服务器安全策略配置
一般默认为3389和22,修改为其他端口号,如果云服务器厂商有端口防火墙记得在供应商控制台开放其端口。
例如对默认administrator,进行修改,同时存在像guest的访客用户名可以取消删除掉。
服务器自带防火墙可以设置哪些端口正常访问,哪些端口拒绝,是比较好用的防火墙也是用户比较容易忽视的。
打印服务、打印共享服务、无线服务、在局域网以及广域网环境中为企业提供的路由服务、relnet服务,Microsoft seach服务,远程连接注册表服务、远程协助服务、收集、存储和向 Microsoft 报告异常应?程序服务、Telnet 允许远程?户登录到此计算机并运?程序。
打开注册表,找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值修改为1即可。
打开注册表,找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,新建 AutoShareServer类型是REG_DWORD把值改为0。
(设置流程方式:运行gpedit→计算机配置→windows设置→安全设置→本地策略)
②:启?不允许匿名访问SAM帐号和共享
④从?件共享中删除允许匿名登录的DFS$和COMCFG;
⑥:启?在下?次密码变更时不存储LANMAN哈希值;
8、本地安全策略设置
①:本地策略→审核策略(更改为如下)
审核登录事件:成功,失败
审核过程跟踪:?审核
审核特权使?:失败
审核账户登录事件:成功,失败
注:在设置审核登陆事件时选择记失败,这样在事件查看器?的安全?志就会记录登陆失败的信息。
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加?Administrators组,其他全部删。
交互式登陆:不显?上次的?户名改为启?
?络访问:不允许为?络?份验证储存凭证改为启?
?络访问:可匿名访问的名改为全部删除
?络访问:可远程访问的注册表路径和?路径改为全部删除
新建规则不允许运?以下?件: scrrun.dll,shell.dll,QQ.exe,thunder.exe,telnet.exe等等。随着维护的深?,逐步追加服务器不需要运?的应?程序。
在iis我们经常用到的网站都是aspx、asp或者php,如果我们只涉及其中一种,其他之外的脚本支持则需要进行关闭。同时,我们对于服务器文件属性的尽量在外网可访问的地址下选择只读属性,可降低被篡改的风险。