服务器安全策略配置方案一览
2023年11月14日
104
服务器安全可以通过软件,修复漏洞以及第三方云服务来保障,但是服务器本身也是可以进行安全性能设置的,小编从服务器安全中的策略配置这一角度来跟大家讲讲服务器本身可以进行哪些设置来提升服务器安全,接下来就跟着小编一起来看看吧。

服务器安全可以通过软件,修复漏洞以及第三方云服务来保障,但是服务器本身也是可以进行安全性能设置的,小编从服务器安全中的策略配置这一角度来跟大家讲讲服务器本身可以进行哪些设置来提升服务器安全,接下来就跟着小编一起来看看吧。

image.png  服务器安全策略配置

  1、默认远程连接服务器端口修改:

  一般默认为3389和22,修改为其他端口号,如果云服务器厂商有端口防火墙记得在供应商控制台开放其端口。

  2、关闭无用的用户名,修改默认用户名:

  例如对默认administrator,进行修改,同时存在像guest的访客用户名可以取消删除掉。

  3、开启服务器自带防火墙:

  服务器自带防火墙可以设置哪些端口正常访问,哪些端口拒绝,是比较好用的防火墙也是用户比较容易忽视的。

  4、关闭无用的服务:

  打印服务、打印共享服务、无线服务、在局域网以及广域网环境中为企业提供的路由服务、relnet服务,Microsoft seach服务,远程连接注册表服务、远程协助服务、收集、存储和向 Microsoft 报告异常应⽤程序服务、Telnet 允许远程⽤户登录到此计算机并运⾏程序。

  5、设置ipc空连接禁用:

  打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值修改为1即可。

  6、禁用默认共享功能:

  打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,新建 AutoShareServer类型是REG_DWORD把值改为0。

  7、组策略配置:

  (设置流程方式:运行gpedit→计算机配置→windows设置→安全设置→本地策略)

  ①: 在⽤户权利分配下,从通过⽹络访问此计算机中删除Power Users和Backup Operators;

  ②:启⽤不允许匿名访问SAM帐号和共享

  ③:启⽤不允许为⽹络验证存储凭据或Passport;

  ④从⽂件共享中删除允许匿名登录的DFS$和COMCFG;

  ⑤:启⽤交互登录:不显⽰上次的⽤户名;

  ⑥:启⽤在下⼀次密码变更时不存储LANMAN哈希值;

  ⑦:禁⽌IIS匿名⽤户在本地登录。

  8、本地安全策略设置

  (打开方式:开始菜单→管理⼯具→本地安全策略)

  ①:本地策略→审核策略(更改为如下)

  审核策略更改:成功,失败

  审核登录事件:成功,失败

  审核对象访问:失败

  审核过程跟踪:⽆审核

  审核⽬录服务访问:失败

  审核特权使⽤:失败

  审核系统事件:成功,失败

  审核账户登录事件:成功,失败

  审核账户管理:成功,失败

  注:在设置审核登陆事件时选择记失败,这样在事件查看器⾥的安全⽇志就会记录登陆失败的信息。

  ②:本地策略→⽤户权限分配

  关闭系统:只有Administrators组、其它全部删除。

  通过终端服务拒绝登陆:加⼊Guests、User组

  通过终端服务允许登陆:只加⼊Administrators组,其他全部删。

  ③:本地策略——>安全选项

  交互式登陆:不显⽰上次的⽤户名改为启⽤

  ⽹络访问:不允许SAM帐户和共享的匿名枚举改为启⽤

  ⽹络访问:不允许为⽹络⾝份验证储存凭证改为启⽤

  ⽹络访问:可匿名访问的共享改为全部删除

  ⽹络访问:可匿名访问的名改为全部删除

  ⽹络访问:可远程访问的注册表路径改为全部删除

  ⽹络访问:可远程访问的注册表路径和⼦路径改为全部删除

  ④:本地策略>软件限制策略>其它规则

  新建规则不允许运⾏以下⽂件: scrrun.dll,shell.dll,QQ.exe,thunder.exe,telnet.exe等等。随着维护的深⼊,逐步追加服务器不需要运⾏的应⽤程序。

  9、iis设置

  在iis我们经常用到的网站都是aspx、asp或者php,如果我们只涉及其中一种,其他之外的脚本支持则需要进行关闭。

  例如很多asp的木马文件其实是通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现入侵的。

  同时,我们对于服务器文件属性的尽量在外网可访问的地址下选择只读属性,可降低被篡改的风险。

  以上就是安全狗小编给大家介绍的服务器安全策略配置方案,大家可以配合服务器安全软件进行合理使用哦。