网站服务器维护 服务器维护安全策略方案

2014-07-02 10:13 作者：ly 浏览量：

　　服务器维护安全策略：一、windows系统帐号

　　1.将administrator改名,如改为别名，如：boco_ofm;或者取中文名(这样可以为黑客攻击增加一层障碍)

　　2.将guest改名为administrator作为陷阱帐户，并且设置一个个高强度的密码，或直接禁用;(有的黑客工具正是利用了guest 的弱点，可以将帐号从一般用户提升到管理员组。)

　　3.除了管理员帐户、以及服务必须要用到的用户外，禁用或删除其他一切用户。

　　(1)网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多 一份被攻破的危险。

　　(2)除过Administrator外，有必要再增加一个属于管理员组的帐号;(两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐 号;另方面，一旦黑客攻破一个帐号并更改口令，我们还有机会重新在短期内取得控制权。)

　　(3)给所有用户帐号一个复杂的口令(系统帐号出外)，长度最少在8位以上， 且必须同 时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如boco)、熟悉的键盘顺 序(如qwert)、熟悉的数字(如2008)等。(口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了,通过在网络上查资料显示，仅字母加数字的5位口令在几分钟内就会被攻破)

　　二、密码与用户策略

　　1.开启密码策略

　　注意应用密码策略，启用密码复杂性要求，设置密码长度最小值为8位 ，设置强制密码历史为5次，时间为31天。

　　2.开启用户策略

　　使用用户策略，分别设置复位用户锁定计数器时间为30分钟，用户锁定时间为30分钟，用户锁定阈值为3次。

　　三、Windows防火墙

　　Windows 2000默认不带防火墙，需要我们自己安装一个安全的软件防火墙;

　　1.开启前要先看看3389端口有没有加到例外里去，因为我们的服务器都放在机房，维护人员一般都是在远程维护，没有的话勾上“远程桌面”，然后再开启。

　　2.在例外中加入80、1433、21端口，总之，要什么端口才添加什么端口，不要的端口一律不加。(也可以：windows防火墙“高级”本地连接“设置”服务，勾上所要服务，如：远程桌面、http、ftp、smtp)。

　　3.允许ping服务器：windows防火墙—高级—本地连接“设置”ICMP，勾上第一个：允许传入响应请求。

　　4.在防火墙策略中在添加一个允许远程桌面的的IP地址通过。

　　四、本地策略

　　1.本地策略——>安全选项

　　交互式登陆：不显示上次的用户名 启用

　　网络访问：不允许SAM帐户和共享的匿名枚举　 启用

　　网络访问：不允许为网络身份验证储存凭证 启用

　　网络访问：可匿名访问的共享　全部删除

　　网络访问：可匿名访问的命名管道　全部删除

　　网络访问：可远程访问的注册表路径全部删除

　　网络访问：可远程访问的注册表路径和子路径全部删除

　　网络访问：限制匿名访问命名管道和共享

　　2.本地策略——>审核策略

　　审核策略更改　成功　失败

　　审核登录事件　成功　失败

　　审核对象访问　 　失败

　　审核过程跟踪　无审核

　　审核目录服务访问失败

　　审核特权使用失败

　　审核系统事件　成功　失败

　　审核账户登录事件　成功　失败

　　审核账户管理　成功　失败

　　3.本地策略——>用户权限分配

　　关闭系统：只有Administrators组、其它全部删除。

　　从网络访问些计算机：只有系统管理员与指定帐号。

　　4.使用NTFS格式分区

　　把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。

　　5.设置屏幕保护密码

　　很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。

　　6.把共享文件的权限从”everyone”组改成“授权用户”

　　“everyone” 在win2000与win3003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的。

　　7.保障备份盘的安全

　　一旦系统资料被破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份放在安全的地方。千万别把资料备份在同一台服务器上，我们在3001房间已经部署了备份服务器。

　　艾锑无限是国内领先IT外包服务商，专业为企业提供IT运维外包、兼职网管、网络布线、电脑维护、网络维护、办公设备维护、服务器维护、数据备份恢复、门禁监控、网站建设等多项IT外包服务。

　　服务热线：400-650-7820 联系电话：010-62684652 手机：15601064618 咨询QQ：2488237107 地址：北京市中关村科技会展中心1号楼B座6-7M 用心服务每一天，为企业的发展提升更高的效率，创造更大的价值，更多的IT外包信息尽在艾锑无限 http://www.itbmw.com