如何保障windows服務器的安全

九個步驟確保Windows Server企業(yè)安全

為吳橋等地區(qū)用戶提供了全套網頁設計制作服務，及吳橋網站建設行業(yè)解決方案。主營業(yè)務為成都做網站、成都網站設計、吳橋網站設計，以傳統方式定制建設網站，并提供域名空間備案等一條龍服務，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

雖然無法徹底防止企業(yè)遭受攻擊，但這里的九個步驟可以大大降低Windows Server企業(yè)安全風險。部署這些技巧后，進一步觀察你的管理環(huán)境，根據你的安全態(tài)宴形勢適當引入第三方工具衡遲或技巧。

PKI改進有助于Windows服務器的安全

公鑰基礎設施促進安全行業(yè)各個部門致力于維護和改善與PKI技術相關的方方面面。從根證書頒發(fā)機構到X.509認證，都證明了其在保護服務器基礎設施及數據方面的成功。每發(fā)布一個新的Windows Server版本，人們都希望看到服務帆攔銀器公鑰基礎設施的變化和改進。

Windows Server 2012中的安全變化

安全一直是IT部門關注的重點，微軟也通過不斷聆聽客戶的聲音將一些好的創(chuàng)新應用到Windows Server的最新版本中，而且使它們部署起來更加方便。所有這些現象背后是微軟對一些關鍵技術的改進，如NTFS的改進以及對舊版本BIOS的替換以提供新的安全功能。

增強你的信息安全知識

作為一名技術人員，每天都圍繞著信息安全是件痛苦的事情，更不用說突然出現的各種更新和挑戰(zhàn)。信息安全項目是Windows Server安裝的重要安全組成部分，所以管理員應該學習和調整自身的信息安全技能。

組建一個功能性的企業(yè)IT安全委員會

成立一個安全委員會，包括IT以外的人，由此幫助每個人對安全相同的認識。從人力資源、行政管理或法律等多方面或得提高安全性的信息。

Windows服務器如何做好安全防護？

系統安全：

1.設置較為復雜的主機密碼，建議8位數以上，大小寫混合帶數字、特殊字符，不要使用123456、password等弱口令。

2.開啟系統自動更新功能，定期給系統打補丁。

3.windows主機安裝安全狗、360主機衛(wèi)士等防入侵的產品。

4.做好網站的注入漏洞檢查，做好網站目錄訪問權限控制。(建議將網站設置為只讀狀態(tài)，對需要上傳附件等目錄單獨開通寫權限功能，對上傳文件目錄設置為禁止腳本執(zhí)行權限)

5.如果用于網站服務，建議安裝我們預裝“網站管理助手”的操作系統模板，該系統我們做過安全加固，比純凈版要更安全。新建網站強烈建議用網站管理助手創(chuàng)建，本系統創(chuàng)建的網站會相互隔離，避免一個網站被入侵就導致其他網站也受影響。

6.關閉不侍信需要的服務，如server,worksation等服務一般用不上，建議禁用。

7.啟用TCP/IP篩選功能,關閉危險端口,防止遠程掃描、蠕蟲和溢出攻擊。 比如mssql數據庫的1433端口，一般用不上遠程連接的話，建議封掉，只允許本機坦神連接。

8.如果自己安裝數據庫，建議修改為普通用戶運行，默認是system權限運行的，非常不安全。查看幫助

9.如果是自主安裝純凈版的系統，建議修改掉3389、22等默認端讓談虧口，用其他非標準端口可以減少被黑的幾率。

Windows 的服務器安全加固方案

因為IIS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務器軟件之一。但是，IIS的安全性卻一直令人擔憂。如何利用IIS建立一個安全的Web服務器，是很多人關心的話題。要創(chuàng)建一個安全可靠的Web服務器，必須要實現Windows 2003和IIS的雙重安全，因為IIS的用戶同時也是Windows 2003的用戶，并且IIS目錄的權限依賴Windows的NTFS文件系統的權限控制，所以保護IIS安全的`第一步就是確保Windows 2000操作系統的安全，所以要對服務器進行安全加固，以免遭到黑客的攻擊，造成嚴重的后果。

我們通過以下幾個方面對您的系統進行安全加固：

1. 系統的安全加固：我們通過配置目錄權限，系統安全策略，協議棧加強，系統服務和訪問控制加固您的系統，整體提高服務器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點的安全性，合理分配用戶權限，配置相應的安全策略，有效的防止iis用戶溢出提權。

3. 系統應用程序加固，提供應用程序的安全性，例如sql的安全配置以及服務器應用軟件的安全加固。

系統的安全加固：

1.目錄權限的配置：

1.1 除系統所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權，之后再對其下的子目錄作單獨的目錄權限，如果WEB站點目錄，你要為其目錄權限分配一個與之對應的匿名訪問帳號并賦予它有修改權限，如果想使網站更加堅固，可以分配只讀權限并對特殊的目錄作可寫權限。

1.2 系統所在分區(qū)下的根目錄都要設置為不繼承父權限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權。

1.3 因為服務器只有管理員有本地登錄權限，所在要配置Documents and Settings這個目錄權限只保留Administrators和SYSTEM有完全控制權，其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。因為如果你安裝有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調取這個配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權。

1.5 配置Windows目錄，其實這一塊主要是根據自身的情況如果使用默認的安全設置也是可行的，不過還是應該進入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只帆旅謹允許Administrator用戶讀寫。

2.組策略配置:

在用戶權利指派下，從通過網絡訪問此計算機中刪除Power Users和鎮(zhèn)鋒Backup Operators;

啟用不允許匿名訪問SAM帳號和共享;

啟用不允許為網絡驗證存儲憑據或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時不存儲LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設置:

開始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對象訪問失敗

審核過程跟蹤 無審核

審核目錄服務訪問失敗

審核特權使用失敗

審核系統事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理態(tài)基 成功 失敗

注：在設置審核登陸事件時選擇記失敗，這樣在事件查看器里的安全日志就會記錄登陸失敗的信息。