重要度高中低操作風(fēng)險評估高中低7.4.3 遠程日志功能安全基線編號SBL- Switch- H3C-04-03安全基線名稱遠程日志功能安全基線要求項安全基線要求配置遠程日志功能,使設(shè)備日志能通過遠程日志功能傳輸?shù)饺罩痉?wù)器檢測操作參考[Switch]dis current | i info-center loghost安全判定依據(jù)如果顯示類似:info-center loghost 表明符合安全要求。
¥
5
百度文庫VIP限時優(yōu)惠現(xiàn)在開通,立享6億+VIP內(nèi)容
立即獲取
H3C交換機安全配置基線
H3C交換機安全配置基線
H3C交換機安全配置基線(Version 1.0)
2012年12月
1 引言 (1)
2 適用范圍 (1)
3 縮略語 (1)
4 安全基線要求項命名規(guī)則 (2)
5 文檔使用說明 (2)
6 注意事項 (3)
7 安全配置要求 (3)
“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此,照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計算機欣賞音樂、上網(wǎng)沖浪、運行游戲,還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全,成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓W(xué)indows Server 2003更加安全。
理解你的角色
理解服務(wù)器角色絕對是安全進程中不可或缺的一步。Windows Server可以被配置為多種角色,Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個服務(wù)器甚至可以被配置為上述角色的組合。
現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如,如果你的服務(wù)器將作為IIS服務(wù)器,那么你將需要開啟IIS服務(wù)。然而,如果服務(wù)器將作為獨立的文件或者打印服務(wù)器,啟用IIS服務(wù)則會帶來巨大的安全隱患。
我之所以在這里談到這個的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。
因為有很多強化服務(wù)器的方法,所以我將以配置一個簡單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟。我將努力指出當(dāng)服務(wù)器角色改變時你將要做的。請諒解這并不是一個涵蓋每種角色服務(wù)器的完全指南。
物理安全
為了實現(xiàn)真正意義上的安全,你的服務(wù)器必須被放置在一個安全的位置。通常地,這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當(dāng)重要的,因為現(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點。對于任何角色的Windows Server 2003,這都是必要的。
創(chuàng)建基線
除了建立良好的物理安全以外,我能給你的最佳建議是,在配置一系列Windows Server 2003的時候,應(yīng)該確定你的安全需求策略,并立即部署和執(zhí)行這些策略 。
實現(xiàn)這一目的最好的方法是創(chuàng)建一個安全基線(security baseline)。安全基線是文檔和公認安全設(shè)置的清單。在大多數(shù)情況下,你的基線會隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個不同的基線,以便將它們應(yīng)用到不同類型的服務(wù)器上。例如,你可以為文件服務(wù)器制定一個基線,為域控制器制定另一個基線,并為IAS服務(wù)器制定一個和前兩者都不同的基線。
windows 2003包含一個叫"安全配置與分析"的工具。這個工具讓你可以將服務(wù)器的當(dāng)前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。
安全模板是一系列基于文本的INF文件,被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個體模板最簡單的方法是使用管理控制臺(MMC)。
要打開這個控制 臺,在RUN提示下輸入MMC命令,在控制臺加載后,選擇添加/刪除管理單元屬性命令,Windows就會顯示添加/刪除管理單元列表。點擊"添加"按鈕,你將會看到所有可用管理單元的列表。選擇安全模板管理單元,接著依次點擊添加,關(guān)閉和確認按鈕。
在安全模板管理單元加載后,你就可以察看每一個安全模板了。在遍歷控制臺樹的時候,你會發(fā)現(xiàn)每個模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個模板的用途。例如,HISECDC模板就是一個高安全性的域控制器模板。
如果你正在安全配置一個文件服務(wù)器,我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時,你會發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全,但是不一定能滿足你的需求。某些安全設(shè)置可能過于嚴格或過于松散。我建議你修改現(xiàn)有的設(shè)置,或是創(chuàng)建一個全新的策略。通過在控制臺中右擊C:WINDOWSSecurityTemplates文件夾并在目標(biāo)菜單中選擇新建模板命令,你就可以輕輕松松地創(chuàng)建一個新的模板。
在創(chuàng)建了符合需求的模板后,回到添加/刪除管理單元屬性面板,并添加一個安全配置與分析的管理單元。在這個管理單元加載后,右擊"安全配置與分析"容器,接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫"命令,點擊"打開"按鈕,你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。
接下來,右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點擊打開。在模板被導(dǎo)入后,再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計算機"命令。Windows將會提示你寫入錯誤日志的.位置,鍵入文件路徑并點擊"確定"。
在這樣的情況下,Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過"安全配置與分析控制臺"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。
在你可以檢查差異列表的時候,就是執(zhí)行基于模板安全策略的時候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計算機"命令。這一工具將會立即修改你計算機的安全策略,從而匹配模板策略。
組策略實際上是層次化的。組策略可以被應(yīng)用到本地計算機級別、站點級別、域級別和OU級別。當(dāng)你實現(xiàn)基于模板的安全之時,你正在在修改計算機級別的組策略。其他的組策略不會受到直接影響,盡管最終策略可能會反映變化,由于計算機策略設(shè)置被更高級別的策略所繼承。
修改內(nèi)建的用戶賬號
多年以來,微軟一直在強調(diào)最好重命名Administrator賬號并禁用Guest賬號,從而實現(xiàn)更高的安全。在Windows Server 2003中,Guest 賬號是缺省禁用的,但是重命名Administrator賬號仍然是必要的,因為黑客往往會從Administrator賬號入手開始進攻。
有很多工具通過檢查賬號的SID來尋找賬號的真實名稱。不幸的是,你不能改變用戶的SID,也就是說基本上沒有防止這種工具來檢測Administrator賬號真實名稱的辦法。即便如此,我還是鼓勵每個人重命名Administrator 賬號并修改賬號的描述信息,有兩個原因:
首先,誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號為一個獨特的名稱讓你能更方便的監(jiān)控黑客對此賬號的進攻。
另一個技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號,完全獨立于域中的管理 員賬號。你可以配置每個成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測出你的本地用戶名和密碼,你肯定不希望他用相同的賬號侵犯其他的服務(wù)器。當(dāng)然,如果你擁有良好的物理安全,誰也不能使用本地賬號取得你服務(wù)器的權(quán)限。
服務(wù)賬號
Windows Server 2003在某種程度上最小化服務(wù)賬號的需求。即便如此,一些第三方的應(yīng)用程序仍然堅持傳統(tǒng)的服務(wù)賬號。如果可能的話,盡量使用本地賬號而不是域賬號作為服務(wù)賬號,因為如果某人物理上獲得了服務(wù)器的訪問權(quán)限,他可能會轉(zhuǎn)儲服務(wù)器的LSA機密,并泄露密碼。如果你使用域密碼,森林中的任何計算機都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶,密碼只能在本地計算機上使用,不會給域帶來任何威脅。
系統(tǒng)服務(wù)
一個基本原則告訴我們,在系統(tǒng)上運行的代碼越多,包含漏洞的可能性就越大。你需要關(guān)注的一個重要安全策略是減少運行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時增強服務(wù)器的性能。
在Windows 2000中,缺省運行的服務(wù)有很多,但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場。事實上,windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中,微軟關(guān)閉了大多數(shù)不是絕對必要的服務(wù)。即使如此,還是有一些有爭議的服務(wù)缺省運行。
其中一個服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計簡化用戶的工作。DFS允許管理員創(chuàng)建一個邏輯的區(qū)域,包含多個服務(wù)器或分區(qū)的資源。對于用戶,所有這些分布式的資源存在于一個單一的文件夾中。
我個人很喜歡DFS,尤其因為它的容錯和可伸縮特性。然而,如果你不準(zhǔn)備使用DFS,你需要讓用戶了解文件的確切路徑。在某些環(huán)境下,這可能意味著更強的安全性。在我看來,DFS的利大于弊。
另一個這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強制的服務(wù),因為它能夠保持SYSVOL文件夾的同步。對于成員服務(wù)器來說,這個服務(wù)不是必須的,除非運行DFS。
如果你的文件服務(wù)器既不是域控制器,也不使用DFS,我建議你禁用FRS服務(wù)。這么做會減少黑客在多個服務(wù)器間復(fù)制惡意文件的可能性。
另一個需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請求,并在這些請求下控制所有的打印工作。所有的打印操作都離不開這個服務(wù),它也是缺省被啟用的。
不是每個服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器,你應(yīng)該禁用這個服務(wù)。畢竟,專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地,沒有人會在服務(wù)器控制臺工作,因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。
我相信通常在災(zāi)難恢復(fù)操作過程中,打印錯誤消息或是事件日志都是十分必要的。然而,我依然建議在非打印服務(wù)器上簡單的關(guān)閉這一服務(wù)。
信不信由你,PSS是最危險的Windows組件之一。有不計其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動機是因為它是統(tǒng)級的服務(wù),因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級別的特權(quán)。為了防止此類攻擊,還是關(guān)掉這個服務(wù)吧。
Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng),相比Windows 2000/XP系統(tǒng)來說,各方面的功能確實得到了增強,尤其在安全方面,總體感覺做的還算不錯.但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server,你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.
如何設(shè)置Windows服務(wù)器安全設(shè)置
一、取消文件夾隱藏共享在默認狀態(tài)下,Windows 2000/XP會開啟所有分區(qū)的隱藏共享,從“控制面板/管理工具/計算機管理”窗口下選擇“系統(tǒng)工具/共享文件夾/共享”,就可以看到硬盤上的每個分區(qū)名后面都加了一個“$”。但是只要鍵入“計算機名或者IPC$”,系統(tǒng)就會詢問用戶名和密碼,遺憾的是,大多數(shù)個人用戶系統(tǒng)Administrator的密碼都為空,入侵者可以輕易看到C盤的內(nèi)容,這就給網(wǎng)絡(luò)安全帶來了極大的隱患。
怎么來消除默認共享呢?方法很簡單,打開注冊表編輯器,進入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一個名為“AutoShareWKs”的雙字節(jié)值,并將其值設(shè)為“0”,然后重新啟動電腦,這樣共享就取消了。關(guān)閉“文件和打印共享”文件和打印共享應(yīng)該是一個非常有用的功能,但在不需要它的時候,也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下,我們可以將它關(guān)閉。用鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,然后單擊“文件和打印共享”按鈕,將彈出的“文件和打印共享”對話框中的兩個復(fù)選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器,進入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”,將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協(xié)議對于服務(wù)器來說,只安裝TCP/IP協(xié)議就夠了。鼠標(biāo)右擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,再鼠標(biāo)右擊“本地連接”,選擇“屬性”,卸載不必要的協(xié)議。其中NETBIOS是很多安全缺陷的根源,對于不需要提供文件和打印共享的主機,還可以將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉,避免針對NETBIOS的攻擊。選擇“TCP/IP協(xié)議/屬性/高級”,進入“高級TCP/IP設(shè)置”對話框,選擇“WINS”標(biāo)簽,勾選“禁用TCP/IP上的NETBIOS”一項,關(guān)閉NETBIOS。四、禁用不必要的服務(wù):Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠程修改注冊表)Server(文件共享)Task Scheduler(計劃任務(wù))TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶
Administrator帳戶擁有最高的系統(tǒng)權(quán)限,一旦該帳戶被人利用,后果不堪設(shè)想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼,所以我們要重新配置Administrator帳號。
首先是為Administrator帳戶設(shè)置一個強大復(fù)雜的密碼(個人建議至少12位),然后我們重命名Administrator帳戶,再創(chuàng)建一個沒有管理員權(quán)限的Administrator帳戶欺騙入侵者。這樣一來,入侵者就很難搞清哪個帳戶真正擁有管理員權(quán)限,也就在一定程度上減少了危險性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計算機給別人當(dāng)玩具,那還是禁止的好。打開控制面板,雙擊“用戶和密碼”,單擊“高級”選項卡,再單擊“高級”按鈕,彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵,選擇屬性,在“常規(guī)”頁中選中“賬戶已停用”。另外,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全。七、防范木馬程序
木馬程序會竊取所植入電腦中的有用信息,因此我們也要防止被黑客植入木馬程序,常用的辦法有:
● 在下載文件時先放到自己新建的文件夾里,再用殺毒軟件來檢測,起到提前預(yù)防的作用。
● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運行項目,如果有,刪除即可。
● 將注冊表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務(wù),還需要對IIS服務(wù)進行安全配置:
(1) 更改Web服務(wù)主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”,將“本地路徑”指向其他目錄。
(2) 刪除原默認安裝的Inetpub目錄。(或者更改文件名)
(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認安裝沒有打開任何安全審核,所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應(yīng)的審核。系統(tǒng)提供了九類可以審核的事件,對于每一類都可以指明是審核成功事件、失敗事件,還是兩者都審核策略更改:成功或失敗登錄事件:成功和失敗對象訪問:失敗事件過程追蹤:根據(jù)需要選用目錄服務(wù)訪問:失敗事件特權(quán)使用:失敗事件系統(tǒng)事件:成功和失敗賬戶登錄事件:成功和失敗賬戶管理:成功和失敗十、安裝必要的安全軟件
我們還應(yīng)在電腦中安裝并使用必要的防黑軟件,殺毒軟件和防火墻都是必備的。在上網(wǎng)時打開它們,這樣即便有黑客進攻我們的安全也是有保證的。當(dāng)然我們也不應(yīng)安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統(tǒng)打上補丁,微軟那些沒完沒了的補丁還是很有用的。
名稱欄目:服務(wù)器安全基線怎么設(shè)置 服務(wù)器上的安全
文章分享:http://m.rwnh.cn/article16/ddoocgg.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供、做網(wǎng)站、微信小程序、App開發(fā)、軟件開發(fā)、云服務(wù)器
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)