通過(guò)優(yōu)化設(shè)置組策略�、對(duì)系統(tǒng)默認(rèn)的管理員�����、用戶進(jìn)行重命名���、創(chuàng)建陷阱帳戶等措施來(lái)提高系統(tǒng)安全性��。
接上篇�����,我們已經(jīng)改好了遠(yuǎn)程連接端口����,已經(jīng)能拒絕一部份攻擊了,但是這些設(shè)置還遠(yuǎn)遠(yuǎn)不夠���。在做以下安全時(shí),必須確保你的服務(wù)器軟件已經(jīng)全部配置完畢��,并且能正常使用���,不然如果在安全設(shè)置后再安裝軟件的話�,有可能會(huì)安裝失敗或發(fā)生其它錯(cuò)誤,導(dǎo)致環(huán)境配置失敗。
密碼策略
系統(tǒng)密碼的強(qiáng)弱直接關(guān)系到系統(tǒng)的安全,如果你的密碼太簡(jiǎn)單�����,萬(wàn)一你的遠(yuǎn)程連接端口被掃到���,那破解你的密碼就是分分鐘鐘后了���。所以���,我們的系統(tǒng)密碼必須要設(shè)置一個(gè)符合安全性要求的密碼�����,如使用大小寫英文�����、數(shù)字、特殊符號(hào)、長(zhǎng)度不小于6位等措施來(lái)加強(qiáng)密碼安全性。在Windows 2008以上系統(tǒng)中���,系統(tǒng)提供了一個(gè)“密碼策略”的設(shè)置����,我們來(lái)設(shè)置它,先進(jìn)入“本地安全策略”�����,
依次打開(kāi) "安全設(shè)置"-----"帳戶策略"-----"密碼策略"-----密碼必須符合復(fù)雜性要求,啟用.
審核策略
審核策略的作用就是萬(wàn)一有惡意用戶在破解你的密碼、登錄你的系統(tǒng),或者修改你的系統(tǒng)等事件�,你可以及早發(fā)現(xiàn)并處理��。
默認(rèn)都是無(wú)審核,我們必須修改它,如下是我修改的審核策略,
己基本能捕捉所需信息�����,我們只要分析這些產(chǎn)生的日志�,就能發(fā)現(xiàn)問(wèn)題所在。
用戶權(quán)限分配
這里主要是限制哪些用戶可以使用遠(yuǎn)程連接登錄到服務(wù)器,默認(rèn)是Administrators組和Remote Desktop Users組,這二個(gè)組的成員都可以遠(yuǎn)程登錄到服務(wù)器�,而我們一般作為WEB服務(wù)器����,用戶不會(huì)太多����,可能就只有一個(gè)管理員,所以就沒(méi)必要指定組,直接指定用戶就可以了��。
修改系統(tǒng)用戶和組
1�、對(duì)系統(tǒng)默認(rèn)用戶名和用戶組進(jìn)行重命名,這里分二步��。
⑴���、重命名默認(rèn)管理員administrator和來(lái)賓帳戶�,如我就將administrator重命名為wobushiad,將guest重命名為wobushiguest,
以后登錄服務(wù)器就要使用修改后的用戶名wobushiad來(lái)登錄。
⑵�����、新建一個(gè)名為administrator��,隸屬于Guests組的用戶,設(shè)置一個(gè)超級(jí)復(fù)雜的密碼(在記事本里打一串字符包括大小寫��、數(shù)字�����、特殊符號(hào)復(fù)制進(jìn)去���,你自己無(wú)需記住此密碼)�,并禁用帳戶��。這個(gè)帳戶是一個(gè)陷阱帳戶���,我們自己并不會(huì)使用此帳戶�����。
再修改默認(rèn)管理員組administrators和Guest組,
安全選項(xiàng)
交互式登錄: 不顯示最后的用戶名��,啟用
網(wǎng)絡(luò)訪問(wèn):不允許SAM帳戶和共享的匿名枚舉��,啟用
網(wǎng)絡(luò)訪問(wèn):不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑據(jù)��,啟用
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑,清空
網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑����,清空
原創(chuàng)作品�,允許轉(zhuǎn)載��,轉(zhuǎn)載時(shí)請(qǐng)務(wù)必以超鏈接形式標(biāo)明文章 原始出處 、作者信息和本聲明��。否則將追究法律責(zé)任�����。
