新闻中心
久合科技告诉您服务器维护安全策略方案
服务器维护安全策略:
一、windows系统帐号
1.将administrator改名,如改为boco_ofm或者取中文名(这样可以为黑客攻击增加一层障碍)。
2.将guest改名为administrator作为陷阱帐户,并且设置一个高强度的密码,或直接禁用;(有的黑客工具正是利用了guest的弱点,可以将帐号从一般用户提升到管理员组)。
3.除了管理员帐户、以及必须要用到的用户外,禁用或删除其他一切用户。
(1)网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。
(2)除了Administrator外,有必要再增加一个属于管理员组的帐号;(两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权)。
(3)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上,且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如boco)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2008)等。(口令是黑客攻击的重点,口令一旦被攻破也就无任何系统安全可言了,通过在网络上查资料显示,仅字母加数字的5位口令在几分钟内就会被攻破)。
二、密码与用户策略
1.开启密码策略
注意应用密码策略,启用密码复杂性要求,设置密码长度最小值为8位 ,设置强制密码历史为5次,时间为31天。
2.开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为30分钟,用户锁定时间为30分钟,用户锁定阈值为3次。
三、本地策略
1.本地策略——>安全选项
交互式登陆:不显示上次的用户名——启用。
网络访问:不允许SAM帐户和共享的匿名枚举——启用。
网络访问:不允许为网络身份验证储存凭证——启用。
网络访问:可匿名访问的共享——全部删除。
网络访问:可匿名访问的命名管道——全部删除。
网络访问:可远程访问的注册表路径和子路径——全部删除。
网络访问:限制匿名访问命名管道和共享。
2.本地策略——>审核策略
审核策略更改:成功——失败。
审核登录事件:成功——失败。
审核对象访问:失败。
审核过程跟踪:无审核。
审核目录服务访问:失败。
审核特权使用:失败。
审核系统事件:成功——失败。
审核账户登录事件:成功——失败。
审核账户管理:成功——失败。
3.本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
从网络访问计算机:只有系统管理员与指定帐号。
4.使用NTFS格式分区
把服务器的所有分区都改成NTFS格式,NTFS文件系统要比FAT,FAT32的文件系统安全得多。
5.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。
6.把共享文件的权限从”everyone”组改成“授权用户”
“everyone”在win2000与win2003中意味着任何有权进入你的网络用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组。
7.保障备份盘的安全
一旦系统资料被破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份放在安全的地方。千万别把资料备份在同一台服务器上。
相关文章
- 北京服务器价格指导 3月四路机架产品选购指南2017年03月14日
- 华为成就了中国工控产业的小辉煌2017年03月13日