一般新裝服務(wù)器，大家都會做哪些安全設(shè)置？

一，硬盤設(shè)置 文件目錄權(quán)限 刪除共享，刪除文件及文件夾中的高危權(quán)限二，服務(wù)設(shè)置 關(guān)閉不需要用到的服務(wù)三，本地安全策略設(shè)置 管理員改名設(shè)置 陷阱帳號，GUEST密碼復(fù)雜重置 開啟日志等結(jié)合服務(wù)器安全狗和網(wǎng)站安全狗，保護(hù)文件及目錄安全，關(guān)閉不需要的端口等功能。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、成都微信小程序、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了岫巖免費(fèi)建站歡迎大家使用！

盤點(diǎn)Windows XP安全快速配置安全選項(xiàng)

Windows Vista操作系統(tǒng)已經(jīng)發(fā)布了很多個版本的測試版了，相信大家很多人都已經(jīng)試用過了，筆者給大家整理了一些Vista的相關(guān)疑問。有不正當(dāng)之處請指正。

Windows XP操作系統(tǒng)提供了強(qiáng)大的安全機(jī)制，但是如果要一一設(shè)置這些安全配置，卻是非常費(fèi)時、費(fèi)力的事，那么有沒有一種可以快速配置安全選項(xiàng)的辦法呢？答案是肯定的，用安全模板就能快速、批量地設(shè)定所有安全選項(xiàng)。

一、了解安全模板

"安全模板"是一種可以定義安全策略的文件表示方式，它能夠配置賬戶和本地策略、事件日志、受限組、文件系統(tǒng)、注冊表以及系統(tǒng)服務(wù)等項(xiàng)目的安全設(shè)置。安全模板都以.inf格式的文本文件存在，用戶可以方便地復(fù)制、粘貼、導(dǎo)入或?qū)С瞿承┠０?。此外，安全模板并不引入新的安全參?shù)，而只是將所有現(xiàn)有的安全屬性組織到一個位置以簡化安全性管理，并且提供了一種快速批量修改安全選項(xiàng)的方法。

系統(tǒng)已經(jīng)預(yù)定義了幾個安全模板以幫助加強(qiáng)系統(tǒng)安全，在默認(rèn)情況下，這些模板存儲在"%Systemroot%SecurityTemplates"目錄下。它們分別是：

1.Compatws.inf

提供基本的安全策略，執(zhí)行具有較低級別的安全性但兼容性更好的環(huán)境。放松用戶組的默認(rèn)文件和注冊表權(quán)限，使之與多數(shù)沒有驗(yàn)證的應(yīng)用程序的要求一致。"Power Users"組通常用于運(yùn)行沒有驗(yàn)證的應(yīng)用程序。

2.Hisec*.inf

提供高安全的客戶端策略模板，執(zhí)行高級安全的環(huán)境，是對加密和簽名作進(jìn)一步限制的安全模板的擴(kuò)展集，這些加密和簽名是進(jìn)行身份認(rèn)證和保證數(shù)據(jù)通過安全通道以及在SMB客戶機(jī)和服務(wù)器之間進(jìn)行安全傳輸所必需的。

3.Rootsec.inf

確保系統(tǒng)根的安全，可以指定由Windows XP Professional所引入的新的根目錄權(quán)限。默認(rèn)情況下，Rootsec.inf為系統(tǒng)驅(qū)動器根目錄定義這些權(quán)限。如果不小心更改了根目錄權(quán)限，則可利用該模板重新應(yīng)用根目錄權(quán)限，或者通過修改模板對其他卷應(yīng)用相同的根目錄權(quán)限。

4.Secure*.inf

定義了至少可能影響應(yīng)用程序兼容性的增強(qiáng)安全設(shè)置，還限制了LAN Manager和NTLM身份認(rèn)證協(xié)議的使用，其方式是將客戶端配置為僅可發(fā)送NTLMv2響應(yīng)，而將服務(wù)器配置為可拒絕LAN Manager的響應(yīng)。

5.Setupsecurity.inf

重新應(yīng)用默認(rèn)設(shè)置。這是一個針對于特定計算機(jī)的模板，它代表在安裝操作系統(tǒng)期間所應(yīng)用的默認(rèn)安全設(shè)置，其設(shè)置包括系統(tǒng)驅(qū)動器的根目錄的文件權(quán)限，可用于系統(tǒng)災(zāi)難恢復(fù)。

以上就是系統(tǒng)預(yù)定義的安全模板，用戶可以使用其中一種安全模板，也可以創(chuàng)建自己需要的新安全模板。

二、管理安全模板

1.安裝安全模板

安全模板文件都是基于文本的.inf文件，可以用文本打開進(jìn)行編輯，但是這種方法編輯安全模板太復(fù)雜了，所以要將安全模板載入到MMC控制臺，以方便使用。

①依次點(diǎn)擊"開始"和"運(yùn)行"按鈕，鍵入"mmc"并點(diǎn)擊"確定"按鈕就會打開控制臺節(jié)點(diǎn)；

②點(diǎn)擊"文件"菜單中的"添加/刪除管理單元"，在打開的窗口中點(diǎn)擊"獨(dú)立"標(biāo)簽頁中的"添加"按鈕；

③在"可用的獨(dú)立管理單元"列表中選中"安全模板"，然后點(diǎn)擊"添加"按鈕，最后點(diǎn)擊"關(guān)閉"，這樣安全模板管理單元就被添加到MMC控制臺中了。

為了避免退出后再運(yùn)行MMC時每次都要重新載入，可以點(diǎn)擊"文件"菜單上的"保存"按鈕，將當(dāng)前設(shè)置為保存。

2.建立、刪除安全模板

將安全模板安裝到MMC控制臺后，就會看到系統(tǒng)預(yù)定義的那幾個安全模板，你還可以自己建立新的安全模板。

首先打開"控制臺根節(jié)點(diǎn)"列表中的"安全模板"，在存儲安全模板文件的文件夾上點(diǎn)擊鼠標(biāo)右鍵，在dan出的快捷菜單中選擇"新加模板"，這樣就會dan出新建模板窗口，在"模板名稱"中鍵入新建模板的名稱，在"說明"中，鍵入新模板的說明，最后點(diǎn)擊"確定"按鈕。這樣一個新的安全模板就成功建立了。

刪除安全模板非常簡單，打開"安全模板"，在控制臺樹中找到要刪除的模板，在其上面點(diǎn)擊鼠標(biāo)右鍵，選擇"刪除"即可。

3.應(yīng)用安全模板

新的安全模板經(jīng)過配置后，就可以應(yīng)用了，你必須通過使用"安全配置和分析"管理單元來應(yīng)用安全模板設(shè)置。

①首先要添加"安全配置和分析"管理單元，打開MMC控制臺的"文件"菜單，點(diǎn)擊"添加/刪除管理單元"，在"添加獨(dú)立管理單元"列表中選中"安全配置和分析"，并點(diǎn)擊"添加"按鈕，這樣"安全配置和分析"管理單元就被添加到MMC控制臺中了；

②在控制臺樹中的"安全配置和分析"上點(diǎn)擊鼠標(biāo)右鍵，選擇"打開數(shù)據(jù)庫"，在dan出的窗口中鍵入新數(shù)據(jù)庫名，然后點(diǎn)擊"打開"按鈕；

③在安全模板列表窗口中選擇要導(dǎo)入的安全模板，然后點(diǎn)擊"打開"按鈕，這樣該安全模板就被成功導(dǎo)入了；

④在控制臺樹中的"安全配置和分析"上點(diǎn)擊右鍵，然后在快捷菜單中選擇"立即配置計算機(jī)"，就會dan出確認(rèn)錯誤日志文件路徑窗口，點(diǎn)擊"確定"按鈕。

這樣，剛才被導(dǎo)入的安全模板就被成功應(yīng)用了。

三、設(shè)置安全模板

1.設(shè)置賬戶策略

賬戶策略之中包括密碼策略、賬戶鎖定策略和Kerberos策略的安全設(shè)置，密碼策略為密碼復(fù)雜程度和密碼規(guī)則的修改提供了一種標(biāo)準(zhǔn)的手段，以便滿足高安全性環(huán)境中對密碼的要求。賬戶鎖定策略可以跟蹤失敗的登錄嘗試，并且在必要時可以鎖定相應(yīng)賬戶。Kerberos策略用于域用戶的賬戶，它們決定了與Kerberos相關(guān)的設(shè)置，諸如票據(jù)的期限和強(qiáng)制實(shí)施。

(1)密碼策略

在這里可以配置5種與密碼特征相關(guān)的設(shè)置，分別是"強(qiáng)制密碼歷史"、"密碼最長使用期限"、"密碼最短使用期限"、"密碼長度最小值"和"密碼必須符合復(fù)雜性要求"。

①強(qiáng)制密碼歷史：確定互不相同的新密碼的個數(shù)，在重新使用舊密碼之前，用戶必須使用過這么多的密碼，此設(shè)置值可介于0和24之間；

②密碼最長使用期限：確定在要求用戶更改密碼之前用戶可以使用該密碼的天數(shù)。其值介于0和999之間；如果該值設(shè)置為0，則密碼永不過期；

③密碼最短使用期限：確定用戶可以更改新密碼之前這些新密碼必須保留的天數(shù)。此設(shè)置被設(shè)計為與"強(qiáng)制密碼歷史"設(shè)置一起使用，這樣用戶就不能很快地重置有次數(shù)要求的密碼并更改回舊密碼。該設(shè)置值可以介于0和999之間；如果設(shè)置為0，用戶可以立即更改新密碼。建議將該值設(shè)為2天；

④密碼長度最小值：確定密碼最少可以有多少個字符。該設(shè)置值介于0和14個字符之間。如果設(shè)置為0，則允許用戶使用空白密碼。建議將該值設(shè)置為8個字符；

⑤密碼必須符合復(fù)雜性要求：該項(xiàng)啟用后，將對所有的新密碼進(jìn)行檢查，確保它們滿足復(fù)雜密碼的基本要求。如果啟用該設(shè)置，則用戶密碼必須符合特定要求，如至少有6個字符、密碼不得包含三個或三個以上來自用戶賬戶名中的字符等。

(2)賬戶鎖定策略

在這里可以設(shè)置在指定的時間內(nèi)一個用戶賬戶允許的登錄嘗試次數(shù)，以及登錄失敗后，該賬戶的鎖定時間。

①賬戶鎖定時間：這里的設(shè)置決定了一個賬戶在解除鎖定并允許用戶重新登錄之前所必須經(jīng)過的時間，即被鎖定的用戶不能進(jìn)行登錄操作的時間，該時間的單位為分鐘，如果將時間設(shè)置為0，將會永遠(yuǎn)鎖定該賬戶，直到管理員解除賬戶的鎖定；

②賬戶鎖定閥值：確定嘗試登錄失敗多少次后鎖定用戶賬戶。除非管理員進(jìn)行了重新設(shè)置或該賬戶的鎖定期已滿，才能重新使用賬戶。嘗試登錄失敗的次數(shù)可設(shè)置為1到999之間的值，如果設(shè)置為0，則始終不鎖定該賬戶。

2.設(shè)置本地策略

本地策略包括審核策略、用戶權(quán)限分配和安全選項(xiàng)三項(xiàng)安全設(shè)置，其中，審核策略確定了是否將安全事件記錄到計算機(jī)上的安全日志中；用戶權(quán)利指派確定了哪些用戶或組具有登錄計算機(jī)的權(quán)利或特權(quán)；安全選項(xiàng)確定啟用或禁用計算機(jī)的安全設(shè)置。

(1)審核策略

審核被啟用后，系統(tǒng)就會在審核日志中收集審核對象所發(fā)生的一切事件，如應(yīng)用程序、系統(tǒng)以及安全的相關(guān)信息，因此審核對于保證域的安全是非常重要的。審核策略下的各項(xiàng)值可分為成功、失敗和不審核三種，默認(rèn)是不審核，若要啟用審核，可在某項(xiàng)上雙擊鼠標(biāo)，就會dan出"屬性"窗口，首先選中"在模板中定義這些策略設(shè)置"，然后按需求選擇"成功"或"失敗"即可。

審核策略包括審核賬戶登錄事件、審核策略更改、審核賬戶管理、審核登錄事件、審核系統(tǒng)事件等，下面分別進(jìn)行介紹。

①審核策略更改：主要用于確定是否對用戶權(quán)限分配策略、審核策略或信任策略作出更改的每一個事件進(jìn)行審核。建議設(shè)置為"成功"和"失敗"；

②審核登錄事件：用于確定是否審核用戶登錄到該計算機(jī)、從該計算機(jī)注銷或建立與該計算機(jī)的網(wǎng)絡(luò)連接的每一個實(shí)例。如果設(shè)定為審核成功，則可用來確定哪個用戶成功登錄到哪臺計算機(jī)；如果設(shè)為審核失敗，則可以用來檢測入侵，但攻擊者生成的龐大的登錄失敗日志，會造成拒絕服務(wù)(DoS)狀態(tài)。建議設(shè)置為"成功"；

③審核對象訪問：確定是否審核用戶訪問某個對象，例如文件、文件夾、注冊表項(xiàng)、打印機(jī)等，它們都指定了自己的系統(tǒng)訪問控制列表(SACL)的事件。建議設(shè)置為"失敗"；

④審核過程跟蹤：確定是否審核事件的詳細(xì)跟蹤信息，如程序激活、進(jìn)程退出、間接對象訪問等。如果你懷疑系統(tǒng)被攻擊，可啟用該項(xiàng)，但啟用后會生成大量事件，正常情況下建議將其設(shè)置為"無審核"；

⑤審核目錄服務(wù)訪問：確定是否審核用戶訪問那些指定有自己的系統(tǒng)訪問控制列表(SACL)的ActiveDirectory對象的事件。啟用后會在域控制器的安全日志中生成大量審核項(xiàng)，因此僅在確實(shí)要使用所創(chuàng)建的信息時才應(yīng)啟用。建議設(shè)置為"無審核"；

⑥審核特權(quán)使用：該項(xiàng)用于確定是否對用戶行使用戶權(quán)限的每個實(shí)例進(jìn)行審核，但除跳過遍歷檢查、調(diào)試程序、創(chuàng)建標(biāo)記對象、替換進(jìn)程級別標(biāo)記、生成安全審核、備份文件和目錄、還原文件和目錄等權(quán)限。建議設(shè)置為"不審核"；

⑦審核系統(tǒng)事件：用于確定當(dāng)用戶重新啟動或關(guān)閉計算機(jī)時，或者對系統(tǒng)安全或安全日志有影響的事件發(fā)生時，是否予以審核。這些事件信息是非常重要的，所以建議設(shè)置為"成功"和"失敗"；

⑧審核賬戶登錄事件：該設(shè)置用于確定當(dāng)用戶登錄到其他計算機(jī)(該計算機(jī)用于驗(yàn)證其他計算機(jī)中的賬戶)或從中注銷時，是否進(jìn)行審核。建議設(shè)置為"成功"和"失敗"；

⑨審核賬戶管理：用于確定是否對計算機(jī)上的每個賬戶管理事件，如重命名、禁用或啟用用戶賬戶、創(chuàng)建、修改或刪除用戶賬戶或管理事件進(jìn)行審核。建議設(shè)置為"成功"和"失敗"。

(2)用戶權(quán)利指派

用戶權(quán)利指派主要是確定哪些用戶或組被允許做哪些事情。具體設(shè)置方法是：

①雙擊某項(xiàng)策略，在dan出"屬性"窗口中，首先選中"在模板中定義這些策略設(shè)置"；

②點(diǎn)擊"添加用戶或組"按鈕就會出現(xiàn)"選擇用戶或組"窗口，先點(diǎn)擊"對象類型"選擇對象的類型，再點(diǎn)擊"位置"選擇查找的位置，最后在"輸入對象名稱來選擇"下的空白欄中輸入用戶或組的名稱，輸完后可點(diǎn)擊"檢查名稱"按鈕來檢查名稱是否正確；

③最后點(diǎn)擊"確定"按鈕即可將輸入的對象添加到用戶列表中。

(3)安全選項(xiàng)

在這里可以啟用或禁用計算機(jī)的安全設(shè)置，如數(shù)據(jù)的數(shù)字簽名、Administrator和Guest賬戶的名稱、軟盤驅(qū)動器和CD-ROM驅(qū)動器訪問、驅(qū)動程序安裝行為和登錄提示等。下面介紹幾個適合于一般用戶使用的設(shè)置。

①防止用戶安裝打印機(jī)驅(qū)動程序。對于要打印到網(wǎng)絡(luò)打印機(jī)的計算機(jī)，網(wǎng)絡(luò)打印機(jī)的驅(qū)動程序必須安裝在本地打印機(jī)上。該安全設(shè)置確定了允許哪些人安裝作為添加網(wǎng)絡(luò)打印機(jī)一部分的打印機(jī)驅(qū)動程序。使用該設(shè)置可防止未授權(quán)的用戶下載和安裝不可信的打印機(jī)驅(qū)動程序。

雙擊"設(shè)備：防止用戶安裝打印機(jī)驅(qū)動程序"，會dan出屬性窗口，首先選中"在模板中定義這個策略設(shè)置"項(xiàng)，然后將"已啟用"選中，最后點(diǎn)擊"確定"按鈕。這樣則只有管理員和超級用戶才可以安裝作為添加網(wǎng)絡(luò)打印機(jī)一部分的打印機(jī)驅(qū)動程序；

②無提示安裝未經(jīng)簽名的驅(qū)動程序。當(dāng)試圖安裝未經(jīng)Windows硬件質(zhì)量實(shí)驗(yàn)室(WHQL)頒發(fā)的設(shè)備驅(qū)動程序時，系統(tǒng)默認(rèn)會dan出警告窗口，然后讓用戶選擇是否安裝，這樣很麻煩，你可以將其設(shè)置為無提示就直接安裝。

雙擊"設(shè)備：未簽名驅(qū)動程序的安裝操作"項(xiàng)，在出現(xiàn)的.屬性窗口中，選中"在模板中定義這個策略設(shè)置"項(xiàng)，然后點(diǎn)擊后面的下拉按鈕，選擇"默認(rèn)安裝"，最后點(diǎn)擊"確定"按鈕即可；

③登錄時顯示消息文字。指定用戶登錄時顯示的文本消息。利用這個警告消息設(shè)置，可以警告用戶不得以任何方式濫用公司信息或者警告用戶其操作可能會受到審核，從而更好地保護(hù)系統(tǒng)數(shù)據(jù)。

雙擊"jiao互式登錄：用戶試圖登錄時消息文字"，進(jìn)入屬性窗口，先將"在模板中定義這個策略設(shè)置"選中，然后在下面的空白輸入框中輸入消息文字，最多可以輸入512個字符，最后點(diǎn)擊"確定"按鈕。這樣，用戶在登錄到控制臺之前就會看到這個警告消息對話框。

3.設(shè)置事件日志

這個安全模板是定義與應(yīng)用程序、安全和系統(tǒng)日志相關(guān)的屬性的，如最大的日志大小、對每個日志的訪問權(quán)限以及保留設(shè)置和方法。其中，應(yīng)用程序日志負(fù)責(zé)記錄由程序生成的事件；安全日志根據(jù)審核對象記錄安全事件；系統(tǒng)日志記錄操作系統(tǒng)事件。

(1)日志保留天數(shù)

這個選項(xiàng)可以設(shè)置應(yīng)用程序、安全性和系統(tǒng)日志可以保留多少天。需要注意的是，僅當(dāng)以預(yù)定的時間間隔對日志進(jìn)行存檔時才應(yīng)設(shè)置此值，并要確保最大日志大小足夠大，以滿足此時間間隔。這個天數(shù)可以是1到365天中的任何一個，用戶可按需要進(jìn)行設(shè)置，建議設(shè)置為14天。

(2)日志保留方法

在這里可以設(shè)置達(dá)到設(shè)定的最大日志文件的處理方法，共有按天數(shù)改寫事件、按需要改寫事件和不改寫事件(手動清除日志)三種方式。如果希望將應(yīng)用程序日志存檔，就要選中"按需要覆蓋事件"；如果希望以預(yù)定的時間間隔對日志進(jìn)行存檔，可選中"按天數(shù)覆蓋事件"；如果需要在日志中保留所有事件，可選中"不要改寫事件(手動清除日志)"，在這種情況下，當(dāng)達(dá)到最大日志大小時，將會丟棄新事件日志。

(3)限制本地來賓組訪問日志

在這里可以設(shè)置是否限制來賓訪問應(yīng)用程序、安全性和系統(tǒng)事件日志。默認(rèn)設(shè)置是允許來賓用戶和空連接可以查看系統(tǒng)日志，但禁止訪問安全日志。

(4)日志最大值

這里可以設(shè)置日志文件的最大值和最小值，可用值的范圍是64KB到4194240KB。如果設(shè)置值太小會導(dǎo)致日志經(jīng)常被填滿，這樣就需要經(jīng)常性地清理、保存日志；而設(shè)置值過大，會占據(jù)大量的硬盤空間，所以一定要根據(jù)自己的需要進(jìn)行設(shè)置。

4.設(shè)置受限制的組

在這里可以允許管理員對安全性敏感的組定義"成員"和"隸屬組"兩個屬性，其中"成員"定義了哪些用戶屬于以及哪些用戶不屬于受限制的組；"隸屬組"定義了受限制的組屬于其他哪些組。利用本策略，可以控制組中的成員身份，所有未在本策略中指定的成員都會被刪除，而當(dāng)前不是該組成員的用戶將被添加。

(1)創(chuàng)建受限制的組

首先在控制臺樹中的"受限制的組"上點(diǎn)擊鼠標(biāo)右鍵，選擇"添加組"。然后在"添加組"窗口中鍵入受限制的策略組的名稱，或點(diǎn)擊"瀏覽"，在打開的"選擇組"窗口中查找要進(jìn)行操作的組，最后點(diǎn)擊"確定"按鈕。這時你會發(fā)現(xiàn)新的一個組已經(jīng)被創(chuàng)建成功了。

如果你想將所有受限制的組項(xiàng)從一個模板復(fù)制到另一個模板，可以在控制臺樹中右鍵點(diǎn)擊"受限制的組"，在dan出的快捷菜單中選擇"復(fù)制"，然后在另一個模板中右鍵點(diǎn)擊"受限制的組"，并在dan出的快捷菜單中選擇"粘貼"。

(2)添加用戶

先在詳細(xì)信息窗格中，找到要添加用戶的組，然后在上面點(diǎn)擊鼠標(biāo)右鍵，在dan出的快捷菜單中選擇"屬性"，就會dan出該組的屬性窗口。點(diǎn)擊"這個組的成員"列表框右邊的"添加"按鈕，然后鍵入要添加的成員即可。重復(fù)此步驟，可添加更多的成員。

同樣，如要將本組添加為任何其他組的成員中，請點(diǎn)擊在"這個組隸屬于"列表框右側(cè)的"添加"按鈕，然后在dan出的窗口中鍵入組名稱，最后點(diǎn)擊"確定"即可。

5.設(shè)置系統(tǒng)服務(wù)

在這里可以定義所有系統(tǒng)服務(wù)的啟動模式和訪問權(quán)限，啟動模式包括自動、手動和已禁用，其中自動表示重新啟動計算機(jī)時自動啟動；手動表示只有在有人啟動時才啟動；已禁用表示不能啟動該服務(wù)。而訪問權(quán)限指的是用戶對服務(wù)的讀取、寫入、刪除、啟動、暫停和停止等操作。利用這個安全模板可以很方便地設(shè)定哪些用戶或組賬戶具有讀取、寫入、刪除的權(quán)限，或具有執(zhí)行繼承設(shè)置或?qū)徍艘约八袡?quán)的權(quán)限。需要注意的是，禁用某些服務(wù)可能會導(dǎo)致系統(tǒng)無法引導(dǎo)，所以如果要禁用系統(tǒng)的服務(wù)，請先在非生產(chǎn)系統(tǒng)中進(jìn)行測試。

那么如何來配置系統(tǒng)服務(wù)設(shè)置呢？

①雙擊要配置的服務(wù)，就會dan出服務(wù)的屬性對話框；

②選中"在模板中定義這個策略配置"項(xiàng)，如果這個策略以前從來沒有被配置過，就會自動出現(xiàn)安全設(shè)置對話框。如果沒有自動出現(xiàn)的話，需要點(diǎn)擊"編輯安全設(shè)置"按鈕，調(diào)出對話框；

③點(diǎn)擊"添加"按鈕，按照添加用戶或組的步驟將想要操作的用戶添加到列表中；

④在"組或用戶名稱"下的列表中選擇某一用戶或組，下面的權(quán)限列表中就會列出所有能夠編輯的權(quán)限。按照實(shí)際需要選擇是允許還是拒絕某項(xiàng)權(quán)限，如想編輯特別權(quán)限或高級設(shè)置，則點(diǎn)擊"高級"按鈕，編輯完成后點(diǎn)擊"確定"按鈕；

⑤在屬性窗口中的"選擇服務(wù)啟動模式"下，選擇自動、手動或已停用。

6.設(shè)置注冊表

在這里，允許管理員定義注冊表項(xiàng)的訪問權(quán)限(關(guān)于DACL)和審核設(shè)置(關(guān)于SACL)。

DACL即任意訪問控制列表，它賦予或拒絕特定用戶或組訪問某個對象的權(quán)限的對象安全描述符的組成部分。只有某個對象的所有者才可以更改DACL中賦予或拒絕的權(quán)限，這樣，此對象的所有者就可以自由訪問該對象。SACL即系統(tǒng)訪問控制列表，它表示部分對象的安全描述符的列表，該安全描述符指定了每個用戶或組的哪個事件將被審核。審核事件的例子是文件訪問、登錄嘗試和系統(tǒng)關(guān)閉。

(1)設(shè)置注冊表安全性

①在控制臺樹中，用鼠標(biāo)右鍵點(diǎn)擊"注冊表"節(jié)點(diǎn)，在dan出的快捷菜單中選擇"添加密鑰"；

②在"選擇注冊表項(xiàng)"對話框中，選擇好要添加密鑰的注冊表項(xiàng)，然后點(diǎn)擊"確定"按鈕；

③在"數(shù)據(jù)庫安全設(shè)置"對話框中，為該注冊表項(xiàng)選擇合適的權(quán)限，然后點(diǎn)擊"確定"按鈕；

④在"模板安全策略設(shè)置"對話框中，選擇需要的繼承權(quán)限方式，最后點(diǎn)擊"確定"按鈕。

(2)修改注冊表鍵的權(quán)限

①在注冊表項(xiàng)詳細(xì)列表中，雙擊要進(jìn)行修改的注冊表鍵；

②在dan出的"模板安全策略設(shè)置"窗口中，選中"配置這個鍵，然后"，下面有兩項(xiàng)：其中"將繼承權(quán)傳播到所有子項(xiàng)"項(xiàng)表示所有子鍵都從被設(shè)置的鍵處繼承新設(shè)置的權(quán)限；"用可繼承權(quán)代替所有子項(xiàng)上的現(xiàn)有權(quán)限"項(xiàng)表示所有子鍵都會被應(yīng)用新設(shè)置的權(quán)限。按自己的需要選擇其中一項(xiàng)。

③點(diǎn)擊"編輯安全設(shè)置"按鈕，然后在dan出的對話框中點(diǎn)擊"高級"按鈕，進(jìn)入高級安全設(shè)置窗口；

④在"高級安全設(shè)置"窗口中，點(diǎn)擊"添加"按鈕來增刪用戶，以符合建議的設(shè)置標(biāo)準(zhǔn)；

⑤選中要進(jìn)行操作的用戶或組，然后點(diǎn)擊"編輯"按鈕就會dan出權(quán)限設(shè)置對話框，首先在"應(yīng)用到"后的下拉按鈕中選擇正確的設(shè)置，如只有該項(xiàng)、該項(xiàng)及子項(xiàng)等。接著在"權(quán)限"列表中選擇希望使用的權(quán)限，最后點(diǎn)擊"確定"按鈕即可完成設(shè)置。

7.設(shè)置文件系統(tǒng)

文件系統(tǒng)是指文件命名、存儲和組織的總體結(jié)構(gòu)。Windows XP支持FAT、FAT32和NTFS三種文件系統(tǒng)，在安裝Windows、格式化現(xiàn)有的卷或者安裝新的硬盤時，可選擇文件系統(tǒng)。每個文件系統(tǒng)都有其自己的優(yōu)點(diǎn)和局限性，其中，NTFS文件系統(tǒng)所能提供的性能、安全性、可靠性是其他文件系統(tǒng)所不具備的。如NTFS可以通過使用標(biāo)準(zhǔn)的事務(wù)處理記錄和還原技術(shù)來保證卷的一致性。如果系統(tǒng)出現(xiàn)故障，NTFS就會使用日志文件和檢查點(diǎn)信息來恢復(fù)文件系統(tǒng)的一致性。而在Windows XP操作系統(tǒng)中，NTFS還可以提供諸如文件和文件夾權(quán)限、加密、磁盤配額和壓縮這樣的高級功能。

(1)查看文件系統(tǒng)安全設(shè)置

想要手工查看一個特定文件或文件夾的權(quán)限，可參考如下操作：

首先打開Windows資源管理器，在要查看的文件或文件夾上點(diǎn)擊鼠標(biāo)右鍵，在dan出的快捷菜單中選擇"屬性"。然后在屬性窗口中，進(jìn)入"安全"選項(xiàng)卡，最后點(diǎn)擊"高級"按鈕，在打開的窗口中就可以查看文件或文件夾相關(guān)的權(quán)限信息了。

(2)為文件設(shè)置文件系統(tǒng)安全性

①用右鍵點(diǎn)擊控制臺數(shù)中的"文件系統(tǒng)"節(jié)點(diǎn)，在dan出的快捷菜單中點(diǎn)擊"添加文件"按鈕；

②在"添加文件或文件夾"對話框中，找到要為其添加安全的文件或文件夾，然后點(diǎn)擊"確定"按鈕；

③在出現(xiàn)的"數(shù)據(jù)庫安全設(shè)置"對話框中配置適當(dāng)?shù)臋?quán)限，然后點(diǎn)擊"確定"按鈕；

④回到"模板安全策略設(shè)置"對話框中，點(diǎn)擊"確定"按鈕即可完成設(shè)置。

(3)修改文件系統(tǒng)安全設(shè)置

手工逐個修改每個文件和文件夾的權(quán)限設(shè)置，是非常浪費(fèi)時間和精力的，通過安全模板可以快速、批量進(jìn)行設(shè)置。

①在窗口右側(cè)的面板中，雙擊要改變的文件或文件夾；

②在出現(xiàn)的"模板安全策略設(shè)置"窗口中有兩個選項(xiàng)，其中"向所有子文件夾和文件傳播繼承權(quán)限"表示該文件夾的子文件夾和文件都被重新配置并全部繼承新的權(quán)限；"替換所有帶繼承權(quán)限的子文件夾和文件上的現(xiàn)存權(quán)限"表示不管那些子文件夾是否具備允許繼承權(quán)限，都將會被應(yīng)用新的權(quán)限，并且會從被配置的鍵繼承新的權(quán)限。按需要任選一項(xiàng)，然后點(diǎn)擊"編輯安全設(shè)置"按鈕。

③在"安全設(shè)置"窗口中，點(diǎn)擊"高級"按鈕；

④在高級安全設(shè)置窗口中，如果父項(xiàng)的權(quán)限沒有被繼承，就需要保證"從父項(xiàng)繼承那些可以應(yīng)用到子對象的權(quán)限項(xiàng)目，包括那些在此明確定義的項(xiàng)目"項(xiàng)沒有被選中，然后點(diǎn)擊"添加"按鈕來修改會受到權(quán)限影響的用戶或組，最后選中要進(jìn)行配置的組或用戶，并點(diǎn)擊"編輯"按鈕；

⑤在文件夾的權(quán)限項(xiàng)目窗口中，首先點(diǎn)擊"應(yīng)用到"后的下拉按鈕，選擇一個合適的應(yīng)用位置，如只有子文件夾、只有該文件夾等，然后就可以到"權(quán)限"列表中配置權(quán)限了。最后點(diǎn)擊"確定"按鈕來應(yīng)用配置的權(quán)限。

關(guān)于2003服務(wù)器的安全設(shè)置

windows server2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺，安全性相對于windows 2000有大大的提高,但是2003默認(rèn)的安全配置不一定適合我們的需要，所以，我們要根據(jù)實(shí)際情況來對win2003進(jìn)行全面安全配置。說實(shí)話，安全配置是一項(xiàng)比較有難度的網(wǎng)絡(luò)技術(shù)，權(quán)限配置的太嚴(yán)格，好多程序又運(yùn)行不起，權(quán)限配置的太松，又很容易被黑客入侵，做為網(wǎng)絡(luò)管理員，真的很頭痛，因此，我結(jié)合這幾年的網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)，總結(jié)出以下一些方法來提高我們服務(wù)器的安全性。

第一招：正確劃分文件系統(tǒng)格式，選擇穩(wěn)定的操作系統(tǒng)安裝盤

為了提高安全性，服務(wù)器的文件系統(tǒng)格式一定要劃分成NTFS（新技術(shù)文件系統(tǒng)）格式，它比FAT16、FAT32的安全性、空間利用率都大大的提高，我們可以通過它來配置文件的安全性，磁盤配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了，可以用CONVERT 盤符 /FS：NTFS /V 來把FAT32轉(zhuǎn)換成NTFS格式。正確安裝windows 2003 server,在網(wǎng)安聯(lián)盟;有windows 2003的企業(yè)可升級版，這個一個完全破解了的版本，可以直接網(wǎng)上升級,我們安裝時盡量只安裝我們必須要用的組件，安裝完后打上最新的補(bǔ)丁，到網(wǎng)上升級到最新版本！保證操作系統(tǒng)本身無漏洞。

第二招：正確設(shè)置磁盤的安全性,具體如下(虛擬機(jī)的安全設(shè)置，我們以asp程序?yàn)槔?重點(diǎn)：

1、系統(tǒng)盤權(quán)限設(shè)置

C:分區(qū)部分：

c:\

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER 全部(只有子文件來及文件)

system 全部(該文件夾，子文件夾及文件)

IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾)

IIS_WPG(該文件夾，子文件夾及文件)

遍歷文件夾/運(yùn)行文件

列出文件夾/讀取數(shù)據(jù)

讀取屬性

創(chuàng)建文件夾/附加數(shù)據(jù)

讀取權(quán)限

c:\Documents and Settings

administrators 全部(該文件夾，子文件夾及文件)

Power Users (該文件夾，子文件夾及文件)

讀取和運(yùn)行

列出文件夾目錄

讀取

SYSTEM全部(該文件夾，子文件夾及文件)

C:\Program Files

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER全部(只有子文件來及文件)

IIS_WPG (該文件夾，子文件夾及文件)

讀取和運(yùn)行

列出文件夾目錄

讀取

Power Users(該文件夾，子文件夾及文件)

修改權(quán)限

SYSTEM全部(該文件夾，子文件夾及文件)

TERMINAL SERVER USER (該文件夾，子文件夾及文件)

修改權(quán)限

2、網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤)

說明：我們假設(shè)網(wǎng)站全部在E盤wwwsite目錄下，并且為每一個虛擬機(jī)創(chuàng)建了一個guest用戶，用戶名為vhost1...vhostn并且創(chuàng)建了一個webuser組，把所有的vhost用戶全部加入這個webuser組里面方便管理

E:\

Administrators全部(該文件夾，子文件夾及文件)

E:\wwwsite

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

service全部(該文件夾，子文件夾及文件)

E:\wwwsite\vhost1

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

vhost1全部(該文件夾，子文件夾及文件)

3、數(shù)據(jù)備份盤

數(shù)據(jù)備份盤最好只指定一個特定的用戶對它有完全操作的權(quán)限

比如F盤為數(shù)據(jù)備份盤，我們只指定一個管理員對它有完全操作的權(quán)限

4、其它地方的權(quán)限設(shè)置

請找到c盤的這些文件，把安全性設(shè)置只有特定的管理員有完全操作權(quán)限

下列這些文件只允許administrators訪問

net.exe

net1.exet

cmd.exe

t

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format點(diǎn)抗

5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號，更改描述

第三招：禁用不必要的服務(wù)，提高安全性和系統(tǒng)效率

Computer Browser 維護(hù)網(wǎng)絡(luò)上計算機(jī)的最新列表以及提供這個列表

Task scheduler 允許程序在指定時間運(yùn)行

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Removable storage 管理可移動媒體、驅(qū)動程序和庫

Remote Registry Service 允許遠(yuǎn)程注冊表操作

Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)

IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅(qū)動程序

Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知

Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件

Alerter 通知選定的用戶和計算機(jī)管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序

Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息

Telnet 允許遠(yuǎn)程用戶登錄到此計算機(jī)并運(yùn)行程序

第四招:修改注冊表，讓系統(tǒng)更強(qiáng)壯

1、隱藏重要文件/目錄可以修改注冊表實(shí)現(xiàn)完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

2、啟動系統(tǒng)自帶的Internet連接_blank"防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止響應(yīng)ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7.修改終端服務(wù)端口

運(yùn)行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進(jìn)制狀態(tài)下改成你想要的端口號吧，比如7126之類的，只要不與其它沖突即可。

2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號和上面改的一樣就行了。

8、禁止IPC空連接：

cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。

9、更改TTL值

cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實(shí)際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個莫名其妙的數(shù)字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦

10. 刪除默認(rèn)共享

有人問過我一開機(jī)就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認(rèn)共享，必須通過修改注冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可

11. 禁止建立空連接

默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS

網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議（TCP/IP）屬性-高級-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。

2. 賬戶安全

首先禁止一切賬戶，除了你自己，呵呵。然后把Administrator改名。我呢就順手又建了個Administrator賬戶，不過是什么權(quán)限都沒有的那種，然后打開記事本，一陣亂敲，復(fù)制，粘貼到“密碼”里去，呵呵，來破密碼吧~！破完了才發(fā)現(xiàn)是個低級賬戶，看你崩潰不？

創(chuàng)建2個管理員用帳號

雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。 創(chuàng)建一個一般權(quán)限帳號用來收信以及處理一些*常事物，另一個擁有Administrators 權(quán)限的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內(nèi)容改為META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;"這樣，出錯了自動轉(zhuǎn)到首頁

4. 安全日志

我遇到過這樣的情況，一臺主機(jī)被別人入侵了，系統(tǒng)管理員請我去追查兇手，我登錄進(jìn)去一看：安全日志是空的，倒，請記?。篧in2000的默認(rèn)安裝是不開任何安全審核的！那么請你到本地安全策略-審核策略中打開相應(yīng)的審核，推薦的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪問 失敗

賬戶登錄事件 成功 失敗

審核項(xiàng)目少的缺點(diǎn)是萬一你想看發(fā)現(xiàn)沒有記錄那就一點(diǎn)都沒轍；審核項(xiàng)目太多不僅會占用系統(tǒng)資源而且會導(dǎo)致你根本沒空去看，這樣就失去了審核的意義

5. 運(yùn)行防毒軟件

我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的，其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫,我們推薦mcafree殺毒軟件+blackice_blank"防火墻

6.sqlserver數(shù)據(jù)庫服務(wù)器安全和serv-u ftp服務(wù)器安全配置，更改默認(rèn)端口，和管理密碼

7.設(shè)置ip篩選、用blackice禁止木馬常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和組策略的設(shè)置,如果你在設(shè)置本地安全策略時設(shè)置錯了，可以這樣恢復(fù)成它的默認(rèn)值.

打開 %SystemRoot%\Security文件夾,創(chuàng)建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數(shù)據(jù)庫并將其改名,如改為"Secedit.old".

啟動"安全配置和分析"MMC管理單元:"開始"-"運(yùn)行"-"MMC",啟動管理控制臺,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.

右擊"安全配置和分析"-"打開數(shù)據(jù)庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".

當(dāng)系統(tǒng)提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".

如果系統(tǒng)提示"拒絕訪問數(shù)據(jù)庫",不管他.

你會發(fā)現(xiàn)在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數(shù)據(jù)庫重建成功.

網(wǎng)站欄目：客戶機(jī)與服務(wù)器的安全設(shè)置 客戶機(jī)與服務(wù)器的安全設(shè)置在哪里
當(dāng)前URL：http://jinyejixie.com/article4/ddisgoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、商城網(wǎng)站、標(biāo)簽優(yōu)化、App設(shè)計、云服務(wù)器、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)