新网创想网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
一、修改windows默认的远程端口
创新互联建站长期为1000多家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为大观企业提供专业的成都做网站、网站制作,大观网站改版等技术服务。拥有10年丰富建站经验和众多成功案例,为您定制开发。
也许有高手认为自己做的挺安全的,就算是默认端口也不用被入侵以及被破密。其实修改默认的远程端口一方面是防止入侵,另外一方面也是防止被扫描影响系统的稳定。
有了解过扫描3389软件的人都知道,一般的攻击者都是扫描3389端口的,所以改成其它的端口可以防止被扫描到您的主机。为什么说另外一方面也是防止被扫描3389端口影响到系统的稳定呢?如果您的服务器默认是使用3389端口,扫描软件就会强力尝试密码字典里的密码,与您的主机建议很多的连接,占用系统里的资源导致服务器出现卡的现象。所以修改默认的远程端口是有几个好处的,希望大家重视。
二、修改windows默认的用户名
我们做安全也是针对攻击的行为而制作相对的策略,攻击的人尝试密码破解的时候,都是使用默认的用户名administrator,当你修改了用户名之后,它猜不出您的用户名,即使密码尝试上千万次都不会成功的,如果要使用用户名字典再加下密码字典,我估计攻击者就没有那个心思了,而且也不会一时间破密到您的用户名。所以修改用户名就会减低被入侵的可能。
那么修改成什么样的用户名才是比较安全呢?个人建议使用中文再加上数字再上字母这样的用户名就非常强大了。例如: 非诚勿扰ADsp0973
三、使用复杂的密码
从扫描以及破解的软件看,都是使用简单的常用的密码进行破解的,例如1q2w3e4r5t或者123456或者12345qwert等简单的组合密码,所以使用这些密码是非常不安全的。我个人就建议避免使用简单的密码防止被破解。
建议使用的密码里包含 大字字母+小字字母+数字+特殊字符。 长度至少要12以上这样会好一些。
众所周知,服务器在组织运行中起着至关重要的作用,由于企业的数据都在服务器上,所以把服务器保护好,企业的安全能力会有一个大的提升,可是很多企业都没有专业的服务器运维人员,所以很多企业的服务器安全保障就成为了一个大问题。如果有条件可以找专业的厂商,比如青藤云安全,青藤会从以下几个方面来做好安全策略,1、不断升级软件和操作系统。2、将计算机配置为文件备份。3、设置对计算机文件的访问限制。4、做好安全监控。5、安装SSL证书。6、服务器密码安全以及建立由内而外的防御体系。
一、本地安全策略(策略影响对象:只影响本机) 二、域控制器安全策略(策略影响对象:只影响域控制器【DC】) 三、域安全策略(策略影响对象:影响整个域) 第一条:本地安全策略 在win2003中打开:开始-程序-管理工具-本地安全策略 会发现里面有这么5项: 1、帐户策略: a 密码策略 密码的复杂性程度:(一旦启用,密码必须符合这样的要求:“A”大写字母 “a”小写字母 “.”特殊字符 “1”数字 4种元素种任选三种的组合。) 密码长度最小值:(默认设置7位) 密码最长使用期限:(默认42天,超过42天密码过帐户将不能登陆,42天到期时间前用户必须更改密码,才能正常使用自己的帐户。这里主要是用来强制用户定期修改自己的密码,以加强帐户的安全性) 密码最短使用期限:(微软想的很周到,用户必须定期修改密码,但是某些用户平凡的更改密码会给服务器带来工作负担,怎么办?用这个选项来限制用户一个密码必须使用够几天后才能再次更改。) 强制密码历史:(有了以上的几种措施,貌似已经达到了我们的要求,但是如果用户第一次改的密码是123点抗 第二次改的密码还是第三次还是,这样重复性的密码就使得我们前面的设置前功尽弃了,如何解决呢?强制密码历史会帮助我们记住用户所用过的密码,当用户再次使用密码历史离记录的密码时,这个密码将会不可用。) 可还原的加密存储密码:建议不要轻易启用,主要是给第三方应用软件提供相关的用户执行权限的。 b 帐户锁定策略 帐户锁定阈值:我们去ATM机上连续好几次输错密码,就会出现我们最不想要的状况:吞卡。那么具体是几次呢?我们的阈值是多少,那么你可以出错的机会就是多少。 帐户锁定时间:当我们的卡被ATM吞了以后,站在提款机旁边等3天,ATM看你态度不错,就把卡吐出来给你了?这样的事情应该不会发生吧,呵呵。我们是要去联系银行的,对应着我们的管理员用户。而银行的锁定时间是永远,所以只能联系银行,等管理员来给你解锁。 2、本地策略: a审核策略 :显示在日志-安全性中(通过事件查看器进行查看)。 登录事件 审核所有计算机用户的登录和注销事件 对象访问 审核用户访问某个对象的事件,例如文件、文件夹、注册表项、打印机等 账户管理 审核计算机上的每一个帐户管理事件,包括:创建、更改或删除用户帐户或组; 重命名、禁用或启用用户帐户;设置或更改密码 目录服务访问 审核用户访问活动目录对象的事件 系统事件 审核用户重新启动或关闭计算机时或者对系统安全或安全日志有影响的事件 b用户权利指派 我们通过对windows server 2003工作组模型的学习,得知2003系统中有一些系统一安装好就自动创建的本地组:内置组,详细如下: Administrators 具有完全控制权限,并且可以向其他用户分配用户权利和访问控制权限 Backup Operators 加入该组的成员可以备份和还原服务器上的所有文件(企业应用中对特定的需要经常做备份操作的用户,可以加入改组进行管理) Guests 拥有一个在登录时创建的临时配置文件,在注销时该配置文件将被删除 Network Configuration Operators 可以更改 TCP/IP 设置并更新和发布 TCP/IP 地址 Power Users 该组具有创建用户账户和组账户的权利,可以在 Power Users 组、Users 组和 Guests 组中添加或删除用户,但是不能管理Administrators组成员 可以创建和管理共享资源 Print Operators 可以管理打印机 Users 可以执行一些常见任务,例如运行应用程序、使用本地和网络打印机以及锁定服务器 用户不能共享目录或创建本地打印机 上面这些内置组,为什么会有这样的权利呢?答案在我们的“用户权利指派”具体的选项里c安全选项
从理论上来说:DDOS和CC攻击如果中了,都不能用软件或设置来阻止,如果你发现中招了,最好的办法就是断网。防火墙也只能起辅助作用,即发现有异常连接之后提醒ADMIN有可能有攻击或入侵。服务器安全策略是防止入侵,而不是DDOS或CC攻击,请注意区别。另外,如果LZ真的想做网站,建议LZ使用LINUX系统,比如Windows server的IIS文件名解析漏洞让多少ADMIN欲语泪先流啊。