1. 首页>
  2. 腾讯云代理

[经验分享] 腾讯云主机安全攻略1

腾讯云 2017年04月23日 浏览864

腾讯云代理 腾讯云直播申请 游戏上云

摘要:

Windows Server 2008 服务器安全设置

1. 启用internet进程
    在运行里输入gpedit.msc->计算机配置->管理模板->windows组件->internet explorer->安全功能->限制文件下载->internet进程->选择已启用 ,日后Windows Server 2008系统就会自动弹出阻止InternetExplorer进程的非用户初始化的文件下载提示,单击提示对话框中的确定按钮,恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。 (作用:防止恶意代码直接下载到本机上)
2. 对重要文件夹进行安全审核、
       打开组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核对象    访问,右键单击该项目,执行右键菜单中的属性命令打开目标组策略项目的属性设置窗口;  选中该属性设置窗口中的成功失败复选项,再单击确定按钮,如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败,都会被Windows Server 2008系统自动记录保存到对应的日志文件中,我们只要及时查看服务器系统的相关日志文件,就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了,一旦发现系统存在安全隐患的话,我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。
3. 禁止改变本地安全访问级别
    打开组策略->用户配置->管理模板->Windows组件->InternetExplorer->Internet控制模板->禁用安全页,右键菜单中的属性命令打开目标组策略项目的属性设置窗口;选择已启用
4. 禁用internet选项
  打开组策略->用户配置->管理模板->Windows组件->Internet Explorer->浏览器菜单->禁用“Internet选项组策略的属性设置窗口打开,然后选中其中的已启用选项,最后单击确定按钮就能使设置生效了。
5. 禁止超级账号名称被偷窃(黑客最爱用的)
 打开组策略->“计算机配置->Windows设置->安全设置->本地策略->安全选项->网络访问:允许匿名SID/名称转换,右键单击该选项,执行右键菜单中的属性命令,选中其中的已禁用选项,再单击确定按钮退出组策略属性设置窗口,这样的话任何用户都将无法利用SID标识来窃取Windows Server 2008系统的登录账号名称信息了,那么Windows Server 2008系统受到暴力破解登录的机会就大大减少了,此时对应系统的安全性也就能得到有效保证了。
6. 禁止U盘病毒趁虚而入
  打开组策略->用户配置->管理模板->系统->可移动存储访问->可移动磁盘:拒绝读取权限和可移动磁盘:拒绝写入权限两个,右键选择属性命令,选中其中的已启用选项,再单击确定按钮退出组策略属性设置窗口。
7. 禁止来自程序的漏洞攻击
    打开组策略->计算机配置->Windows设置->安全设置->高级安全Windows防火墙->高级安全Windows防火墙——本地组策略对象->入站规则,右击打开新建入站规则向导设置界面;根据向导界面的提示,将规则类型参数设置为程序,然后选中此程序路径选项,并单击浏览按钮,将存在明显漏洞的目标应用程序选中,接下来选中阻止连接项目,最后再设置好新建规则的名称,并单击完成按钮,如此一来Windows Server 2008系统中的高级防火墙程序就会禁止那些存在明显安全漏洞的应用程序访问网络了,那样的话病毒或木马自然也就不能通过应用程序漏洞对本地服务器实施恶意攻击了。
8. 谨防登录密码被木马窃取
    首先以特权帐号登录进WindowsServer 2008服务器系统,依次点选该系统桌面中的“开始”、“运行”命令,在其后出现的系统运行对话框中,输入“control userpasswords2”字符串命令,单击“确定”按钮后,进入对应系统的用户账户控制对话框;
    在对话框中单击“用户”标签,√上“要使用本机,用户必须输入用户名和密码”选项,之后选“高级”标签,进入标签设置页面;在该页面的“安全登录”处选中“要求用户按Ctrl+Alt+Delete”选项,同时单击“确定”按钮,如此一来任何一位用户包括网络管理员在尝试登录Windows Server 2008服务器时,都需要先按下Ctrl+Alt+Delete组合键,打开服务器系统的登录验证对话框,之后在其中正确输入系统特权账号的名称、密码等信息,才能安全登录进入Windows Server 2008服务器系统桌面,而在这个登录服务器系统的过程专业木马程序是无法窃取到登录帐号与密码信息的,如此一来系统特权帐号的登录密码就不会被轻易丢失了。
9. 强制远程用户进行网络验证
选择“程序->管理工具->服务器管理器,进入对应系统的服务器管理器界面;在右侧子窗格中找到“服务器摘要”设置项,并单击该设置区域下面的“配置远程桌面”按钮,进入Windows Server 2008系统的远程桌面属性设置窗口;
在该属性设置窗口的“远程桌面”位置处,我们看到Windows Server 2008系统为远程用户提供了三个安全选项,要是我们希望局域网中的所有用户都能非常顺畅地通过远程桌面连接功能来对Windows Server 2008服务器系统进行远程控制时,那就需要将这里的“允许运行任意版本远程桌面的计算机连接”安全项目选中,不过轻易选中该安全选项,Windows Server 2008服务器系统容易遭受非法攻击。
为了防止服务器系统开通远程桌面连接功能后会给自身带来安全麻烦,Windows Server 2008系统为远程控制用户提供了只允许运行带网络级身份验证的远程桌面的计算机连接安全设置选项,我们只要选中该安全控制选项,同时单击确定按钮退出设置对话框,那样一来Windows Server 2008系统日后就会强行对任何一位企图通过远程桌面连接功能控制服务器的用户执行网络身份验证了,通不过网络身份验证的远程控制用户自然就不能对Windows Server 2008服务器系统进行远程管理和控制了。
默认XP SP3的远程不支持网络级别身份验证
首先在客户端上打开注册表编辑器定位路径至:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下打开security packages添加tspkg到最后一条后点取而关闭此窗口。
然后定位到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\下找到securityproviders编辑字符串添加数值:, credssp.dll(逗号后有个空格)然后确定关闭。重启系统后生效,然后再运行mstsc查看信息已经显示为支持网络级别身份验证了。
10. 封堵特权账号漏洞
    打开组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项-> “帐户:重命名系统管理员帐户”选项设置窗口,在该窗口的本地安全设置标签页面中,为Administrator账号重新设置一个外人不容易想到的新名称,比方说我们在这里可以将其设置为“CapInfo-ZhouQC”,再单击确定按钮执行设置保存操作,那样一来我们就能成功封堵Windows Server 2008系统的特权账号漏洞了。
11. 封堵系统转存漏洞
打开控制面板->系统,进入Windows Server 2008系统的属性设置界面;    找到高级系统设置功能选项,弹出高级系统属性设置界面,在该设置界面的启动和故障恢复位置处单击设置按钮,打开Windows Server 2008系统的启动和故障恢复设置对话框;系统失败位置处,单击写入调试信息选项的下拉按钮,并从下拉列表中点选,再单击确定按钮保存好上述设置操作,这么一来Windows Server 2008系统日后即使发生了系统崩溃现象,也不会将故障发生那一刻的内存镜像内容保存为系统转存文件了,那么本地系统的一些隐私信息也就不会被他人非法偷看了。
12. 封堵网络发现漏洞
    打开控制面板,双击该窗口中的“网络和共享中心”选项,再在其后界面中展开网络发现功能设置区域,选中其中的“关闭网络发现”选项,同时单击“应用”按钮保存好上述设置操作;依次单击“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右键单击目标本地连接图标,并执行快捷菜单中的“属性”命令,打开目标本地连接属性设置界面,取消默认选中的Link-Layer Topology DiscoveryResponder协议选项,再单击“确定”按钮,之后再将“链路层拓扑发现映射器I/O驱动程序”的选中状态一并取消,最后单击“确定”按钮执行参数设置保存操作.
13. 封堵虚拟内存漏洞
    打开组策略->计算机配置->“Windows设置->安全设置->本地策略->安全选项->“关机:清除虚拟内存页面文件选项;接着用鼠标右键单击关机:清除虚拟内存页面文件选项,从弹出的快捷菜单中执行属性命令,打开目标组策略属性设置窗口,选中其中的已启用选项,同时单击确定按钮保存好上述设置操作,这么一来Windows Server 2008系统日后关闭系统之前,会自动将保存在虚拟内存中的隐私信息清除掉,那么其他用户就无法通过访问系统页面文件的方式来窃取本地系统的操作隐私了。
14. 实战应用审核功能
       DOS命令 “secpol.msc->安全设置->本地策略->审核策略,在对应审核策略分支选项的右侧显示区域中,双击审核账户管理策略选项,选中成功失败选项,再单击确定按钮关闭策略选项设置对话框,这样一来无论用户账户创建成功还是创建失败,Windows Server 2008系统都会自动记录下用户账号创建事件.


15.修改远程服务端口

WINDOWS远程默认端口3389的正确修改方式 

很多朋友在使用WINDOWS操作系统的时候,都喜欢修改远程连接的默认端口.但是很多朋友由于修改端口的方法错误,导致自己不能远程操作服务器,给自己带来了麻烦.在这里,我给大家简单谈谈正确修改远程端口的方法 

      在开始-----运行菜单里,输入regedit,进入注册表编辑,按先面的路径进入修改端口的地方  
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp  
      找到下面的 "PortNumber",用十进制方式显示,默认为3389,改为任意可用端口。   
      请注意,在这里修改过了以后,还没有修改成功,注册表文件的另外一个位置也必须做相应的修改,路径为 

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 

      找到下面的 "PortNumber",用十进制方式显示,并做出修改. 

      到这里,你已经成功修改完注册表.值得提醒一下的是,网卡本地连接的高级属性里,TCP/IP筛选里,你必须打开新的远程端口号,否则你同样不能远程操作.  
     重新启动计算机,你就可以通过新的远程端口号连接了.   
在windows 2008下必须修改防火墙的3389端口,否则还是不能连接 



腾讯云服务商邀请关注:

http://partners.qcloud.com/invitation/99377079157835da208bd0

关注服务商的链接,提供下您关注的QQ,我们这边审核下即可快速回复您的工单问题与技术支持! 感谢您的信任与支持!

auto_1452.png

腾讯云技术交流群


ps:本站信息来源于 bbs.qcloud.com

相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808