[推荐]Win2003 Server安全配置完整篇第1/3页

by admin on 2020年1月28日

TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上顾客端的
NetBIOS 名称解析的支撑而使顾客能够分享

正文详细介绍了Windows Server 二〇〇一中的安整体署难题,包涵端口、调查、暗中认可分享、磁盘管理以致防火墙和数据库等地方,相信会令你富有收获。

后生可畏、先关闭没有必要的端口

文件、打字与印刷和登录到互连网

  大器晚成、先关闭不必要的端口

  小编十分的小心,先关了端口。只开了3389 21 80 1433微微凡间接说哪些默许的3389不安全,对此作者不否定,可是利用的门道也不能不三个贰个的穷举爆破,你把帐号改了密码设置为十六七个人,作者估量她要破上有些年,哈哈!办法:本地连接–属性–Internet左券(TCP/IP卡塔尔–高端–选项–TCP/IP挑选–属性–把勾打上 然后加多你要求的端口就能够。PS一句:设置完端口要求再度开动!

Server支持此Computer通过网络的文本、打字与印刷、和命名管道共享

  小编超级小心,先关了端口。只开了3389 21 80 1433稍微人平昔讲怎样私下认可的3389不安全,对此作者不否认,不过使用的门径也只好叁个二个的穷举爆破,你把帐号改了密码设置为十二八位,小编估计她要破上好几年,哈哈!办法:本地连接–属性–Internet公约(TCP/IP卡塔尔国–高端–选项–TCP/IP筛选–属性–把勾打上然后增添你供给的端口就可以。PS一句:设置完端口必要再行启航!

  当然大家也足以转移远程连接端口方法:

Computer Browser 维护网络上Computer的新型列表以致提供那个列表

  当然大家也能够改造远程连接端口方法:

  Windows Registry Editor Version 5.00

Task scheduler 允许程序在指依时期运作

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

Messenger 传输顾客端和服务器之间的 NET SEND 和 警告器服务音信

  [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]

  ”PortNumber”=dword:00002683

Distributed File System: 局域网管理共享文件,不要求可禁止使用

  ”PortNumber”=dword:00002683

  保存为.REG文件双击就能够!修改为9859,当然我们也得以换别的端口, 间接展开以上注册表的地点,把值改为十进制的输入你想要的端口就可以!重启生效!

Distributed linktracking client:用于局域网更新连接音讯,无需可禁止使用

  保存为.REG文件双击就能够!改善为9859,当然大家也能够换其他端口, 直接张开以上注册表的地址,把值改为十进制的输入你想要的端口就能够!重启生效!

  还应该有少数,在二零零四种类里,用TCP/IP筛选里的端口过滤效果,使用FTP服务器的时候,只吐放21端口,在扩充FTP传输的时候,FTP 特有的Port格局和Passive情势,在举行数量传输的时候,供给动态的开垦高级口,所以在动用TCP/IP过滤的情景下,平常会现出延续上后无法列出目录和多少传输的标题。所以在贰零零壹系统上加码的windows连接防火墙能很好的减轻那些难点,所以都不推荐使用网卡的TCP/IP过滤效果。所做FTP下载的客商看留意点,表怪笔者说吾写文章是垃圾…假若要关张不必要的端口,在\system32\drivers\etc\services中有列表,记事本就能够展开的。假诺懒惰的话,最简便的措施是启用WIN二〇〇一的自个儿带的网络防火墙,并展先河口的改观。作用还足以!Internet 连接防火墙能够使得地阻止对Windows 2004服务器的地下侵入,防止不法远程主机对服务器的扫视,升高Windows 二零零四服务器的安全性。同期,也得以有效阻止利用操作系统漏洞实行端口攻击的病毒,如冲击波等蠕虫病毒。借使在用Windows 2002结构的虚构路由器上启用此防火墙功用,能够对全数内部网络起到很好的护卫作用。

Error reporting service:防止发送错误报告

  还只怕有少数,在二零零一种类里,用TCP/IP筛选里的端口过滤效果,使用FTP服务器的时候,只绽开21端口,在开展FTP传输的时候,FTP 特有的Port情势和Passive格局,在张开数量传输的时候,须求动态的开荒高级口,所以在动用TCP/IP过滤的情况下,日常会现身一而再一而再再而三上后非常小概列出目录和数目传输的标题。所以在贰零零叁系统上加码的windows连接防火墙能很好的缓和那个难点,所以都不推荐使用网卡的TCP/IP过滤效果。所做 FTP下载的客户看留心点,表怪小编说吾写文章是垃圾…即使要关张不供给的端口,在\system32\drivers\etc\ services中有列表,记事本就能够展开的。假使懒惰的话,最简便的方法是启用WIN二零零一的自个儿带的网络防火墙,并展开首口的改过。作用还足以! Internet 连接防火墙能够使得地拦住对Windows 二〇〇一服务器的地下侵入,幸免不法远程主机对服务器的围观,提升Windows 2004服务器的安全性。同时,也足以有效阻止利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。若是在用Windows 二〇〇三构造的虚构路由器上启用此防火墙功能,能够对一切内部互联网起到很好的保卫安全成效。

  关于端口的介绍能够访谈:

Microsoft Serch:提供急忙的单词找出,无需可禁用

  关于端口的介绍可以访问:

  二、关闭不供给的劳务 展开相应的稽核战术

NTLMSecuritysupportprovide:telnet服务和Microsoft
Serch用的,无需可禁止使用

  二、关闭无需的劳动 展开相应的核查计策

  我关闭了以下的劳动

PrintSpooler:若无打字与印刷机可禁止使用

  笔者关闭了以下的劳务

  Computer Browser 维护互连网上Computer的摩登列表以致提供这些列表

Remote Registry:禁绝长途改进注册表

  Computer Browser 维护互连网上计算机的最新列表以致提供那个列表

  Task scheduler 允许程序在指准时期运作

Remote Desktop Help Session Manager:禁止长途帮忙

  Task scheduler 允许程序在指按期期运作

  Messenger 传输客户端和服务器之间的 NET SEND 和 警示器服务新闻

Workstation 关闭的话远程NET命令列不出用户组

  Messenger 传输客商端和服务器之间的 NET SEND 和 警示器服务音讯

  Distributed File System: 局域网处理分享文件,无需禁止使用

  Distributed File System: 局域网管理分享文件,不必要禁止使用

  Distributed linktracking client:用于局域网更新连接消息,不要求禁止使用

  Distributed linktracking client:用于局域网更新连接音讯,无需禁止使用

  Error reporting service:禁绝发送错误报告

  Error reporting service:禁绝发送错误报告

  Microsoft Serch:提供便捷的单词找出,没有供给可禁止使用

  Microsoft Serch:提供高速的单词寻觅,没有必要可禁止使用

  NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,没有须求禁止使用

  NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不供给禁止使用

  PrintSpooler:若无打字与印刷机可禁止使用

  PrintSpooler:若无打字与印刷机可禁止使用

  Remote Registry:禁止长途校勘注册表

  Remote Registry:幸免长途纠正注册表

  Remote Desktop Help Session Manager:防止长途协助

  Remote Desktop Help Session Manager:禁绝长途帮助

  Workstation 关闭的话远程NET命令列不出客商组

  Workstation 关闭的话远程NET命令列不出客户组

  把不必要的劳务都防止掉,就算这么些不必然能被攻击者利用得上,可是遵照平安准绳和职业上的话,多余的东西就没需要开启,收缩大器晚成份隐患。

  把不必要的劳务都不许掉,即便那几个不必然能被攻击者利用得上,不过依照平安准则和正式上来讲,多余的事物就没必要开启,缩小黄金时代份隐患。

  在”网络连接”里,把不须求的情商和劳动都删掉,这里只设置了大旨的Internet左券(TCP/IP卡塔尔(قطر‎,由于要调整带宽流量服务,额外安装了Qos数据包安插程序。在高级tcp/ip设置里–“NetBIOS”设置”禁止使用tcp/IP上的NetBIOS(S卡塔尔国”。在高级选项里,使用”Internet连接防火墙”,那是windows 二〇〇〇 自带的防火墙,在二零零零系统里未有的功能,尽管没什么效果,但足以屏蔽端口,那样已经主导达到规定的规范了三个IPSec的功能。

  在”网络连接”里,把不需求的商酌和服务都删掉,这里只设置了宗旨的Internet左券(TCP/IP卡塔尔(قطر‎,由于要调控带宽流量服务,额外安装了Qos数据包布置程序。在高端tcp/ip设置里–“NetBIOS”设置”禁用tcp/IP上的NetBIOS(S卡塔尔(قطر‎”。在高等选项里,使用 “Internet连接防火墙”,那是windows 二零零四 自带的防火墙,在二〇〇〇体系里不曾的成效,就算没什么意义,但能够屏蔽端口,那样已经基本到达了三个IPSec的遵守。

  在运营中输入gpedit.msc回车,张开组战略编辑器,选取Computer配置-Windows设置-安全设置-检查核对战略在开立调查项目时索要专心的是只要检查核对的花色太多,生成的风浪也就更加多,那么要想发掘严重的轩然大波也越难当然要是考察的太少也会影响你发掘严重的风浪,你供给基于气象在这里二者之间做出取舍。

  在运行中输入gpedit.msc回车,张开组战略编辑器,选用Computer配置-Windows设置-安全设置-核查战术在创设考察项目时索要潜心的是只要检查核对的门类太多,生成的平地风波也就更加多,那么要想开掘严重的事件也越难当然倘诺核实的太少也会影响你发现严重的平地风波,你须要基于气象在这里二者之间做出选用。

  推荐的要查证核实的项目是:

  推荐的要查证核实的等级次序是:

  登陆事件 成功 战败

  登入事件 成功 退步

  账户登陆事件 成功 退步

  账户登录事件 成功 战败

  系统事件 成功 失利

  系统事件 成功 战败

  战术改善 成功 战败

  战略改良 成功 失利

  对象访谈 失败

  对象访谈 失利

  目录服务拜会 战败

  目录服务拜访 战败

  特权选取 失利

  特权接受 失利

123下一页读书全文

123下一页翻阅全文

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图