云服務(wù)器的常規(guī)安全設(shè)置及基本安全策略

時間：2022-05-24 22:09:01 | 來源：網(wǎng)絡(luò)營銷

時間：2022-05-24 22:09:01 來源：網(wǎng)絡(luò)營銷

現(xiàn)在很多企業(yè)網(wǎng)站或個人網(wǎng)站都是選擇搭建在云服務(wù)器上，雖說這些網(wǎng)站的安全性比起搭建在傳統(tǒng)服務(wù)器上的網(wǎng)站來說是更加安全的，但平時的維護也需要我們站長多加小心，以免被惡意掛馬，導(dǎo)致網(wǎng)站被懲罰。

最近，換了新的云服務(wù)器，選購的是Windows Server 2008 R2的系統(tǒng)，很多安全設(shè)置就要重新做了，對于一些基本設(shè)置及基本安全策略，在網(wǎng)上搜了一下，整理大概有以下這些要點，如果有不足的設(shè)置，希望大家?guī)兔μ岢龉?br>
首先，先說幾個比較重要的部分：

1、更改默認(rèn)administrator用戶名，復(fù)雜密碼

2、開啟防火墻

3、安裝殺毒軟件

細(xì)節(jié)部分包含：

1、新做系統(tǒng)一定要先打上補丁

2、安裝必要的殺毒軟件

3、刪除系統(tǒng)默認(rèn)共享

4、修改本地策略——>安全選項

交互式登陸：不顯示最后的用戶名 啟用

網(wǎng)絡(luò)訪問：不允許SAM 帳戶和共享的匿名枚舉 啟用

網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或 .NET Passports 啟用

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑 全部刪除

5、禁用不必要的服務(wù)

TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation

6、禁用IPV6

server 2008 r2交互式登錄: 不顯示最后的用戶名

其實最重要的就是開啟防火墻+服務(wù)器安全狗（安全狗自帶的一些功能基本上都設(shè)置的差不多了）+mysql(sqlserver)低權(quán)限運行基本上就差不多了。3389遠(yuǎn)程登錄，一定要限制ip登錄。

一、系統(tǒng)及程序

1、屏幕保護與電源

桌面右鍵--〉個性化--〉屏幕保護程序，屏幕保護程序 選擇無，更改電源設(shè)置 選擇高性能，選擇關(guān)閉顯示器的時間 關(guān)閉顯示器選“從不”保存修改。

2、配置IIS7組件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite環(huán)境。在這里我給大家可以推薦下阿里云的服務(wù)器一鍵環(huán)境配置，全自動安裝設(shè)置很不錯的（具體可查看億企邦《云主機iis_php_mysql一鍵安裝包》的相關(guān)介紹）。

二、安全配置

接下來，我們重點講一下系統(tǒng)上的安全配置，旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行Windows操作系統(tǒng)的安全合規(guī)性檢查和配置，需要的朋友可以參考下：

1、目錄權(quán)限

除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對其下的子目錄作單獨的目錄權(quán)限。

2、遠(yuǎn)程連接

我的電腦屬性--〉遠(yuǎn)程設(shè)置--〉遠(yuǎn)程--〉只允許運行帶網(wǎng)絡(luò)超級身份驗證的遠(yuǎn)程桌面的計算機連接，選擇允許運行任意版本遠(yuǎn)程桌面的計算機連接(較不安全)。備注：方便多種版本W(wǎng)indows遠(yuǎn)程管理服務(wù)器。windows server 2008的遠(yuǎn)程桌面連接，與2003相比，引入了網(wǎng)絡(luò)級身份驗證（NLA，network level authentication)，XP SP3不支持這種網(wǎng)絡(luò)級的身份驗證，vista跟win7支持。然而在XP系統(tǒng)中修改一下注冊表，即可讓XP SP3支持網(wǎng)絡(luò)級身份驗證。HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa在右窗口中雙擊Security Pakeages，添加一項“tspkg”。HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurityProviders，在右窗口中雙擊SecurityProviders，添加credssp.dll；請注意，在添加這項值時，一定要在原有的值后添加逗號后，別忘了要空一格（英文狀態(tài)）。然后將XP系統(tǒng)重啟一下即可。再查看一下，即可發(fā)現(xiàn)XP系統(tǒng)已經(jīng)支持網(wǎng)絡(luò)級身份驗證。

3、修改遠(yuǎn)程訪問服務(wù)端口

更改遠(yuǎn)程連接端口方法，可用windows自帶的計算器將10進(jìn)制轉(zhuǎn)為16進(jìn)制。更改3389端口為8208，重啟生效！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp]

"PortNumber"=dword:0002010

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]

"PortNumber"=dword:00002010

（1）、在開始--運行菜單里,輸入regedit,進(jìn)入注冊表編輯,按下面的路徑進(jìn)入修改端口的地方

（2）、HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp

（3）、找到右側(cè)的 "PortNumber"，用十進(jìn)制方式顯示，默認(rèn)為3389，改為(例如)6666端口

（4）、HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp

（5）、找到右側(cè)的 "PortNumber"，用十進(jìn)制方式顯示，默認(rèn)為3389，改為同上的端口

（6）、在控制面板--Windows 防火墻--高級設(shè)置--入站規(guī)則--新建規(guī)則

（7）、選擇端口--協(xié)議和端口--TCP/特定本地端口：同上的端口

（8）、下一步，選擇允許連接

（9）、下一步，選擇公用

（10）、下一步，名稱：遠(yuǎn)程桌面-新(TCP-In)，描述：用于遠(yuǎn)程桌面服務(wù)的入站規(guī)則，以允許RDP通信。[TCP 同上的端口]

（11）、刪除遠(yuǎn)程桌面(TCP-In)規(guī)則

（12）、重新啟動計算機

4、配置本地連接

網(wǎng)絡(luò)--〉屬性--〉管理網(wǎng)絡(luò)連接--〉本地連接，打開“本地連接”界面，選擇“屬性”，左鍵點擊“Microsoft網(wǎng)絡(luò)客戶端”，再點擊“卸載”，在彈出的對話框中“是”確認(rèn)卸載。點擊“Microsoft網(wǎng)絡(luò)的文件和打印機共享”，再點擊“卸載”，在彈出的對話框中選擇“是”確認(rèn)卸載。

解除Netbios和TCP/IP協(xié)議的綁定139端口：打開“本地連接”界面，選擇“屬性”，在彈出的“屬性”框中雙擊“Internet協(xié)議版本（TCP/IPV4）”，點擊“屬性”，再點擊“高級”—“WINS”，選擇“禁用TCP/IP上的NETBIOS”，點擊“確認(rèn)”并關(guān)閉本地連接屬性。

禁止默認(rèn)共享：點擊“開始”—“運行”，輸入“Regedit”，打開注冊表編輯器，打開注冊表項“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters”，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer，值設(shè)為“0”。

關(guān)閉 445端口：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters，新建 Dword（32位）名稱設(shè)為SMBDeviceEnabled 值設(shè)為“0”

5、共享和發(fā)現(xiàn)

右鍵“網(wǎng)絡(luò)” 屬性 網(wǎng)絡(luò)和共享中心 共享和發(fā)現(xiàn)。

關(guān)閉，網(wǎng)絡(luò)共享，文件共享，公用文件共享，打印機共享，顯示我正在共享的所有文件和文件夾，顯示這臺計算機上所有共享的網(wǎng)絡(luò)文件夾。

6、防火墻的設(shè)置

控制面板→Windows防火墻設(shè)置→更改設(shè)置→例外，勾選FTP、HTTP、遠(yuǎn)程桌面服務(wù) 核心網(wǎng)絡(luò)。

HTTPS用不到可以不勾

3306：Mysql

1433：Mssql

7、禁用不需要的和危險的服務(wù)

打開服務(wù)器管理器，進(jìn)入“服務(wù)”管理，將下列服務(wù)禁用（用黃色標(biāo)識的服務(wù)在2008系統(tǒng)中可能不存在）

控制面板 管理工具 服務(wù)

Distributed linktracking client 用于局域網(wǎng)更新連接信息

PrintSpooler 打印服務(wù)

Remote Registry 遠(yuǎn)程修改注冊表

Server 計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享

TCP/IP NetBIOS Helper 提供

TCP/IP (NetBT) 服務(wù)上的

NetBIOS 和網(wǎng)絡(luò)上客戶端的

NetBIOS 名稱解析的支持

Workstation 泄漏系統(tǒng)用戶名列表 與Terminal Services Configuration 關(guān)聯(lián)

Computer Browser 維護網(wǎng)絡(luò)計算機更新 默認(rèn)已經(jīng)禁用

Net Logon 域控制器通道管理 默認(rèn)已經(jīng)手動

Remote Procedure Call (RPC) Locator RpcNs*遠(yuǎn)程過程調(diào)用 (RPC) 默認(rèn)已經(jīng)手動

刪除服務(wù)sc delete MySql

8、安全設(shè)置-->本地策略-->安全選項

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-->Windows設(shè)置-->安全設(shè)置-->本地策略-->安全選項；

或者，打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項 中，進(jìn)行如下設(shè)置：

交互式登陸：不顯示最后的用戶名　　　　　　　啟用

網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉　　 　　 啟用 已經(jīng)啟用

網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉　　 啟用

網(wǎng)絡(luò)訪問：不允許儲存網(wǎng)絡(luò)身份驗證的憑據(jù)　　　啟用

網(wǎng)絡(luò)訪問：可匿名訪問的共享　　　　　　　　　內(nèi)容全部刪除

網(wǎng)絡(luò)訪問：可匿名訪問的命名管道　　　　　　　內(nèi)容全部刪除

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑　　　　　　內(nèi)容全部刪除

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑　　內(nèi)容全部刪除

帳戶：重命名來賓帳戶　　　　　　　　　　　　這里可以更改guest帳號

帳戶：重命名系統(tǒng)管理員帳戶　　　　　　　　　這里可以更改Administrator帳號

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項 中，設(shè)置 Microsoft網(wǎng)絡(luò)服務(wù)器：暫停會話前所需的空閑時間數(shù)量 屬性為15分鐘。

9、安全設(shè)置-->賬戶策略-->賬戶鎖定策略

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-->Windows設(shè)置-->安全設(shè)置-->賬戶策略-->賬戶鎖定策略，將賬戶鎖定閾值設(shè)為“三次登陸無效”，“鎖定時間為30分鐘”，“復(fù)位鎖定計數(shù)設(shè)為30分鐘”。

10、審核策略

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設(shè)置 審核成功和失敗。

11、用戶權(quán)限分配

選擇計算機配置-->Windows設(shè)置-->安全設(shè)置-->本地策略-->用戶權(quán)限分配

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 關(guān)閉系統(tǒng) 權(quán)限只分配給Administrators組。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 從遠(yuǎn)端系統(tǒng)強制關(guān)機 權(quán)限只分配給Administrators組。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 取得文件或其它對象的所有權(quán) 權(quán)限只分配給Administrators組。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 允許本地登錄 權(quán)限給指定授權(quán)用戶。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權(quán)限分配 中，配置 從網(wǎng)絡(luò)訪問此計算機 權(quán)限給指定授權(quán)用戶，策略中的“Everyone”刪除。

關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。

通過終端服務(wù)拒絕登陸：加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger

通過終端服務(wù)允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除。

12、共享文件夾及訪問權(quán)限

關(guān)閉默認(rèn)共享，非域環(huán)境中，關(guān)閉Windows硬盤默認(rèn)共享，例如C$，D$。

（1）、每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不要設(shè)置成為 Everyone。打開 控制面板 > 管理工具 > 計算機管理，在 共享文件夾 中，查看每個共享文件夾的共享權(quán)限。

（2）、啟用屏幕保護程序，設(shè)置等待時間為 5分鐘，并啟用 在恢復(fù)時使用密碼保護。

（3）、安裝最新的操作系統(tǒng)Hotfix補丁。安裝補丁，新做系統(tǒng)一定要先打上已知補丁，以后也要及時關(guān)注微軟的漏洞報告。略。

（4）、所有盤符根目錄只給system和Administrator的權(quán)限，其他的刪除。

13、禁用未登錄前關(guān)機

服務(wù)器默認(rèn)是禁止在未登錄系統(tǒng)前關(guān)機的。如果啟用此設(shè)置，服務(wù)器安全性將會大大降低，給遠(yuǎn)程連接的黑客造成可乘之機，強烈建議禁用未登錄前關(guān)機功能。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項 中，禁用 關(guān)機: 允許系統(tǒng)在未登錄前關(guān)機 策略。

14、更改Administrator，guest賬戶，新建一無任何權(quán)限的假Administrator賬戶

管理工具→計算機管理→系統(tǒng)工具→本地用戶和組→用戶

新建一個Administrator帳戶作為陷阱帳戶，設(shè)置超長密碼，并去掉所有用戶組

更改描述：管理計算機(域)的內(nèi)置帳戶

15、密碼策略

打開 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 密碼策略 中，確認(rèn) 密碼必須符合復(fù)雜性要求 策略已啟用。

啟動 密碼必須符合復(fù)雜性要求

16、禁用DCOM （"沖擊波"病毒 RPC/DCOM 漏洞）

運行Dcomcnfg.exe。控制臺根節(jié)點→組件服務(wù)→計算機→右鍵單擊“我的電腦”→屬性”→默認(rèn)屬性”選項卡→清除“在這臺計算機上啟用分布式 COM”復(fù)選框。

17、ASP漏洞

主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。

regsvr32/u C:/WINDOWS/System32/wshom.ocx

regsvr32/u C:/WINDOWS/system32/shell32.dll

刪除可能權(quán)限不夠

del C:/WINDOWS/System32/wshom.ocx

del C:/WINDOWS/system32/shell32.dll

如果確實要使用，或者也可以給它們改個名字。

WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令

可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/

改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT/WScript.Shell/CLSID/項目的值

HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/項目的值

也可以將其刪除，來防止此類木馬的危害。

Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令

可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT/Shell.Application/及HKEY_CLASSES_ROOT/Shell.Application.1/改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值

HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值

也可以將其刪除，來防止此類木馬的危害。

禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。

2000使用命令：cacls C:/WINNT/system32/shell32.dll /e /d guests

2003使用命令：cacls C:/WINDOWS/system32/shell32.dll /e /d guests

禁止使用FileSystemObject組件，F(xiàn)SO是使用率非常高的組件，要小心確定是否卸載。改名后調(diào)用就要改程序了，Set FSO = Server.CreateObject("Scripting.FileSystemObject")。

FileSystemObject可以對文件進(jìn)行常規(guī)操作,可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT/Scripting.FileSystemObject/

改名為其它的名字，如：改為 FileSystemObject_ChangeName

自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

也要將clsid值也改一下HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/項目的值

也可以將其刪除，來防止此類木馬的危害。

2000注銷此組件命令：RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll

2003注銷此組件命令：RegSrv32 /u C:/WINDOWS/SYSTEM/scrrun.dll

如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件？

使用這個命令：cacls C:/WINNT/system32/scrrun.dll /e /d guests

18、打開UAC

控制面板-->用戶賬戶-->打開或關(guān)閉用戶賬戶控制

19、程序權(quán)限

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"

或完全禁止上述命令的執(zhí)行

gpedit.msc-〉用戶配置-〉管理模板-〉系統(tǒng)

啟用 阻止訪問命令提示符 同時 也停用命令提示符腳本處理

啟用 阻止訪問注冊表編輯工具

啟用 不要運行指定的windows應(yīng)用程序，添加下面的

at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

20、Serv-u安全問題

Serv-u安全問題（個人建議不是特別高的要求沒必要用serv_U可以使用FTP服務(wù)器 FileZilla Server ）

安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動模式端口范圍（4001—4003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統(tǒng)中新建一個用戶，設(shè)置一個復(fù)雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權(quán)限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限，否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動就沒有這些問題，因為system一般都擁有這些權(quán)限的。如果FTP不是必須每天都用，不如就關(guān)了吧，要用再打開。

下面是其它網(wǎng)友的補充：大家可以參考下

Windows Web Server 2008 R2服務(wù)器簡單安全設(shè)置：

1、新做系統(tǒng)一定要先打上已知補丁，以后也要及時關(guān)注微軟的漏洞報告。略。

2、所有盤符根目錄只給system和Administrator的權(quán)限，其他的刪除。

3、將所有磁盤格式轉(zhuǎn)換為NTFS格式。

命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統(tǒng)

4、開啟Windows Web Server 2008 R2自帶的高級防火墻。默認(rèn)已經(jīng)開啟。

5、安裝必要的殺毒軟件如mcafee，安裝一款A(yù)RP防火墻，安天ARP好像不錯。略。

6、設(shè)置屏幕屏保護。

7、關(guān)閉光盤和磁盤的自動播放功能。

8、刪除系統(tǒng)默認(rèn)共享。

命令：net share c$ /del 這種方式下次啟動后還是會出現(xiàn)，不徹底。也可以做成一個批處理文件，然后設(shè)置開機自動執(zhí)動這個批處理。但是還是推薦下面的方法，直修改注冊表的方法。

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Lanmanserver/parameters下面新建AutoShareServer ,值為0 。重啟一下，測試。已經(jīng)永久生效了。

9、重命Administrator和Guest帳戶，密碼必須復(fù)雜。GUEST用戶我們可以復(fù)制一段文本作為密碼，你說這個密碼誰能破。也只有自己了。...

重命名管理員用戶組Administrators。

10、創(chuàng)建一個陷阱用戶Administrator，權(quán)限最低。

上面二步重命名最好放在安裝IIS和SQL之前做好，那我這里就不演示了。

11、本地策略——>審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對象訪問 失敗

審核過程跟蹤 無審核

審核目錄服務(wù)訪問 失敗

審核特權(quán)使用 失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

12、本地策略——>用戶權(quán)限分配

關(guān)閉系統(tǒng)：只有Administrators 組、其它的全部刪除。

管理模板 > 系統(tǒng) 顯示“關(guān)閉事件跟蹤程序”更改為已禁用。這個看大家喜歡。

13、本地策略——>安全選項

交互式登陸：不顯示最后的用戶名 啟用

網(wǎng)絡(luò)訪問：不允許SAM 帳戶和共享的匿名枚舉 啟用

網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或 .NET Passports 啟用

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑 全部刪除

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑 全部刪除

14、禁止dump file 的產(chǎn)生。

系統(tǒng)屬性>高級>啟動和故障恢復(fù)把 寫入調(diào)試信息 改成“無”

15、禁用不必要的服務(wù)。

TCP/IP NetBIOS Helper

Server

Distributed Link Tracking Client

Print Spooler

Remote Registry

Workstation

16、站點方件夾安全屬性設(shè)置

刪除C:/ inetpub 目錄。刪不了，不研究了。把權(quán)限最低。。。禁用或刪除默認(rèn)站點。我這里不刪除了。停止即可。一般給站點目錄權(quán)限為：

System 完全控制

Administrator 完全控制

Users 讀

IIS_Iusrs 讀、寫

在IIS7 中刪除不常用的映射 建立站點試一下。一定要選到程序所在的目錄，這里是www.postcha.com目錄，如果只選擇到wwwroot目錄的話，站點就變成子目錄或虛擬目錄安裝了，比較麻煩。所以一定要選擇站點文件所在的目錄，填上主機頭。因為我們是在虛擬機上測試，所以對hosts文件修改一下，模擬用域名訪問。真實環(huán)境中，不需要修改hosts文件，直接解釋域名到主機就行。目錄權(quán)限不夠，這個下個教程繼續(xù)說明。至少，我們的頁面已經(jīng)正常了。

17、禁用IPV6?？床僮?br>
在windows server 2008 R2操作系統(tǒng)下部署weblogic web application，部署完成后進(jìn)行測試，發(fā)現(xiàn)測試頁的地址使用的是隧道適配器的地址，而不是靜態(tài)的ip地址，而且所在的網(wǎng)絡(luò)并沒有ipv6接入，因此決定將ipv6和隧道適配器禁用，操作如下：

禁用ipv6很簡單，進(jìn)入 控制面板/網(wǎng)絡(luò)和 Internet/網(wǎng)絡(luò)和共享中心 單擊面板右側(cè)“更改適配器設(shè)置”進(jìn)入網(wǎng)絡(luò)連接界面，選擇要設(shè)置的連接，右鍵選擇屬性，取消Internet 協(xié)議版本 6 (TCP/IPv6) 前面的選擇框確定即可。

要禁用隧道適配器需要更改注冊表信息，操作如下：

開始 -> 運行 - > 輸入 Regedit 進(jìn)入注冊表編輯器

定位到：

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip6/Parameters]

右鍵點擊 Parameters，選擇新建 -> DWORD (32-位)值

命名值為 DisabledComponents，然后修改值為 ffffffff (16進(jìn)制)

重啟后生效

DisableComponents 值定義：

0， 啟用所有 IPv 6 組件，默認(rèn)設(shè)置

0xffffffff，禁用所有 IPv 6 組件, 除 IPv 6 環(huán)回接口

0x20， 以前綴策略中使用 IPv 4 而不是 IPv 6

0x10， 禁用本機 IPv 6 接口

0x01， 禁用所有隧道 IPv 6 接口

0x11， 禁用除用于 IPv 6 環(huán)回接口所有 IPv 6 接口

OVER ! 重啟下服務(wù)器吧！看看是不是安全了好多。

億企邦點評：

我們要保障云服務(wù)器數(shù)據(jù)安全，首先應(yīng)樹立正確的安全意識，從監(jiān)控、入侵防御、數(shù)據(jù)備份等多方面做好安全措施，與服務(wù)商共同承擔(dān)數(shù)據(jù)安全保護責(zé)任。只有由內(nèi)而外進(jìn)行雙重加固，才能獲得良好的安全性，最大限度地確保業(yè)務(wù)安全。