Windows服務器如何做好安全防護？

系統(tǒng)安全：

祿豐網(wǎng)站建設公司創(chuàng)新互聯(lián)公司,祿豐網(wǎng)站設計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為祿豐成百上千家提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\成都外貿網(wǎng)站建設公司要多少錢，請找那個售后服務好的祿豐做網(wǎng)站的公司定做！

1.設置較為復雜的主機密碼，建議8位數(shù)以上，大小寫混合帶數(shù)字、特殊字符，不要使用123456、password等弱口令。

2.開啟系統(tǒng)自動更新功能，定期給系統(tǒng)打補丁。

3.windows主機安裝安全狗、360主機衛(wèi)士等防入侵的產(chǎn)品。

4.做好網(wǎng)站的注入漏洞檢查，做好網(wǎng)站目錄訪問權限控制。(建議將網(wǎng)站設置為只讀狀態(tài)，對需要上傳附件等目錄單獨開通寫權限功能，對上傳文件目錄設置為禁止腳本執(zhí)行權限)

5.如果用于網(wǎng)站服務，建議安裝我們預裝“網(wǎng)站管理助手”的操作系統(tǒng)模板，該系統(tǒng)我們做過安全加固，比純凈版要更安全。新建網(wǎng)站強烈建議用網(wǎng)站管理助手創(chuàng)建，本系統(tǒng)創(chuàng)建的網(wǎng)站會相互隔離，避免一個網(wǎng)站被入侵就導致其他網(wǎng)站也受影響。

6.關閉不需要的服務，如server,worksation等服務一般用不上，建議禁用。

7.啟用TCP/IP篩選功能,關閉危險端口,防止遠程掃描、蠕蟲和溢出攻擊。 比如mssql數(shù)據(jù)庫的1433端口，一般用不上遠程連接的話，建議封掉，只允許本機連接。

8.如果自己安裝數(shù)據(jù)庫，建議修改為普通用戶運行，默認是system權限運行的，非常不安全。查看幫助

9.如果是自主安裝純凈版的系統(tǒng)，建議修改掉3389、22等默認端口，用其他非標準端口可以減少被黑的幾率。

維護Windows網(wǎng)絡服務器安全的技巧

對網(wǎng)絡服務器的惡意網(wǎng)絡行為包括兩個方面：一是惡意的攻擊行為，如拒絕服務攻擊，網(wǎng)絡病毒等等，這些行為旨在消耗服務器資源，影響服務器的正常運作，甚至服務器所在網(wǎng)絡的癱瘓;另外一個就是惡意的入侵行為，這種行為更是會導致服務器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務器。所以我們要保證網(wǎng)絡服務器的安全可以說就是盡量減少網(wǎng)絡服務器受這兩種行為的影響。

(一) 構建好你的硬件安全防御系統(tǒng)

選用一套好的安全系統(tǒng)模型。一套完善的安全模型應該包括以下一些必要的組件：防火墻、入侵檢測系統(tǒng)、路由系統(tǒng)等。

防火墻在安全系統(tǒng)中扮演一個保安的角色，可以很大程度上保證來自網(wǎng)絡的非法訪問以及數(shù)據(jù)流量攻擊，如拒絕服務攻擊等;入侵檢測系統(tǒng)則是扮演一個監(jiān)視器的角色，監(jiān)視你的服務器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。

(二) 選用英文的操作系統(tǒng)

要知道，windows畢竟美國微軟的東西，而微軟的東西一向都是以Bug 和 Patch多而著稱，中文版的Bug遠遠要比英文版多，而中文版的補丁向來是比英文版出的晚，也就是說，如果你的服務器上裝的是中文版的windows系統(tǒng)，微軟漏洞公布之后你還需要等上一段時間才能打好補丁，也許黑客、病毒就利用這段時間入侵了你的系統(tǒng)。

如何防止黑客入侵

首先，世界上沒有絕對安全的'系統(tǒng)。我們只可以盡量避免被入侵，最大的程度上減少傷亡。

　 　(一) 采用NTFS文件系統(tǒng)格式

大家都知道，我們通常采用的文件系統(tǒng)是FAT或者FAT32，NTFS是微軟Windows NT內核的系列操作系統(tǒng)支持的、一個特別為網(wǎng)絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS文件系統(tǒng)里你可以為任何一個磁盤分區(qū)單獨設置訪問權限。把你自己的敏感信息和服務信息分別放在不同的磁盤分區(qū)。這樣即使黑客通過某些方法獲得你的服務文件所在磁盤分區(qū)的訪問權限，還需要想方設法突破系統(tǒng)的安全設置才能進一步訪問到保存在其他磁盤上的敏感信息。

(二)做好系統(tǒng)備份

常言道，“有備無患”，雖然誰都不希望系統(tǒng)突然遭到破壞，但是不怕一萬，就怕萬一，作好服務器系統(tǒng)備份，萬一遭破壞的時候也可以及時恢復。

(三)關閉不必要的服務，只開該開的端口

關閉那些不必要開的服務，做好本地管理和組管理。Windows系統(tǒng)有很多默認的服務其實沒必要開的，甚至可以說是危險的，比如：默認的共享遠程注冊表訪問(Remote Registry Service)，系統(tǒng)很多敏感的信息都是寫在注冊表里的，如pcanywhere的加密密碼等。

關閉那些不必要的端口。一些看似不必要的端口，確可以向黑客透露許多操作系統(tǒng)的敏感信息，如windows 2000 server默認開啟的IIS服務就告訴對方你的操作系統(tǒng)是windows 2000。69端口告訴黑客你的操作系統(tǒng)極有可能是linux或者unix系統(tǒng)，因為69是這些操作系統(tǒng)下默認的tftp服務使用的端口。對端口的進一步訪問，還可以返回該服務器上軟件及其版本的一些信息，這些對黑客的入侵都提供了很大的幫助。此外，開啟的端口更有可能成為黑客進入服務器的門戶?？傊?，做好TCP/IP端口過濾不但有助于防止黑客入侵，而且對防止病毒也有一定的幫助。

　 　（ 四)軟件防火墻、殺毒軟件

雖然我們已經(jīng)有了一套硬件的防御系統(tǒng)，但是“保鏢”多幾個也不是壞事。

(五)開啟你的事件日志

雖然開啟日志服務雖然說對阻止黑客的入侵并沒有直接的作用，但是通過他記錄黑客的行蹤，我們可以分析入侵者在我們的系統(tǒng)上到底做過什么手腳，給我們的系統(tǒng)到底造成了哪些破壞及隱患，黑客到底在我們的系統(tǒng)上留了什么樣的后門，我們的服務器到底還存在哪些安全漏洞等等。如果你是高手的話，你還可以設置密罐，等待黑客來入侵，在他入侵的時候把他逮個正著。

如何讓win更安全

“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計算機欣賞音樂、上網(wǎng)沖浪、運行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓Windows Server 2003更加安全，成為廣大用戶十分關注的問題。 下面讓我們來討論如何讓Windows Server 2003更加安全。

理解你的角色

理解服務器角色絕對是安全進程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務器、基礎設施服務器、文件服務器、打印服務器、IIS服務器、IAS服務器、終端服務器等等。一個服務器甚至可以被配置為上述角色的組合。

現(xiàn)在的問題是每種服務器角色都有相應的安全需求。例如，如果你的服務器將作為IIS服務器，那么你將需要開啟IIS服務。然而，如果服務器將作為獨立的文件或者打印服務器，啟用IIS服務則會帶來巨大的安全隱患。

我之所以在這里談到這個的原因是我不能給你一套在每種情況下都適用的步驟。服務器的安全應該隨著服務器角色和服務器環(huán)境的改變而改變。

因為有很多強化服務器的方法，所以我將以配置一個簡單但安全的文件服務器為例來論述配置服務器安全的可行性步驟。我將努力指出當服務器角色改變時你將要做的。請諒解這并不是一個涵蓋每種角色服務器的完全指南。

物理安全

為了實現(xiàn)真正意義上的安全，你的服務器必須被放置在一個安全的位置。通常地，這意味著將將服務器放置在上了鎖的門后。物理安全是相當重要的，因為現(xiàn)有的許多管理和災難恢復工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務器的時候攻擊服務器。唯一能夠避免這種攻擊的方法是將服務器放置在安全的地點。對于任何角色的Windows Server 2003，這都是必要的。

創(chuàng)建基線

除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時候，應該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

實現(xiàn)這一目的最好的方法是創(chuàng)建一個安全基線(security baseline)。安全基線是文檔和公認安全設置的清單。在大多數(shù)情況下，你的基線會隨著服務器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個不同的基線，以便將它們應用到不同類型的服務器上。例如，你可以為文件服務器制定一個基線，為域控制器制定另一個基線，并為IAS服務器制定一個和前兩者都不同的基線。

windows 2003包含一個叫"安全配置與分析"的工具。這個工具讓你可以將服務器的當前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內建的安全模板。

安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個體模板最簡單的方法是使用管理控制臺(MMC)。

要打開這個控制 臺，在RUN提示下輸入MMC命令，在控制臺加載后，選擇添加/刪除管理單元屬性命令，Windows就會顯示添加/刪除管理單元列表。點擊"添加"按鈕，你將會看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點擊添加，關閉和確認按鈕。

在安全模板管理單元加載后，你就可以察看每一個安全模板了。在遍歷控制臺樹的時候，你會發(fā)現(xiàn)每個模板都模仿組策略的結構。模板名反映出每個模板的用途。例如，HISECDC模板就是一個高安全性的域控制器模板。

如果你正在安全配置一個文件服務器，我建議你從SECUREWS模板開始。在審查所有的模板設置時，你會發(fā)現(xiàn)盡管模板能被用來讓服務器更加安全，但是不一定能滿足你的需求。某些安全設置可能過于嚴格或過于松散。我建議你修改現(xiàn)有的設置，或是創(chuàng)建一個全新的策略。通過在控制臺中右擊C:WINDOWSSecurityTemplates文件夾并在目標菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個新的模板。

在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個安全配置與分析的管理單元。在這個管理單元加載后，右擊"安全配置與分析"容器，接著在結果菜單中選擇"打開數(shù)據(jù)庫"命令，點擊"打開"按鈕，你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。

接下來，右擊"安全配置與分析"容器并在快捷菜單中選擇"導入模板"命令。你將會看到所有可用模板的列表。選擇包含你安全策略設置的模板并點擊打開。在模板被導入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計算機"命令。Windows將會提示你寫入錯誤日志的.位置，鍵入文件路徑并點擊"確定"。

在這樣的情況下，Windows將比較服務器現(xiàn)有安全設置和模板文件里的設置。你可以通過"安全配置與分析控制臺"看到比較結果。每一條組策略設置顯示現(xiàn)有的設置和模板設置。

在你可以檢查差異列表的時候，就是執(zhí)行基于模板安全策略的時候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計算機"命令。這一工具將會立即修改你計算機的安全策略，從而匹配模板策略。

組策略實際上是層次化的。組策略可以被應用到本地計算機級別、站點級別、域級別和OU級別。當你實現(xiàn)基于模板的安全之時，你正在在修改計算機級別的組策略。其他的組策略不會受到直接影響，盡管最終策略可能會反映變化，由于計算機策略設置被更高級別的策略所繼承。

修改內建的用戶賬號

多年以來，微軟一直在強調最好重命名Administrator賬號并禁用Guest賬號，從而實現(xiàn)更高的安全。在Windows Server 2003中，Guest 賬號是缺省禁用的，但是重命名Administrator賬號仍然是必要的，因為黑客往往會從Administrator賬號入手開始進攻。

有很多工具通過檢查賬號的SID來尋找賬號的真實名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測Administrator賬號真實名稱的辦法。即便如此，我還是鼓勵每個人重命名Administrator 賬號并修改賬號的描述信息，有兩個原因:

首先，誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號為一個獨特的名稱讓你能更方便的監(jiān)控黑客對此賬號的進攻。

另一個技巧適用于成員服務器。成員服務器有他們自己的內建本地管理員賬號，完全獨立于域中的管理 員賬號。你可以配置每個成員服務器使用不同的用戶名和密碼。如果某人猜測出你的本地用戶名和密碼，你肯定不希望他用相同的賬號侵犯其他的服務器。當然，如果你擁有良好的物理安全，誰也不能使用本地賬號取得你服務器的權限。

服務賬號

Windows Server 2003在某種程度上最小化服務賬號的需求。即便如此，一些第三方的應用程序仍然堅持傳統(tǒng)的服務賬號。如果可能的話，盡量使用本地賬號而不是域賬號作為服務賬號，因為如果某人物理上獲得了服務器的訪問權限，他可能會轉儲服務器的LSA機密，并泄露密碼。如果你使用域密碼，森林中的任何計算機都可以通過此密碼獲得域訪問權限。而如果使用本地賬戶，密碼只能在本地計算機上使用，不會給域帶來任何威脅。

系統(tǒng)服務

一個基本原則告訴我們，在系統(tǒng)上運行的代碼越多，包含漏洞的可能性就越大。你需要關注的一個重要安全策略是減少運行在你服務器上的代碼。這么做能在減少安全隱患的同時增強服務器的性能。

在Windows 2000中，缺省運行的服務有很多，但是有很大一部分服務在大多數(shù)環(huán)境中并派不上用場。事實上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務器。而在Windows Server 2003中，微軟關閉了大多數(shù)不是絕對必要的服務。即使如此，還是有一些有爭議的服務缺省運行。

其中一個服務是分布式文件系統(tǒng)(DFS)服務。DFS服務起初被設計簡化用戶的工作。DFS允許管理員創(chuàng)建一個邏輯的區(qū)域，包含多個服務器或分區(qū)的資源。對于用戶，所有這些分布式的資源存在于一個單一的文件夾中。

我個人很喜歡DFS，尤其因為它的容錯和可伸縮特性。然而，如果你不準備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強的安全性。在我看來，DFS的利大于弊。

另一個這樣的服務是文件復制服務(FRS)。FRS被用來在服務器之間復制數(shù)據(jù)。它在域控制器上是強制的服務，因為它能夠保持SYSVOL文件夾的同步。對于成員服務器來說，這個服務不是必須的，除非運行DFS。

如果你的文件服務器既不是域控制器，也不使用DFS，我建議你禁用FRS服務。這么做會減少黑客在多個服務器間復制惡意文件的可能性。

另一個需要注意的服務是Print Spooler服務(PSS)。該服務管理所有的本地和網(wǎng)絡打印請求，并在這些請求下控制所有的打印工作。所有的打印操作都離不開這個服務，它也是缺省被啟用的。

不是每個服務器都需要打印功能。除非服務器的角色是打印服務器，你應該禁用這個服務。畢竟，專用文件服務器要打印服務有什么用呢?通常地，沒有人會在服務器控制臺工作，因此應該沒有必要開啟本地或網(wǎng)絡打印。

我相信通常在災難恢復操作過程中，打印錯誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務器上簡單的關閉這一服務。

信不信由你，PSS是最危險的Windows組件之一。有不計其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動機是因為它是統(tǒng)級的服務，因此擁有很高的特權。因此任何侵入它的木馬能夠獲得這些高級別的特權。為了防止此類攻擊，還是關掉這個服務吧。

Windows Server 2003作為Microsoft 最新推出的服務器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實得到了增強，尤其在安全方面，總體感覺做的還算不錯.但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server，你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學習了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.

什么是windowsserver2012提供的最基本的安全措

windowsserver2012提供的最基本的安全措是身份驗證。根據(jù)查詢相關公開信息顯示：WindowsServer2012提供的iSCSI目標服務器允許從存儲在中央位置的一個操作系統(tǒng)映像通過網(wǎng)絡啟動多臺計算機。