服务器如何防范病毒侵袭

刹车灯2022-07-06  22

我来回答你的问题。我是IT屠夫!1.用户安全

(1)运行lusrmgr.msc,将原管理员用户重命名为具有一定长度的自定义名称,并新建一个同名的普通管理员用户,设置超长密码,删除所有下属用户组。

(2)运行gpedit . MSC-电脑配置-安全设置-账号策略-密码策略启动密码复杂度要求,设置密码最小长度和密码最大使用期限,定期修改密码,保证服务器账号的密码安全。

(3)运行gpedit . MSC-电脑配置-安全设置-账号策略-账号锁定策略启动账号锁定,设置单用户多次登录的错误锁定策略。具体设置请参考要求。

(4)运行gpedit . MSC-计算机配置-安全设置-本地策略-安全选项交互登录:不显示最后一个用户名;——开始互动登录:答案锁定时会显示用户信息;——不显示用户信息。

(5)运行gpedit . MSC-计算机配置-安全设置-本地策略-安全选项。

网络访问:可以匿名访问的共享;—— clear 空

网络访问:可以匿名访问的命名管道;—— clear 空

网络访问:可远程访问的注册表路径;—— clear 空

网络访问:可以远程访问的注册表路径和子路径;—— clear 空

(6)运行gpedit.msc

-计算机配置-安全设置-本地策略:通过终端服务拒绝登录-加入用户。

进程

来宾IUSR _ * * * * * * IWAM _ * * * * *

网络服务

SQLDebugger

注意:用户添加的搜索如下:

(7)运行gpedit . MSC-电脑配置-安全设置-本地策略-策略审计,即系统日志中记录的审计消息,方便我们查看服务器的账户安全。推荐的设置如下:

2.共享安全性

(1)运行regedit-删除系统默认共享[HKEY _本地_机器\系统\当前控制集\服务\ lanmanserver \参数]

S]添加一个键:name:AutoShareServer;Type: REG_DWORD值;: 0

(2)运行regedit-prohibit IPC空connection[local _ machine/system/current control set/control/LSA]将RestrictAnonymous的键值改为“1”。

3.服务端口安全性

(1)运行regedit-修改3389远程端口

打开[HKEY _本地_机器\系统\当前控制集\控制\终端]

Server\Wds\rdpwd\Tds\tcp],将端口号的键值(默认值为3389)改为自定义端口:14720。

打开【HKEY _本地_机器\系统\当前控制\控制\终端服务器\ winstates \ RDP-TCP】,将端口号的键值(默认为3389)修改为自定义端口:14720。

(2)运行services . MSC-禁用不必要的和危险的服务。建议禁止以下服务,具体情况根据需求分析执行:

警报器发送管理警报和通知。

自动更新Windows自动更新服务

浏览器维护网络计算机更新(网络邻居列表)

分布式文件系统局域网管理共享文件

分布式链路跟踪客户端用于更新局域网的连接信息。

错误报告服务发送错误报告。

远程过程调用(RPC)定位器rpcns *远程过程调用(RPC)

远程注册表远程修改注册表

可移动存储管理可移动媒体、驱动程序和库。

远程桌面帮助会话管理器远程协助

路由和远程访问为局域网和广域网环境中的企业提供路由服务。

外壳硬件检测为自动播放硬件事件提供通知。

信使消息文件传输服务

网络登录域控制器通道管理

由ntsecuritysupportprovider telnet服务和Microsoft Serch使用

PrintSpooler打印服务

远程登录

工作站泄露系统用户名列表(注意:如果使用局域网请不要关机)

(3)运行gpedit.msc-IPSec安全加密端口,内部使用加密访问。

原理:使用组策略的IP安全策略功能中的安全服务器功能(需要安全)。

所有访问远程端口(如端口13013)的请求都被筛选到此ip安全策略中,因此在连接之前,请求需要通过双方的预共享密钥进行身份验证。如果一方不启用“需要安全”,则无法连接,如果客户端的预共享密钥错误,则无法连接到服务器。在这种情况下,其他服务的正常运行不会受到影响。

操作步骤:

1)打开GPEDIT。人力服务委员会

,在计算机策略中,有IP安全策略。选择安全服务器的项目属性(需要安全),然后在IP安全规则中选择所有IP通信以打开编辑。在编辑规则属性中,双击所有IP通信,并在IP筛选器中添加或编辑筛选器。

2)返回编辑规则属性,然后选择身份验证方法。删除“Kerberos 5”,

点击添加,在“新认证方式”中,选择“使用此字符串(预共享密钥)”,然后填写服务器填写的预共享密钥(服务器的预共享密钥为“123abc,。").那就确定一下。

3)选择“安全服务器(需要安全)”并右键单击以分配它。附截图:

以上是我的回答。希望能帮到你!

转载请注明原文地址:https://juke.outofmemory.cn/read/612153.html

最新回复(0)