管理系统技术服务器安全方案.pdfVIP

服务器安全设置解决方案

1.安全策略

开启Windows，把必须对外的端口加入例外中。

2.封闭常用端口

修改常用端口，如：ftp(21端口，数据端口是20)、桌面端口(3389端口)以及常

用的数据库端口

2.1桌面端口

修改桌面端口需要两个步骤：

1、打开表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal

Server\Wds\rdpwd\Tds\tcp]，修改右边PortNamber的值，其默认值是3389，修改成所希望的端口即

可，例如3309

2、再打开表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal

Server\WinStations\RDP-Tcp]，修改右边PortNamber的值，其默认值是3389，修改成所希望的端口即

可，例如3309

修改完后需要重启生效，注意的问题！

2.2FTP端口

3.禁用Guest用户

4.更改Administrator管理员名称

更改默认管理员账号，建立虚假权限的Administrator账号。

5.建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测。因此，

须建立空连接。方法有以下两种：

方法一是修改表：打开表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”，

将DWORD值“RestrictAnonymous”的键值改为“1”即可。

6.防范木马程序

（1）在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如

果有，删除即可。

（2）将表里HKEY_LOCAL_MACHINESOFTWAREWindowsCurrentVersionRun下的

所有以“Run”为前缀的可疑程序全部删除即可。

7.安装必要的杀毒软件

8.隐藏IP地址

利用服务器。

9.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠

标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全的根源，对于不需

TCP/IP上的NETBIOS”一项，关闭NETBIOS。

10.关闭文件和打印共享

将服务的~server停用可以停止网络文件和打印共享的服务

性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”框中的两个复选框中的钩去掉即

可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改表，它人更改“文件和打印

共享”。打开表编辑器，选择

“HKEY_CURRENT_USERSoftwareWindowsCurrentVersionPoliciesNetWork”主键，在该主键下新

和打印共享”就不复存在了。

11.Windows组策略

您可以在“开始”菜单中运行“gpedit.msc”。

1.确定一个缺省的口令策略，使您的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策

略”之下。

2.为了防止自动口令，在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设

置：

·账号关闭持续时间(确定至少5-10分钟)

·账号关闭极限(确定最多允许5至10次登录)

·随后重新启动关闭的账号(确定至少10-15分钟以后)

3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能：

·检查账号管理

·检查策