win2003server 最基本的安全设置
以下几个可以应付基本的小黑客攻击你的服务器,提高服务器的安全性
1.windows2003修改远程登陆端口号
现在利用终端服务(3389漏洞)结合输入法漏洞攻击Win 2003 Server的案例越来越多,作为一条安全措施,可以修改
一下终端服务所提供的端口,使常规的扫描器扫描不到。但这个方法说到底仍然是一个治标不治本的办法,如果攻击
者知道修改了的端口所提供的服务后,仍然会连接上你的终端服务器的(不过几率微小)。
具体操作如下:
在服务器上做如下修改:
1.KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下
都有一个PortNumber值,通常为3389,将其修改为自己的值,如37388(可自己指定端口,但最好不要设为低端端口,
以免冲突);
重新系统才能生效。
2.win2003 administrator 内置系统管理员账号名称修改方法
为了安全考虑,我们的服务器一般都将administrator改名,这个可以一定程度上,躲过黑客的暴力拆解。起码用户
名就够让他猜测好久的。
要更名默认的管理员账号,只要这样操作即可:
单击“开始→运行”,在弹出的运行对话框中输入“gpedit.msc”打开组策略编辑器
依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,并将右边列表框下拉到最底下,双击“重
命名系统管理员账户”即可更名了。
重新系统才能生效。
3.账号锁定策略
1>. 帐户锁定时间
该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定
时间设置为0,那么在管理员明确将其解锁前,该帐户将被锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须大于
或等于重置时间。
默认值:无。因为只有当指定了帐户锁定阈值时,该策略设置才有意义。
2>. 帐户锁定阈值
该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户,除非管理员进行了重新设置
或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0,则将无法锁定帐户。
对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上,失败的
密码尝试计入失败的登录尝试次数中。默认值:0。
3>.复位帐户锁定计数器
该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数
。有效范围为1到99,999分钟之间。
如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。
默认值:无,因为只有当指定了“帐户锁定阈值”时,该策略设置才有意义。
4>设置操作:帐户锁定阈值设置为5次,帐户锁定时间设置为30分钟,复位帐户锁定计数器设置为30分钟
4.取消显示最后登录用户
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon:DontDisplayLastUserName
把值改为1。
5.账号安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过
是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧!破完了才发
现是个低级账户。
6.把共享文件的权限从“everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文
件的用户设置成“everyone”组。包括打印共享,默认的属性就是“everyone”组的,一定不要忘了改。
7.关闭DCOM服务
这就是135端口了,除了被用做查询服务外,它还可能引起直接的攻击,关闭方法是:在运行里输入dcomcnfg,在弹
出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。
8.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS
。这样Cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了