1. 首页>
  2. 腾讯云代理

[经验分享] Windows 2008服务器安全措施

腾讯云 2017年04月24日 浏览589

腾讯云代理 腾讯云直播申请 游戏上云

摘要:

服务器是单位局域网的核心,诸如财务信息、客户信息这样的重要数据,都会存储在服务器中。但由于服务器的开放性以及自身其他一些缺陷,它很容易遭遇各种各样的安全攻击。一旦服务器被攻击发生问题,轻则会引起系统资源迅速耗尽,无法正常访问其中的内容,重则会造成系统瘫痪,甚至会引起经济损失,或给单位造成不可挽回的影响。为此,我们需要未雨绸缪,提前做好预防措施,让服务器远离各种各样的安全攻击。下面,本文以Windows 2008服务器系统为例,给大家推荐几则安全预防技巧。

检查是否有隐藏账号

为了达到悄悄攻击目的,黑客往往会在服务器系统中生成隐藏账号,并利用该账号将服务器主机变成肉机。当黑客入侵Windows 2008服务器后,会全力以赴保护攻击“成果”,最为有效、最为简单的方法,就是生成隐藏账号,预留攻击后门;由于隐藏账号十分隐蔽,普通人很难发现,它的危害性十分巨大。

黑客一般会采取两种方法,在服务器系统中创建隐藏账号,一是通过修改注册表生成隐藏账号,二是直接使用“$”符号生成隐藏账号。水平不高的黑客,经常会用“$”符号创建隐藏账号,寻找这类隐藏账号时,只要先进入服务器系统DOS命令行窗口,执行“net localgroup administrators”命令,就能在其后界面中,看到所有以“$”符号结尾的隐藏账号了,如图1所示。当然,我们也可以进入服务器系统的计算机管理窗口,定位到“系统工具”|“本地用户和组”|“用户”节点上,查看该节点下的内容,也能找到“$”符号的隐藏账号,因为这种类型账号在这里是没有办法隐藏起来的。

对于通过系统注册表生成的隐藏账号,采取上面的措施,是无法让其现身的,我们也必须进入服务器系统的注册表编辑界面,才能发现这类隐藏账号:依次选择“开始”|“运行”命令,在弹出的系统运行对话框中,执行“regedit”命令,切换到系统注册表编辑界面,将鼠标定位到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names分支上,在目标分支下,我们能看到服务器系统中的所有用户账号。下面,仔细对比这里以及计算机管理窗口中“系统工具”|“本地用户和组”|“用户”节点下的内容,多余出来的账号名称显然就是黑客偷偷创建的隐藏账号了。如果想将隐藏账号删除时,可以直接用鼠标右键单击目标账号,执行快捷菜单中的“删除”命令即可。

为了能及时监控到隐藏账号的行踪,我们可以开启服务器系统的审核功能,来追踪并切断恶意用户通过隐藏账号攻击服务器的途径。打开服务器系统运行对话框,执行“gpedit.msc”命令,切换到系统组策略编辑界面,将鼠标定位到“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“审核策略”节点上,用鼠标双击目标节点下的“审核登录事件”选项,打开对应选项设置对话框,选中“成功”、“失败”选项,确认后退出设置对话框。同样地,我们还可以对“审核过程追踪”、“审核策略更改”等选项,进行合适的设置。设置成功后,Windows 2008服务器就能自动监控所有用户账号的登录痕迹了,哪怕是隐藏账号也难逃法眼。

无论是再狡猾的隐藏账号,只要它出现在服务器系统中,我们都能通过事件查看器程序,来准确将其识别出来,不但能准确找到隐藏账号的具体名称,而且连它的登录时间也能识别得清清楚楚。哪怕遇到技术水平很高的黑客,偷偷删除了所有相关的日志内容,服务器系统还能追踪到究竟是哪位用户删除了日志内容,这样黑客使用的隐藏账号仍然会被监控到。

当我们通过上面的方法,追踪到隐藏账号的具体名称后,就能下手将其删除掉了。比方说,要删除“bbbb$”隐藏账号时,直接在DOS命令行窗口执行“net user bbbb$ /delete”命令即可。如果我们对DOS命令操作不熟悉,也可以打开系统的计算机管理窗口,定位到“本地用户和组”|“用户”分支上,在目标分支下就能很直观地看到添加了“$”字符的系统隐藏账号了。此时,用鼠标右键单击目标隐藏账号,执行右键菜单中的“删除”命令,就能轻松删除目标系统隐藏账号了。此外,也有一些复杂的系统隐藏账号,我们既不能在DOS命令行窗口中看到它的“身影”,也不能在计算机管理窗口中看到它的“身影”,只能从系统的安全日志文件中找到它们的账号名称。对于这类特殊的系统隐藏账号,我们无法直接将其删除,只能在DOS命令行窗口中使用“net user bbbb$ 1234”之类的命令修改隐藏账号的密码,让目标隐藏账号不能继续生效,拒绝黑客、木马继续使用该账号攻击服务器系统。

检查是否有危险登录

虽然普通用户无法靠近服务器主机现场,但是我们并不能确保自己离开Windows 2008服务器系统时,没有恶意用户悄悄登录进服务器,进行一些不安全操作。如果能让Windows 2008服务器系统跟踪记忆用户的安全登录状态信息,那么黑客偷偷登录服务器主机的行为,自然就难逃我们的法眼了。其实,开启该系统自身的显示以前登录信息功能,就能做到这一点,下面就是具体的操作步骤:

首先以超级用户身份登录Windows 2008系统桌面,使用“Win+R”快捷键,打开系统运行对话框,输入“gpedit.msc”命令并确认后,切换到系统组策略编辑窗口。逐一展开“计算机配置”|“管理模板”|“Windows组件”|“Windows登录选项”节点,选中该节点下的“在用户登录期间显示有关以前登录的信息”选项,并用鼠标双击之,打开如图2所示的组策略属性对话框。

其次看看“已启用”选项是否处于选中状态,要是发现其还没有被选中时,我们应该立即将其重新选中,确认后执行设置保存操作,那么Windows 2008服务器系统内置的显示以前登录信息功能就被开启成功了。日后,网管员自己重新启动Windows 2008服务器系统时,就能从弹出的系统登录账号列标中,检查有没有陌生用户账号了,如果存在陌生账号的登录行为,那多半就是危险登录行为,网管员应该及时找到陌生登录账号,然后采取安全措施进行应对,以便杜绝危险登录事件的再次发生。

检查是否有强壮密码

倘若Windows 2008服务器系统的登录密码设置得不够强壮时,恶意用户很容易采取暴力破解方法,获取系统登录密码,所以,我们要加强对服务器的密码进行检查,看看其是否开启了密码策略。

使用“Win+R”快捷键,打开系统运行对话框,输入“gpedit.msc”命令并确认后,切换到系统组策略编辑界面。找到该界面左侧列表中的“计算机配置”|“Windows设置”|“安全设置”|“账户策略”|“密码策略”分支,选中该分支下的“密码复杂性要求”选项,并用鼠标双击之,在其后界面中,检查该组策略的启用状态是否正常。如果发现该组策略没有被开启时,应该立即选择“已启用”选项,同时将“强制密码历史”至少修改为三次,将“密码长度最小值”至少修改为6位以上,将“密码最长使用期限”至少修改为30天左右。

之后,将鼠标再次定位到“计算机配置”|“Windows设置”|“安全设置”|“账户策略”|“账户锁定策略”分支上,将该分支下的“账户锁定阀值”组策略调整为至少三次,确认后保存设置操作。这样,当黑客尝试攻击Windows 2008服务器系统时,一旦输入登录系统密码错误次数超过规定数值时,黑客使用的账号就会被自动锁定起来。

为了方便远程管理服务器系统,很多网管员或许对外开放了远程桌面。为了提高远程桌面安全防范能力,建议大家还要开启服务器系统的网络级身份验证功能,以阻止恶意用户利用远程桌面连接远程控制Windows 2008系统。在开启网络级身份验证功能时,只要执行如下设置操作即可:

首先右击Windows 2008系统桌面上的“计算机”图标,点击快捷菜单中的“属性”命令,弹出服务器系统的属性界面,按下该界面左侧的“远程设置”按钮,切换到远程设置页面(如图3所示),在这里Windows 2008系统支持三个功能选项,来保护远程桌面连接安全性。

我们只要选中“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”选项,确认后服务器系统的网络级身份验证功能就被开启成功了。这样,服务器系统日后就会强行对远程桌面连接用户进行身份验证,不能通过网络安全验证的用户,将无法远程管理和维护服务器系统,那么服务器的运行安全就能得到一定程度的保证。

检查是否有陌生端口

Windows 2008系统的所有网络连接都是依靠端口进行的,及时了解相关端口的打开状态,有利于确认服务器的工作状态是否安全。善于使用Nmap这款专业的端口扫描工具,我们就能轻松对服务器的所有端口进行扫描,并以此分析本地服务器系统的安全状况,从而提前预防,在黑客发现并利用打开端口之前,就把恶意攻击通道切断。

在安装Nmap工具之前,我们需要先从网上下载安装好Winpcap工具,因为Nmap工具在工作时,需要它的支持。从网上下载Nmap工具时,可以有两种格式可供选择,一种是ZIP压缩格式,该格式不包含图形界面,另外一种是EXE压缩格式,该格式文件只要采取常规方法安装,就能获得图形化的操作界面。

安装并开启Nmap工具的运行状态后,在主程序界面的“Target”位置处设置好扫描对象(如图4所示),也就是说,将服务器主机的IP地址和名称填写在这里,可以指定一台服务器主机的地址或名称,也可以同时指定多台服务器主机的地址或名称。之后,打开“Profile”下拉列表,选择合适的配置文件,这里包括快速扫描、系统探测、加强扫描、服务扫描等参数,设置好这些参数后,按下“Scan”按钮,开始对服务器主机执行扫描操作。扫描任务完成后,切换到“Ports/Hosts”标签设置页面,我们在这里就能发现所有开放端口的详细信息。仔细检查这些内容,要是看到某个服务器端口不是网管员自己开放的,那就必须认真追查陌生开放端口的来龙去脉了。

进入“Nmap Output”标签设置页面,我们不但可以了解到开放端口的具体情况,而且还能查看到服务主机的相关信息、服务开启状态以及操作系统类型等内容,如果发现某个开放端口使用的服务是“未知”的,我们需要上网查询该端口的具体作用,以判断未知服务是否安全。一旦确认未知服务是可疑服务时,不妨直接将其关闭掉,来确保服务器的运行安全。方法是先打开服务器系统运行对话框,输入“services.msc”命令并回车,切换到系统服务列表界面,找到陌生的可疑服务选项,并用鼠标双击之,在其后界面中按下“停止”按钮,同时将它的启动类型选择为“禁用”即可。

检查是否有恶意程序

现在,有些黑客为了达到攻击Windows 2008服务器系统目的,常常会悄悄将一些流氓程序植入到服务器中,一旦流氓程序缠身之后,我们很难将它们清除出服务器。为了远离流氓程序的恶意攻击,我们可以巧妙地使用Windows 2008服务器系统内置的Windows Defender程序,来定期检查系统的所有“角落”,将潜藏在服务器系统暗处的所有恶意流氓程序扫描查找出来,同时自动清除它们。在利用Windows Defender程序检查服务器中是否存在恶意流氓程序时,可以按照下面的步骤来进行:

首先以超级用户账号登录Windows 2008系统,依次选择“开始”|“所有程序”|“Windows Defender”命令,弹出如图5所示Windows Defender程序界面,按下“立即检查更新”按钮,强制Windows Defender程序执行在线升级操作,将其版本更新到最新状态,以确保该程序可以正确识别各种最新的流氓程序。

其次打开Windows Defender程序界面中的“扫描”下拉菜单,选择“完全扫描”选项,这样Windows 2008系统就能自动扫描服务器系统的所有“角落”,那么潜藏在本地计算机中的所有恶意程序都会被准确识别并清除出系统。当然,通过完全扫描方式工作时,耗费的时间会很长,因为现在服务器的硬盘空间几乎都是TB级别的,如果想改善扫描速度时,不妨选择扫描下拉菜单中的“自定义扫描”选项,限制Windows 2008系统仅对特定硬盘分区或系统文件夹执行扫描操作。

当扫描操作结束后,Windows Defender程序往往会将扫描到的恶意流氓程序显示出来,选中所有恶意流氓程序选项,按下“全部删除”按钮,这样所有被扫描出来的恶意流氓程序就被彻底删除干净了。此外,我们还可以打开扫描选项设置对话框,按照实际需要对系统扫描类型、扫描频率、扫描时间等参数进行设置,以提高程序的扫描操作效率。

检查是否有恶意下载

不少客户端用户常常会利用P2P工具,在局域网中下载大容量的多媒体信息,这种恶意下载既消耗了局域网宝贵的出口带宽资源,又会对整个网络的安全带来威胁,因为许多多媒体信息可能隐藏有病毒、木马程序。为了保护网络和服务器的运行安全,我们除了通过端口扫描工具,将P2P工具使用的端口识别出来外,还可以利用Windows 2008服务器系统中的高级安全防火墙功能,来创建一个限制特定端口通信的入站和出站规则,以控制网络或服务器中的恶意下载行为:

首先依次单击“开始”|“管理工具”|“服务器管理器”命令,弹出服务器管理器界面,逐一点击该界面左侧列表中的“配置”|“高级安全Windows防火墙”分支,进入Windows 2008系统的高级防火墙配置界面,选中该界面左侧的“入站规则”选项,同时用鼠标右键单击“入站规则”选项,点击快捷菜单中的“新规则”命令,切换到入站规则新建向导设置框。

其次选中“端口”选项,按下“下一步”按钮,进入如图6所示的向导设置对话框,依照向导提示依次选择“TCP”选项、“特定本地端口”选项,同时输入P2P工具使用的端口号码。例如,电骡、迅雷之类的P2P工具,会使用3077、3078等端口号码,那么在“特定本地端口”文本框中,输入“3077,3078”,再按下“下一步”按钮。

当Windows 2008系统高级防火墙弹出提示框,要求用户“连接符合指定条件时应该进行什么操作”时,可以选中“阻止连接”选项,再在其后界面中,定义好该安全规则具体的适用范围,建议大家最好同时选中“域”、“公用”、“专用”等选项,之后定义好安全规则名称,并按下“完成”按钮。这样,所有通过P2P工具进行的恶意下载操作,日后都会被Windows 2008系统防火墙自动拦截。同样地,我们还需要在防火墙中创建一个出站规则,禁止用户随意通过FTP工具向服务器上传内容。

检查是否有密码保护

为了方便局域网用户访问Windows 2008服务器系统中的重要资源,网管员常常会将重要资源设置为共享状态,其他用户只要通过共享访问就能达到访问目的。可是,某些用户在设置共享文件夹时,有时会忘记对共享文件夹设置访问密码,这容易给恶意用户的非法访问提供可乘之机。为了保护重要资源的访问安全,我们不妨检查Windows 2008系统是否开启了密码保护共享功能,如果没有开启该功能时,可以重新启用它,以强行要求用户一定要为共享文件夹设置访问密码,日后只有凭借访问密码才能顺利达到访问目的,下面就是详细的操作步骤:

首先以超级用户账号登录Windows 2008系统,逐一点击“开始”|“设置”|“控制面板”选项,切换到系统控制面板窗口,双击其中的网络和共享中心图标,弹出网络和共享中心控制界面。将鼠标定位到“共享和发现”设置项处,展开“密码保护的共享”设置区域。

其次检查“密码保护的共享”选项是否处于选中状态,要是发现其没有被选中时,应该立即重新选中它,再按下“应用”按钮,这样日后设置共享访问时,一定需要设置访问密码才行,如此一来共享访问安全性才会有保证。




腾讯云服务商邀请关注:

http://partners.qcloud.com/invitation/99377079157835da208bd0

关注服务商的链接,提供下您关注的QQ,我们这边审核下即可快速回复您的工单问题与技术支持! 感谢您的信任与支持!

auto_1452.png

腾讯云技术交流群


ps:本站信息来源于 bbs.qcloud.com

相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808