《暴露于Internet的服务器安全配置步骤华夏新达维护.docx》由会员分享,可在线阅读,更多相关《暴露于Internet的服务器安全配置步骤华夏新达维护.docx(17页珍藏版)》请在第一文库网上搜索。
1、暴露于Internet的服务器安全配置步骤华夏新达维护目录1. 配置Windows2000Server32. 配置防火墙32.1 天网防火墙个人版(自定义IP规则).错误!未定义书签。3. 修改本地用户34. 设置本地安全策略44.1 账户锁定策略44.2 审核策略54.3 用户权利指派64.4 安全选项75. 配置路由与远程访问76. 配置VPN127. 日常例行检查13请在任何时候都记住:再好的安全措施、防火墙,也无法抵御来自内部的攻击,特别是具有管理员权限内部人员的恶意攻击。1 .配置Windows2000Server务必安装直到目前的所有补丁:sp1、SP2、sp3o经常使用“开始一W
2、indowsUpdata”功能进行安全更新。2 .配置应用程序假如系统中的应用程序有补丁,务必全部打上补丁,特别是SQ1SERVER2000,务必依次打到SP3以上。3 .IIS的处理在通常情况下,请去掉HS服务。请将C:INTEPUB这个文件夹改名。4 .配置防火墙我们通常建议使用诺顿网络特警2003(请见诺顿网络特警2003操作手册)5 .修改本地用户打开“开始一程序一管理工具一计算机管理”,展开“计算机管理(本地)一系统工具一本地用户与组”。设置所有属于“administrator”组的用户密码务必在18位以上。双击“组”,建立组VPNo双击用户” 新建“sq1”帐号,专用于SQ1SER
3、VER2000服务启动使用。并加入administrator组。密码至少18位长同时务必包含字母与数字,并修改其拨入属性为“拒绝访问”。“终端服务配置文件”一“同意登录到终端服务”的选项务必去掉。 设置administrator密码至少18位长同时务必包含字母与数字,并修改其拨入属性为“拒绝访问”。 禁用guest账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”一“同意登录到终端服务”的选项务必去掉。 禁用SQ1Debugger账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”一“同意登录到终端服务”的选项务必去掉。 禁用IUSR_xx与IWAM_xx账户。并修改其拨入属性为
4、“拒绝访问二“终端服务配置文件”一“同意登录到终端服务”的选项务必去掉。 禁用TsIntemetUser账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”一“同意登录到终端服务”的选项务必去掉。 建立用户hxxddia1in,密码至少18位长同时务必包含字母与数字,属于本机VPN组与users组,拨入属性为“同意访问”。“终端服务配置文件”一“同意登录到终端服务”的选项务必去掉。6 .设置本地安全策略6.1 设置密码策略打开“开始一程序一管理工具一本地安全策略”,展开“安全设置一账户策略一密码策略”。勤本地安全设置I.CreatedwithHyperSnap-DX4(HToavoidt
5、hisstamp,buya1icenseatwww.H庭I图珞I本地设置I有效设置I康安全设置日C国帐户策咯匐密码必须符合复杂性要求已停用已停用嬲密码长度最小值0个字符0个字符Ie国密码策略弱密码最长存留期42天999天i向(国帐户锁定策略畿)密码最短存留期0天。天由(国本地策略弱强制密码历史0个记住的密吗1个记住的密码-0公钥策略由易IP安全策略,在本地机器践为城中所有用尸使用可还原的已停用已停用“密码务必符合复杂性要求”-设置为“启用”。“密码长度最小值”为:10位。6.2 账户锁定策略勤本地安全设置镰作查看MIjeTI回国X鼠四树I策略I本地设置I有效设置I*安全设置E1。帐户策略F密码
6、策略阙复位帐户锁定计数器回帐尸蟆定时间跚帐户锁定阈值没有定义没有定义0次无效登录没有定义没有定义0次无效登录S4本地策略S口公钥策略SP易IP安全策略,在本士“复位帐号锁定计数器”定义为:30分钟;“帐号锁定时间”定义为:0分钟(特别重要);“帐号锁定阀值”定义为2次。本项设置好5分钟之后,在另外一台机器上的“我的电脑”的“地址栏”上输入WVPNserver(VPNserver为VPN服务器名称),电脑会提示用户名、密码连接,用户名依次输入“guest、“TsIntemetUser、“IUSR_xx、IWAM_xx”等,并有意5次输入错误密码,以使这些帐号被“锁定”,以保证这些帐号不仅被“禁用
7、”,同时也被“锁定”,完全保证安全。6.3 审核策略打开“开始一程序一管理工具一本地安全策略”,展开“安全设置一本地策略一审核策略”。修改为与下图相同。歙本地安全设置操作查看gI回的B图I有效设置核核核核核核审审审审审审tttttt引引HS弓HSHS无无无审核j安全设置型1审核策略更改无审核CS帐户策略段1审核登录事件成功CS本地策略函审核对象访问无审核F审核策略跚审核过程追踪无审核田O用尸权利指派园审核目录服务访问无审核:国Ca安全选项腐审核特权使用无审核O公钥策略段审核系统事件无审核由易IP安全策略,在本上腐审核帐户登录事件成功回审核帐户管理成功,失败I本地设置策略6.4 用户权利指派打开
8、“开始一程序一管理工具一本地安全策略”,展开“安全设置一本地策略一用户权利指派*双击“从网络访问此计算机”策略,按“添加”按钮,只保留如下两个项目双击“拒绝从网络访问这台计算机”策略,按“添加”按钮,增加如下项目6.5 安全选项打开“开始一程序一管理工具一本地安全策略”,展开“安全设置一本地策略一安全选项”。双击“重命名系统管理员账户”与“重命名来宾帐户”策略,进行如下修改7 .配置路由与远程访问打开“开始一程序一管理工具一路由与远程访问”,展开“路由与远程访问-XXX(本地)一远程访问策略二右键“新建远程访问策略”,显示添加远程访问策略囚策略名指定策略的好记的名称。远程访问策略是可以应用到符
9、合某些条件的用户组的操作集。类似于可以应用到电子邮件应用程序中传入邮件的规则,您可以指定使用远程访问策略必须符合的条件.如果符合这些条件,您可以再指定要执行的操作。策略的好记的名称也):上一步)I下一步国)|取消I策略名称之“假如启用拨入许可,就同意访问”,按“下一步”,显示添加远程访问策略条件决定要匹配的条件.添加也)I册赊I编辑I指定要匹配的条件。条件:按“添加”,如下界面选择;选择雇性1?|x|选择要添加的属性类型,然后单击“添加按钮属性类型:名称Ca11ed-StationIdCa11ing-Station-IdC1ient-Friend1y-NameC1ient-IP-Address
10、C1ient-VendorDay-rd-TIme-RestrictionsFrajned-Protoco1NAS-IdentifierNAS-IP-AddressNAS-Port-TypeService-TypeTunne1-TypeWindows-Groups顼述用户拨入的电话号码呼叫方的电话号码RADIUS客户的好记名称。CIASo:RADIUS客户端的IP地址。HASRADIUSproxy戢者NAS的制造花允许用户连接的时间和日期要使用的协议标识发起请求的NAS的字符串C发起请求的NAS的IP地址C1NAS发起请求所用的物理端口类西用户请求的服务类型要使用的隧道漂作协议用户居于的Wind
11、ows蛆2J添加也)取消I按“添加”,如下界面选择时间限制02468全部确定取消按“确定”,界面如下按“添加”,如下界面选择;选择星性选择要添加的属性类型,然后单击“添加”按钮。属性类型色):名称Ca11ed-StatiOXId用尸拨入的电话号码Ca11ing-Station-Id呼叫方的电话号码RADIUS客尸端的IP地址。(IASon1y)RADIUSproxy或者NAS的制造商QASon允许用户连接的时间和日期要使用的协改标识发起话求的NAS的字符串CEASon1y)发起语求的NAS的IP地址GASon1y)NAS发起请求所用的物理端口类型用尸请求的服务类型要使用的隧道操作协议用户属于的
12、Windows蛆C1ient-Friend1y.RAD1uS客户的好记名称。CIASonIy)A1C1ientTP-AddreSSC1ient-VendorDay-And-Time-Res.Frained-Protoco1NAS-IdentifierNAS-IP-AddressNAS-Port-TypeService-TypeTunne1-TypeI添加取消I按“添加”,再按“添加”,选择“VPN”组,按“确定”,再按“确定”,界面如下条件决定要匹配的条件。指定要匹配的条件。条件位):IDa厂And-TIme-ReS心ICt1ons匹配“星期日OO:0524:00:星期一00:0024:Wi.
13、Rcwu-gcruD1酊WYYWPR1PNI逐.加二二|册赊I编辑堡)I上一步也)|下一步国)|取消I按“下一步”,如下界面选择添加远程访问策略权限决定授予或拒绝远程访问权限.您可以使用远程访问策略来授予某蛆用户某些访问特权,或者作为筛选器来拒绝某组用户的访问特权。如果用户符合指定的条件,则:6授予远程访问权限.:r拒绝远程访问权限也)按“下一步”用户配置文件指定用尸配置文件.您现在可以指定符合条件的用户配置文件.注意:尽管您指定了应该拒绝用尸访问,但是,如果此策略的条件在每用尸的基础上被覆盖,仍然可以使用配置文件.上一步)|完成I取消I按“编辑配置文件”,如下界面选择按“确定”,“完成”。8
14、 .配置VPN参见文档如何用VPN连接远程网络。9 .日常例行检查Windows任务管理器查看是否有不能确认的任务在运行。停止每个任务前务必慎重,否则可能会造成Windows系统崩溃。 打开“事件查看器”“安全性”:看看是否有非法使用帐号、更换帐号密码、登录等情况; 打开“事件查看器”“系统”:看看系统运行情况,并注意是否有“终端联接”的记录; 检查“路由与远程访问”,看看是否有不能确定的VPN连接正在运行; 检查“计算机管理”-“本地用户与组”:是否被非法增加了用户、administratorPoWer组中是否被增加了用户、guest等其它帐号的属性被更换了、是否有帐号被锁定了等; 打开“服务”,看看是否有非法的服务在运行; 看看“开始”-“程序”-“启动”中是否有其它非法程序在这里; 注意“