企業服務經驗總結–伺服器安全細則2

技術小阿哥發表於2017-11-14
原文網址 : https://flycode.co/archives/121633
伺服器
14、終端服務配置

      開啟管理工具

      終端服務配置

    1.開啟後,點連線,右鍵,屬性,遠端控制,點不允許遠端控制 

    2.常規,加密級別,高,在使用標準Windows驗證上點√! 

    3.網路卡,將最多連線數上設定為0 

    4.高階,將裡面的許可權也刪除.[我沒設定] 

    再點伺服器設定,在Active Desktop上,設定禁用,且限制每個使用一個會話

 

15、使用者和組策略

      開啟管理工具

      計算機管理。本地使用者和組。使用者;

      刪除Support_388945a0使用者等等只留下你更改好名字的adminisrator許可權

      計算機管理。本地使用者和組。

 

 16、自己動手DIY在本地策略的安全選項

    1)當登陸時間用完時自動登出使用者(本地防止黑客密碼滲透. 

    2)登陸螢幕上不顯示上次登陸名(遠端)如果開放3389服務,別人登陸時,就不會殘留有你登陸的使用者名稱.讓他去猜你的使用者名稱去吧. 

    3)對匿名連線的額外限制 

    4)禁止按 alt+crtl +del(沒必要) 

    5)允許在未登陸前關機[防止遠端關機/啟動、強制關機/啟動] 

    6)只有本地登陸使用者才能訪問cd-rom 

    7)只有本地登陸使用者才能訪問軟碟機 

    8)取消關機原因的提示 

     A、開啟控制皮膚視窗,雙擊“電源選項”圖示,在隨後出現的電源屬性視窗中,進入到“高階”標籤頁面; 

     B、在該頁面的“電源按鈕”設定項處,將“在按下計算機電源按鈕時”設定為“關機”,單擊“確定”按鈕,來退出設定框; 

     C、以後需要關機時,可以直接按下電源按鍵,就能直接關閉計算機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機; 

     D、要是系統中沒有啟用休眠模式的話,可以在控制皮膚視窗中,開啟電源選項,進入到休眠標籤頁面,並在其中將“啟用休眠”選項選中就可以了。 

    9)禁止關機事件跟蹤 

  開始“Start -/>”執行“ Run -/>輸入”gpedit.msc “,在出現的視窗的左邊部分,選擇 ”計算機配置“(Computer Configuration -/> ”管理模板“(Administrative Templates-/> ”系統“(System),在右邊視窗雙擊“Shutdown Event Tracker” 在出現的對話方塊中選擇“禁止”(Disabled),點選然後“確定”(OK)儲存後退出這樣,你將看到類似於Windows 2000的關機視窗 

 

17、常見埠的介紹

  TCP 

  21   FTP 

  22   SSH 

  23   TELNET 

  25   TCP SMTP 

  53   TCP DNS 

  80   HTTP 

  135  epmap 

  138  [衝擊波] 

  139  smb 

  445 

  1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b 

  1026 DCE/12345778-1234-abcd-ef00-0123456789ac 

  1433 TCP SQL SERVER 

  5631 TCP PCANYWHERE 

  5632 UDP PCANYWHERE 

  3389   Terminal Services 

  4444[衝擊波] 

  

  UDP 

  67[衝擊波] 

  137 netbios-ns 

  161 An SNMP Agent is running/ Default community names of the SNMP Agent 

關於UDP一般只有騰訊QQ會開啟4000或者是8000埠或者8080,那麼,我們只執行本機使用4000這幾個埠就行了

 

18、另外介紹一下如何檢視本機開啟的埠和tcpip埠的過濾 

  開始--執行--cmd 

  輸入命令netstat -a 

  會看到例如(這是我的機器開放的埠)

 

Proto Local Address    Foreign Address    State 

TCP  yf001:epmap yf001:0     LISTE 

TCP  yf001:1025 yf001:0 LISTE 

TCP  (使用者名稱):1035  yf001:0 LISTE 

TCP  yf001:netbios-ssn yf001:0      LISTE 

UDP  yf001:1129      *:* 

UDP  yf001:1183      *:* 

UDP  yf001:1396      *:* 

UDP  yf001:1464      *:* 

UDP  yf001:1466      *:* 

UDP  yf001:4000      *:* 

UDP  yf001:4002      *:* 

UDP  yf001:6000      *:* 

UDP  yf001:6001      *:* 

UDP  yf001:6002      *:* 

UDP  yf001:6003      *:* 

UDP  yf001:6004      *:* 

UDP  yf001:6005      *:* 

UDP  yf001:6006      *:* 

UDP  yf001:6007      *:* 

UDP  yf001:1030      *:* 

UDP  yf001:1048      *:* 

UDP  yf001:1144      *:* 

UDP  yf001:1226      *:* 

UDP  yf001:1390      *:* 

UDP  yf001:netbios-ns *:*  

UDP  yf001:netbios-dgm *:* 

UDP  yf001:isakmp *:* 

 

 基於Windowstcp/ip的過濾 

  控制皮膚——網路和撥號連線——本地連線——INTERNET協議(tcp/ip)–屬性--高階---選項-tcp/ip篩選--屬性!! 

然後新增需要的tcp UDP埠就可以了~如果對埠不是很瞭解的話,不要輕易進行過濾,不然可能會導致一些程式無法使用。

 

19、關於瀏覽器

    不要使用管理員許可權的使用者訪問Internet

20、最後一招,也是最關鍵的一招:安裝殺軟與防火牆

 

      防毒軟體要看實力,絕對不能看廣告。病毒區混了半年,把殺軟幾乎也裝了個遍,以下是個人心得:

 

      1:國產殺軟:江民一出,誰與爭峰?KV的敗筆就是當年那個硬碟炸彈吧,呵呵。其實論實力,江民在國內絕對是一支獨秀。先進的防毒引擎,較完整的病毒庫,清除活體病毒能力強,殺殼能力強,可殺連環DLL,監控靈敏,佔系統記憶體小。——宣告:我不是KV的槍手,因為國內的殺軟公司普遍只會打廣告,應該BS一下。

 

      DB2005都到了2005了才殺兩個殼?Rising的誤報天下第一,可是隨便下個毒包基本上沒有它報的(不信的去霏凡病毒區試試:bbs.crsky.com);費爾還不錯,可是與KV比還有差距;光華雖然是主動升級,但毒庫也不是很全。

 

      2:國外殺軟:百家爭鳴!

 

      Kapersky:這款俄國的殺軟在國內極度火熱,其擁有世界第一的毒庫,毒庫3小時一升級,對系統提供最完善的保護。

 

      McAfee:美國殺軟,柔和而強勁的保護,適合有點資歷的使用者。規則指定得當,百毒不侵。

 

      Norton: 唉!老了老了,對國內木馬簡直是白痴。本不想說它,可是又是國際三大殺軟之一,唉!

 

      NOD32:佔資源超小,防毒超快,監控靈敏,只是毒庫似乎有些不全。

 

      BitDefender:羅馬尼亞不錯的殺軟,能力平衡。

 

      GData AntiVirusKit:真正的強悍!它用Kapersky+BitDefender的雙引擎,而且經優化處理,系統不會很卡。

 

      F-Scure:竟然誇張到4引擎!不過除了Kapersky4.0的引擎,其他的很一般。雖然保護是很周到,但用它筆者覺得不如AVK(上一個)。

 

     一般配置 KV2005 OR McAfee OR Kapersky OR GData AntiVirusKit;-配置稍好的可以用以上任一款(除KV2005+ KV2004老爺機配置 KV2004 OR NOD32較好的機器 GData AntiVirusKit+KV2005 OR Kapersky+KV2005 OR McAfee+KV2005

 

      防火牆,系統的最後一道防線。即使殺軟再強大,一些最新變種的木馬仍能見縫插針。沒有防火牆,你的機器很可能成為Haker的代理伺服器,呵呵。還有,如果你的系統有漏洞,Haker也會輕而易舉的Contral Your PC.強大的防火牆推薦:Look `n` Stop :世界測評第一。佔記憶體超小。啟動超迅速。

 



本文轉自 onesthan 51CTO部落格,原文連結:http://blog.51cto.com/91xueit/279816,如需轉載請自行聯絡原作者


相關文章