上海网站建设怎么样,百度seo工作室,培训做网站,wordpress登陆后缀一、修改管理员帐号和新建“陷阱”帐号
多年以来#xff0c;微软一直在强调建议重命名Administrator账号并禁用Guest账号#xff0c;提高计算机的安全性。Windows Server 2003系统#xff0c;Guest 账号是默认禁用的#xff0c;管理员账号默认是Administrator#xff0c;…一、修改管理员帐号和新建“陷阱”帐号
多年以来微软一直在强调建议重命名Administrator账号并禁用Guest账号提高计算机的安全性。Windows Server 2003系统Guest 账号是默认禁用的管理员账号默认是Administrator修改用户名和定期修改密码小林认为是非常必要的入侵者暴力破解都是从管理员账号开始。
1. 修改管理员账号方法
1、打开【开始】--【程序】--【管理工具】--【本地安全策略】 2、在本地安全设置中依次打开【本地策略】--【安全选项】在右侧找到【账户重命名系统管理员账户】 3、双击或是右键【属性】可以修改管理员账户名称修改好后点击应用、确定即可 4、还有另外个更简单的方法点击桌面【我的电脑】右键【管理】打开计算机管理 5、然后依次打开【本地用户和组】--【用户】--找到现在使用的用户右键【重命名】 6、用户名修改好后直接关闭下次登录用新的账户登录就行。
账户尽量不要用Admin这类名字改了等于没改可以把它伪装成普通用户比如guestone。
除了可以修改管理员的用户名也可以新建个名称为Administrator的“陷阱”账户该账户权限设置最低什么权限也没有的那种并且加上一个超过10位数的超级复杂密码。当有人想要入侵你的服务器可以增加难度也可以分析入侵者的动机。 也可以在登录脚本做手脚可以参考这篇官方教程。 二、删除默认共享存在的危险
Windows server 2003系统安装好后系统会创建一些隐藏的共享你可以打开【开始】--【运行】输入【cmd】打开命令行程序输入命令net share 查看有哪些共享资源。 如果是提示没有启动Server服务可以在【控制面板--管理工具--服务】中找到Server右键属性首先将启动类型调整为自动确定应用应用后将服务启动 将Server服务启动后重新在cmd程序中输入命令net share就可以看到有哪些共享资源了 当我们知道了共享资源的的路径为了提升服务器安全性我们要禁止或是删除这些共享文件。
1. 首先编写如下内容的批处理文件
echo offnet share C$ /delnet share D$ /delnet share ADMIN$ /del
以上批处理内容可以根据自己的情况进行修改保存为delshare.bat存放在系统文件夹system32\User\Scripts\Logon目录中。 然后打开【开始】--【运行】输入gpedit.msc打开组策略编辑器。 依次点击用户配置--Windows设置--脚本登录/注销--登录在登录的左侧可以看到“属性”打开点击添加脚本名填写delshare.bat然后确定应用 设置好后就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。
我们依然可以通过命令net share查看共享资源。 net share命令除了能看到系统默认开启的隐藏共享外还可以看到一个名为IPC$的隐藏共享IPC$是什么呢
IPC$(Internet Process Connection) 是共享“命名管道”资源。我们知道客户端访问服务器时必须要输入用户名和密码进行身份验证利用IPC$连接者可以与目标主机建立一个空的连接无需用户名和密码前提是对方主机开了IPC$共享。利用这个空的连接连接者还可以得到目标主机上的用户列表管理员可以禁止导出用户列表
IPC$初衷是为了方便管理员的管理但却被些别有用心者利用成为了入侵并危害主机的一种手段降低了系统安全性能。
当你用不上IPC$功能时可以选择禁用IPC$连接来加强系统安全。
2. 禁用IPC$空连接方法
1、首先我们打开运行快捷键winR输入regedit命令然后点击确定打开注册表编辑器 在打开的注册表编辑器窗口中先定位到计算机【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa】注册表项 在右侧中找到【restrictanonymous】然后右键【修改】将数值数据修改为1点击确定后重启服务器就不会再生成IPC$空连接了。 三、重新设置远程可访问的注册表路径
设置远程可访问的注册表路径为空这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
依次打开【开始】--【程序】--【管理工具】--【本地安全策略】打开组策略编辑器然后依次选择【本地策略】--【安全选项】找到【网络访问可远程访问的注册表路径和子路径】右键属性将本地策略设置内容为空即可。这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。 四、关闭不需要的端口
端口扫描是入侵者最常用的一种方法关闭不需要的端口可以提高服务器的安全性。就比如139端口Netbios使用的端口在以前的Windows版本中只要不安装Microsoft网络的文件和打印共享协议就可关闭139端口。但是对于Windows Server 2003系统只这样做是不行的。
如果想彻底关闭139端口方法如下
【网上邻居】右键属性进入网络连接再【本地连接】右键属性在本地连接属性中把【Microsoft网络的文件和打印机共享】取消勾选。 接下来选中【Internet协议TCP/IP】单击【属性】--【高级】--【WINS】选择【禁用TCP/IP上的NetBIOS】然后确定即可。这样可以有效防止SMBCrack之类工具破解和利用网页得到我们的NT散列。 如果是你的服务器还安装了IIS建议设置下端口过滤。注意此设置需要重启服务器
再次打开本地连接右键属性双击【Internet协议TCP/IP点击【高级】单击【选项】--TCP/IP筛选--属性将【启用TCP/IP筛选所有适配器】勾选然后根据需要配置就可以了。
比如说你只打算浏览网页则只开放TCP端口80即可所以可以在“TCP端口”上方选择“只允许”然后单击“添加”按钮输入80再单击“确定”即可。如法炮制。 五、以上是最基础的几项安全设置下面再说说其他方面的安全设置。
一重新支持ASP脚本
为了将系统安全隐患降到最低限度Windows Server 2003操作系统在默认状态下是不支持ASP脚本运行的不过现在许多网页的服务功能多是通过ASP脚本来实现的为此我们很有必要在安全有保障的前提下让系统重新支持ASP脚本。具体实现的方法为
1、依次打开【开始】--【程序】--【管理工具】--【Internet信息服务iis管理器】 2、打开IIS 管理器后依次单击【本地计算机】--【web服务扩展】--右侧找到【Active Server Pages】右键允许即可。设置好后系统的IIS6就支持ASP脚本了。 二根据需要对系统服务进行控制
服务是一种在系统后台运行的应用程序类型它与UNIX后台程序类似。服务提供了核心操作系统功能如Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误报告。通过服务管理单元可管理本地或远程计算机上的服务。并不是所有默认服务都是我们需要的。
我们不需要的可以停用、禁用来释放系统资源。如果你想知道系统开启了哪些服务可以依次打开【开始】--【设置】--【控制面板】--【管理工具】--【服务】来查看每个服务都有完整的描述。
服务账号
Windows Server 2003在某种程度上最小化服务账号的需求。即便如此一些第三方的应用程序仍然坚持传统的服务账号。如果可能的话尽量使用本地账号而不是域账号作为服务账号因为如果某人物理上获得了服务器的访问权限他可能会转储服务器的LSA机密并泄露密码。如果你使用域密码森林中的任何计算机都可以通过此密码获得域访问权限。而如果使用本地账户密码只能在本地计算机上使用不会给域带来任何威胁。
系统服务
一个基本原则告诉我们在系统上运行的代码越多包含漏洞的可能性就越大。你需要关注的一个重要安全策略是减少运行在你服务器上的代码。这么做能在减少安全隐患的同时增强服务器的性能。
在Windows 2000中缺省运行的服务有很多但是有很大一部分服务在大多数环境中并派不上用场。事实上Windows 2000的缺省安装甚至包含了完全操作的IIS服务器。而在Windows Server 2003中微软关闭了大多。
以上就是关于Windows server 2003系统的安全加固方法
