电信天翼3G智能手机HKC Mythos
card.ly:创建你的在线名片
让朋友们久等了。时隔半个月,才开始写第二期。那么,闲话不说了。
上期为大家介绍了一些服务器安全领域的背景,我们知道了为什么网络需要安全,为什么安全问题是互联网正常运营的基础。从本期开始,正式为大家送上技术性内容。
在此以一个假设命题开始。假设你现在有了一台服务器,有了互联网接入带宽,有了一个固定IP地址,那么你可以开始提供互联网内容服务了。
第一件事情,当然是为你的服务器装个一个操作系统。再次假设:安装的是常见的Windows Server2003操作系统。
现在,看起来你可以开始提供服务了。但如果是我,现在还远远没到开始提供服务的时候。因为现在你的服务器几乎没有任何安全措施可言。什么?设了密码?NONONO。不要以为你给你的计算机管理员账号设置了一个很强壮的密码,就高枕无忧了。要知道,Windows Server2003默认设置的安全性毫无安全可言。非常地脆弱,非常地弱不禁风。所以,咱们先要进行基本的系统安全配置。首先你得安装最新的SP2,并安装所有的官方补丁包。这个不用多说了,但它不属于安全配置的范畴。
基本安全设置
一、调整测试环境(设置分辨率,IP地址等工作,以便进行服务器设置。在接入网络前,应该先关闭DCOM组件服务,安装驱动程序)
二、配置服务器。用“管理您的服务器”进行配置服务器向导,将所需的服务功能全部配置好,比如IIS。
三、设置输入法,以便以后维护输入汉字所需。
四、如果在安装系统前只分了系统区,现在可以将其它区分出来了。
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。
五、设置文件夹选项,以方便文件的设置。比如显示系统文件和显示隐藏文件。
六、设置虚拟内存。不要把虚拟内存放在C盘。可以把它移到其他盘。一来节省宝贵的系统盘空间,二来减少C盘读写次数。
七、设置电源管理。服务器当然不能空间XX分钟后关闭硬盘或者自动休眠了,对吧?
八、系统服务优化设置。系统默认状态下很多服务是没有必要的。可以根据你提供的服务来设置系统服务。甚至还有些服务会影响到系统的安全性。禁用不必要的服务,提高安全性和系统效率:
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
九、更改终端服务端口及安全设置。系统默认的终端服务端口为3389,用这个服务可以很方便地远程管理服务器。就是你电脑里的“远程桌面连接”。如果你没有找到这个功能,也可以用http://www.xtit.net/d
为了避免此端口遭到一些黑客软件的扫描和暴力攻击,导致你无法通过这个端口来远程管理服务器,把它改了吧。修改这个端口,是需要重启服务器才会生效的。切记改了3389后不要立即重启,你得开放了对应端口后再重启,否则你远程就连不上了,得跑机房了。
改远程桌面服务端口的方法:
步骤1:打开注册表编辑器。
开始——运行——regedit
步骤2:查找注册表里的3389默认端口。
HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//Terminal Server//WinStations//RDP-Tcp
步骤3:我们找到rdp-tcp然后在注册表的右边查找PortNumber,大家注意!在PortNumber后面有3389的一串数字。
然后在点PortNumber(右键)这个时候会出来一个提示框----点修改----点10进制,修改3389为你想要的数字比如3721什么的----再点16进制(系统会自动转换)----最后确定!
还有一个键值:
HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//TerminalServer //WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。
就这样端口就修改成功了。
对于日志的问题,其实Terminal Service自己是有日志功能的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击“连接”,右击你想配置的RDP服务(比如RDP-TCP(Microsoft RDP5.0)),选中书签“权限”,点击左下角的“高级”,看见上面那个“审核”了吗?我们来加入一个Everyone组,这代表所有的用户,然后审核他的“连接”、“断开”、“注销”的成功和“登陆”的功能和失败就足够了,审核太多了反而不好,这个审核试记录在安全日志中的,可以从“管理工具”->“日志查看器”中查看。
现在什么人什么时候登陆都一清二楚了。
十、如果是更换服务器,那么必需将老服务器上的文件COPY到新服务器上来。在COPY完成后,需要检查文件里是否已经包含了病毒和木马。
分享按钮
1 
