通過優化設置組策略��、對系統默認的管理員���、用戶進行重命名�����、創建陷阱帳戶等措施來提高系統安全性��。
接上篇,我們已經改好了遠程連接端口���,已經能拒絕一部份攻擊了,但是這些設置還遠遠不夠�。在做以下安全時���,必須確保你的服務器軟件已經全部配置完畢�����,并且能正常使用,不然如果在安全設置后再安裝軟件的話���,有可能會安裝失敗或發生其它錯誤,導致環境配置失敗����。
密碼策略
系統密碼的強弱直接關系到系統的安全�����,如果你的密碼太簡單��,萬一你的遠程連接端口被掃到����,那破解你的密碼就是分分鐘鐘后了�。所以,我們的系統密碼必須要設置一個符合安全性要求的密碼,如使用大小寫英文����、數字���、特殊符號����、長度不小于6位等措施來加強密碼安全性���。在Windows 2008以上系統中���,系統提供了一個“密碼策略”的設置��,我們來設置它���,先進入“本地安全策略”����,
依次打開 "安全設置"-----"帳戶策略"-----"密碼策略"-----密碼必須符合復雜性要求,啟用.
審核策略
審核策略的作用就是萬一有惡意用戶在破解你的密碼、登錄你的系統�,或者修改你的系統等事件�,你可以及早發現并處理���。
默認都是無審核�����,我們必須修改它,如下是我修改的審核策略,
己基本能捕捉所需信息���,我們只要分析這些產生的日志,就能發現問題所在。
用戶權限分配
這里主要是限制哪些用戶可以使用遠程連接登錄到服務器�,默認是Administrators組和Remote Desktop Users組���,這二個組的成員都可以遠程登錄到服務器��,而我們一般作為WEB服務器,用戶不會太多,可能就只有一個管理員�����,所以就沒必要指定組����,直接指定用戶就可以了。
修改系統用戶和組
1、對系統默認用戶名和用戶組進行重命名,這里分二步���。
⑴、重命名默認管理員administrator和來賓帳戶,如我就將administrator重命名為wobushiad,將guest重命名為wobushiguest,
以后登錄服務器就要使用修改后的用戶名wobushiad來登錄�。
⑵�、新建一個名為administrator�����,隸屬于Guests組的用戶��,設置一個超級復雜的密碼(在記事本里打一串字符包括大小寫、數字、特殊符號復制進去�����,你自己無需記住此密碼)��,并禁用帳戶。這個帳戶是一個陷阱帳戶���,我們自己并不會使用此帳戶。
再修改默認管理員組administrators和Guest組���,
安全選項
交互式登錄: 不顯示最后的用戶名,啟用
網絡訪問:不允許SAM帳戶和共享的匿名枚舉����,啟用
網絡訪問:不允許存儲網絡身份驗證的密碼和憑據��,啟用
網絡訪問:可遠程訪問的注冊表路徑,清空
網絡訪問:可遠程訪問的注冊表路徑和子路徑�����,清空
原創作品�,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 ��、作者信息和本聲明����。否則將追究法律責任。
