返回目录:office365
Windows Server 2003已经慢慢淡出人们的视野,主要是微软官方已经停止了对Windows Server 2003系统的补丁更新,虽然现在Windows Server 2016已经出来很久了,但是市场占有率一直都不高,目前绝大部分使用Windows系统的站长都会使用目前普及率最高的Windows Server 2008 R2企业版,这个版本已经非常的成熟,只要补丁更新到位,基本不会出什么大问题,但是他相对于Windows Server 2003 还是要复杂很多,还需要对他做很多安全策略,以保证服务器的稳定和网站的安全运行,以下是针对服务器安全方面的一些基本设置和安全策略,如果有没说到的希望大家踊跃提出一起分享,我们维恩网络科技主要是做海外的高防服务器租用,有兴趣可以私信哦。
一, 目录和用户权限
系统C盘只用保留最基本的权限,除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,当您的网站放在D盘的时候,D盘根目录权限只保留Administrators和SYSTEM两个权限,可以在D盘的二级目录中加上网站目录所必须用到的IIS或者USERS权限以保证网站有足够的权限运行。
二, 修改远程端口3389
这个就不用多说了,网上能找到很多修改远程端口的软件,一般很多小白黑客都会使用傻瓜式的工具在互联网上24小时不停的扫描所有开放3389端口的服务器,并使用弱口令词典不断的破解你的管理员密码,不仅会占用系统的资源,而且对系统安全造成很大的威胁,解决方法就是用修改远程端口的工具把端口修改成其它端口,并将3389和TCP连接加入阻止连接列表。
三, 设置本地连接属性
打开网络属性,本地连接属性,将“Microsoft网络客户端”,“Microsoft网络的文件和打印机共享” 前面的勾去掉并点卸载。
四, 关闭网络共享和发现
将“网络共享,文件共享,公用文件共享,打印机共享,显示我正在共享的所有文件和文件夹,显示这台计算机上所有共享的网络文件夹” 全部关闭。注意要把密码保护共享启用。
五, 本地安全策略
1,打开CMD运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->Windows设置-->安全设置-->本地策略-->安全选项
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用 已经启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许储存网络身份验证的凭据 启用
网络访问:可匿名访问的共享 内容全部删除
网络访问:可匿名访问的命名管道 内容全部删除
网络访问:可远程访问的注册表路径 内容全部删除
网络访问:可远程访问的注册表路径和子路径 内容全部删除
帐户:重命名来宾帐户 这里可以更改guest帐号
帐户:重命名系统管理员帐户 这里可以更改Administrator帐号
2,打开组策略编辑器,选择计算机配置-->Windows设置-->安全设置-->账户策略-->账户锁定策略,将密码策略中的密码必须符合性要求启用,密码最小值改成14,密码最长使用期限改成30天,养成定期更改密码的好习惯。
3,将账户锁定阈值设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
4,选择计算机配置-->Windows设置-->安全设置-->本地策略-->用户权限分配 关闭系统: 只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
5,通过终端服务允许登陆:加入Administrators组,其他全部删除。
这个是最最重要的,微软也是在为不断的更新和完善自己的系统,所以对系统打上最新补丁是非常有必要的。
通过以上的安全设置,能有效提高网站服务器的安全性能,保证网站更安全更稳定的运行。