安全加固重点就是切断连接网络连接,封锁USB端口,主机上锁。键盘、鼠标用PS2圆口,不要用USB接口。
创新互联,专注为中小企业提供官网建设、营销型网站制作、响应式网站建设、展示型成都做网站、成都网站制作等服务,帮助中小企业通过网站体现价值、有效益。帮助企业快速建站、解决网站建设与网站营销推广问题。
使用的Windows操作系统,运行在虚拟机中,且被影子卫士等出于保护之下。
操作房间设置视频监控、加装门禁系统。
机房电源采用隔离电源,必要时,加装电磁波干扰器。
1、安全补丁检测及安装。
2、系统用户口令及策略加固。
3、日志及审核策略配置。
4、安全选项策略配置。
5、用户权限策略配置。
6、注册表安全设置。
7、网络与服务加固。
8、其他安全性加固。
比如安全防火墙和防病毒软件。
1、修改默认管理员账户名称
Windows操作系统安装后,默认的管理员用户名为administrator,只要知道了该账户的密码,就掌握了系统的最高权限,若将管理员名称更改为其它名称,对于入侵者而言,是提高了入侵的门槛。
2、密码管理
密码长度和强度,建议设置密码长度为10位以上,并采用大写字母、小写字母、数字、字符混合使用;定期修改密码,比如1个月、3个月修改一次,根据系统的重要性确定修改周期。
3、禁用不需要的用户
禁用GUEST账号,以及其它不使用的账号。
4、安装杀毒软件
安装杀毒软件后,定期、及时更新到最新版本的特征库,提升系统反病毒的能力。
5、开启防火墙
在控制面板中,开启windows防火墙,可根据具体情况,进行细化配置。
6、禁用不用的服务
在控制面板的管理工具中,找到服务,打开后,根据具体情况,禁用不必要的服务。
7、关闭常被入侵的端口
开放的端口是网络入侵的部分前提,所以关闭常被入侵的端口,减少安全事件发生的概率。
8、关闭默认共享
删除盘符下的默认共享,比如要删除C盘下的默认共享,在命令提示符中,输入以下命令:net share c$/del。
9、配置安全策略
在控制面板的管理工具中,打开本地安全策略。在本地策略的安全选项中,进行安全配置。
一)安装对策
在进行系统安装时,采取以下对策:
1、在完全安装、配置好操作系统,给系统全部安装系统补丁之前,一定不要把机器接入网络。
2、在安装操作系统时,建议至少分三个磁盘分区。第一个分区用来安装操作系统,第二分区存放IIS、FTP和各种应用程序,第三个分区存放重要的数据和日志文件。
3、采用NTFS文件格式安装操作系统,可以保证文件的安全,控制用户对文件的访问权限。
4、在安装系统组件时,不要采用缺省安装,删除系统缺省选中的IIS、DHCP、DNS等服务。
5、在安装完操作系统后,应先安装在其上面的应用系统,后安装系统补丁。安装系统补丁一定要全面。
6、做系统的ghost以备还原。
(二)运行对策
在系统运行时,采取以下对策:
1、关闭系统默认共享
修改系统注册表,禁止默认共享功能。在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=dword:00000000。
2、删除多余的不需要的网络协议,只保留TCP/IP网络通讯协议。
3、关闭不必要的有安全隐患的服务
用户可以根据实际情况,关闭如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP Services 、Terminal Services 等有安全隐患的系统服务。
4、启用安全策略(Gpedit.msc 打开系统策略编辑器)
(1)帐号锁定策略。设置帐号锁定阀值,3次无效登录后,即锁定帐号。
(2)密码策略。
一是密码必须符合复杂性要求,即密码中必须包括字母、数字以及特殊字符。
二是服务器密码长度最少设置为8位字符以上。
(3)审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态,可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。建议至少审核登录事件、帐户登录事件、帐户管理三个事件。
(4)“用户权利指派”。在“用户权利指派”中,将“从远端系统强制关机”权限设置为禁止任何人有此权限,防止黑客从远程关闭系统。
(5)“安全选项”。在“安全选项”中,将“对匿名连接的额外限制”权限改为“不允许枚举SAM帐号和共享”。也可以通过修改注册表中的值来禁止建立空连接,[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。可以有效地防止利用IPC$空连接枚举SAM帐号和共享资源,造成系统信息的泄露。
5、加强对Administrator帐号和Guest帐号的管理监控
将Administrator帐号重新命名,创建一个陷阱账号,名为“Administrator”,口令为10位以上的复杂口令,其权限设置成最低,即:将其设为不隶属于任何一个组,并通过安全审核,借此发现攻击者的入侵企图。设置2个管理员用账号,一个具有一般权限,用来处理一些日常事物;另一个具有Administrators 权限,只在需要的时候使用。修改Guest用户口令为复杂口令,并禁用GUEST用户帐号。
6、 关闭文件和打印共享
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork] "NoFileSharingControl"=0000001
售后响应及时
7×24小时客服热线数据备份
更安全、更高效、更稳定价格公道精准
项目经理精准报价不弄虚作假合作无风险
重合同讲信誉,无效全额退款