windows伺服器如何防護

『壹』 如何設置Windows伺服器安全設置

如何設置Windows伺服器安全設置

一、取消文件夾隱藏共享在默認狀態下，Windows 2000/XP會開啟所有分區的隱藏共享，從「控制面板/管理工具/計算機管理」窗口下選擇「系統工具/共享文件夾/共享」，就可以看到硬碟上的每個分區名後面都加了一個「$」。但是只要鍵入「計算機名或者IPC$」，系統就會詢問用戶名和密碼，遺憾的是，大多數個人用戶系統Administrator的密碼都為空，入侵者可以輕易看到C盤的內容，這就給網路安全帶來了極大的隱患。

怎麼來消除默認共享呢?方法很簡單，打開注冊表編輯器，進入「HKEY_LOCAL_」，新建一個名為「AutoShareWKs」的雙位元組值，並將其值設為「0」，然後重新啟動電腦，這樣共享就取消了。關閉「文件和列印共享」文件和列印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要「文件和列印共享」的情況下，我們可以將它關閉。用滑鼠右擊「網路鄰居」，選擇「屬性」，然後單擊「文件和列印共享」按鈕，將彈出的「文件和列印共享」對話框中的兩個復選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器，進入「HKEY_LOCAL_」，將DWORD值「RestrictAnonymous」的鍵值改為「1」即可。三、刪掉不必要的.協議對於伺服器來說，只安裝TCP/IP協議就夠了。滑鼠右擊「網路鄰居」，選擇「屬性」，再滑鼠右擊「本地連接」，選擇「屬性」，卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源，對於不需要提供文件和列印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS關閉，避免針對NETBIOS的攻擊。選擇「TCP/IP協議/屬性/高級」，進入「高級TCP/IP設置」對話框，選擇「WINS」標簽，勾選「禁用TCP/IP上的NETBIOS」一項，關閉NETBIOS。四、禁用不必要的服務:Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠程修改注冊表)Server(文件共享)Task Scheler(計劃任務)TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

Administrator帳戶擁有最高的系統許可權，一旦該帳戶被人利用，後果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設置一個強大復雜的密碼(個人建議至少12位)，然後我們重命名Administrator帳戶，再創建一個沒有管理員許可權的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員許可權，也就在一定程度上減少了危險性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進一步獲得管理員密碼或者許可權的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊「用戶和密碼」，單擊「高級」選項卡，再單擊「高級」按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在「常規」頁中選中「賬戶已停用」。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。七、防範木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟體來檢測，起到提前預防的作用。

● 在「開始」→「程序」→「啟動」或「開始」→「程序」→「Startup」選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表裡 HKEY_LOCAL_下的所有以「Run」為前綴的可疑程序全部刪除即可。八、如果開放了Web服務，還需要對IIS服務進行安全配置：

(1) 更改Web服務主目錄。右鍵單擊「默認Web站點→屬性→主目錄→本地路徑」，將「本地路徑」指向其他目錄。

(2) 刪除原默認安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應的審核。系統提供了九類可以審核的事件，對於每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對象訪問：失敗事件過程追蹤：根據需要選用目錄服務訪問：失敗事件特權使用：失敗事件系統事件：成功和失敗賬戶登錄事件：成功和失敗賬戶管理：成功和失敗十、安裝必要的安全軟體

我們還應在電腦中安裝並使用必要的防黑軟體，殺毒軟體和防火牆都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。當然我們也不應安裝一些沒必要的軟體,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的後門.最後建議大家給自己的系統打上補丁，微軟那些沒完沒了的補丁還是很有用的。

『貳』 伺服器如何防止windows系統訪問

伺服器通過專業軟體防止windows系統訪問。
只能通過專業的網路高防服務進行禁止訪問。
定期安裝最新的操作系統和軟體更新/補丁，減少系統漏洞，提高伺服器的安全性。

『叄』 Windows 伺服器安全設置的方法教程

阿江的Windows 2000伺服器安全設置教程

前言

其實，在伺服器的安全設置方面，我雖然有一些經驗，但是還談不上有研究，所以我寫這篇文章的時候心裡很不踏實，總害怕說錯了會誤了別人的事。

本文更側重於防止ASP漏洞攻擊，所以伺服器防黑等方面的講解可能略嫌少了點。

基本的伺服器安全設置

安裝補丁

安裝好操作系統之後，最好能在託管之前就完成補丁的安裝，配置好網路後，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然後點擊開始→Windows Update，安裝所有的關鍵更新。

安裝殺毒軟體

雖然殺毒軟體有時候不能解決問題，但是殺毒軟體避免了很多問題。我一直在用諾頓2004，據說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機好，不過我沒用過。

不要指望殺毒軟體殺掉所有的木馬，因為ASP木馬的特徵是可以通過一定手段來避開殺毒軟體的查殺。

設置埠保護和防火牆、刪除默認共享

都是伺服器防黑的措施，即使你的伺服器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區，大概知道屏蔽埠用本地安全策略，不過這方面的東西網上攻略很多，大家可以擻出來看看，晚些時候我或者會復制一些到我的網站上。

許可權設置

阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優秀的許可權設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

許可權設置的原理

WINDOWS用戶，在WINNT系統中大多數時候把許可權按用戶（組）來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。

NTFS許可權設置，請記住分區的時候把所有的硬碟都分為NTFS分區，然後我們可以確定每個分區對每個用戶開放的許可權。【文件（夾）上右鍵→屬性→安全】在這里管理NTFS文件（夾）許可權。

IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫「IIS匿名用戶），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的許可權，就是這個「IIS匿名用戶所具有的許可權。

許可權設置的思路

要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置許可權的身份。

在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。

設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問（要去掉繼承父許可權，並且要加上超管組和SYSTEM組）。

這樣設置了之後，這個站點里的ASP程序就只有當前這個文件夾的許可權了，從探針上看，所有的硬碟都是紅叉叉。

我的設置方法

我是先創建一個用戶組，以後所有的站點的用戶都建在這個組里，然後設置這個組在各個分區沒病許可權。然後再設置各個IIS用戶在各在的文件夾里的許可權。

因為比較多，所以我很不想寫，其實知道了上面的原理，大多數人都應該懂了，除非不知道怎麼添加系統用戶和組，不知道怎麼設置文件夾許可權，不知道IIS站點屬性在那裡。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，如果我有空，我會寫我的具體設置方法，很傲能還會配上圖片。

改名或卸載不安全組件

不安全組件不驚人

我的在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的伺服器支持很多不安全組件。

其實，只要做好了上面的許可權設置，那麼FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的許可權。那個歡樂時光更不用怕，有殺毒軟體在還怕什麼時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬碟里的EXE等程序，比如它可以運行提升程序來提升SERV-U許可權甚至用SERVU來運行更高許可權的系統程序。

卸載最不安全的組件

最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下伺服器，你會發現這三個都提示「×安全了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，並且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】，然後【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項：「{13709620-C279-11CE-A49E-444553540000}和「Shell.application。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_ajiang

那麼，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然後把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名後的注冊表項之後，別忘記了刪除原有的`那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改後的代碼（兩個文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

防止列出用戶組和系統進程

我在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統用戶和系統進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是：

【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

防止Serv-U許可權提升

其實，注銷了Shell組件之後，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設置一下為好。

用Ultraedit打開ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字元就可以了，ServUAdmin.exe也一樣處理。

另外注意設置Serv-U所在的文件夾的許可權，不要讓IIS匿名用戶有讀取的許可權，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防範

一般情況下，黑客總是瞄準論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設置了許可權，木馬也可以控制當前站點的所有文件了。另外，有了木馬就然後用木馬上傳提升工具來獲得更高的許可權，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網論壇並且資料庫忘記了改名，人家就可以直接下載你的資料庫了，然後距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程序，做好必要的設置，防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個伺服器，因為如果你的伺服器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西，做了那些許可權設置和防提升之後，黑客就算是進入了一個站點，也無法破壞這個網站以外的東西。

『肆』 如何保障windows伺服器的安全

九個步驟確保Windows Server企業安全
雖然無法徹底防止企業遭受攻擊，但這里的九個步驟可以大大降低Windows Server企業安全風險。部署這些技巧後，進一步觀察你的管理環境，根據你的安全形勢適當引入第三方工具或技巧。
PKI改進有助於Windows伺服器的安全
公鑰基礎設施促進安全行業各個部門致力於維護和改善與PKI技術相關的方方面面。從根證書頒發機構到X.509認證，都證明了其在保護伺服器基礎設施及數據方面的成功。每發布一個新的Windows Server版本，人們都希望看到伺服器公鑰基礎設施的變化和改進。
Windows Server 2012中的安全變化
安全一直是IT部門關注的重點，微軟也通過不斷聆聽客戶的聲音將一些好的創新應用到Windows Server的最新版本中，而且使它們部署起來更加方便。所有這些現象背後是微軟對一些關鍵技術的改進，如NTFS的改進以及對舊版本BIOS的替換以提供新的安全功能。
增強你的信息安全知識
作為一名技術人員，每天都圍繞著信息安全是件痛苦的事情，更不用說突然出現的各種更新和挑戰。信息安全項目是Windows Server安裝的重要安全組成部分，所以管理員應該學習和調整自身的信息安全技能。
組建一個功能性的企業IT安全委員會
成立一個安全委員會，包括IT以外的人，由此幫助每個人對安全相同的認識。從人力資源、行政管理或法律等多方面或得提高安全性的信息。

『伍』 Windows伺服器安全的幾個重要注意事項

windows 伺服器安全維護八大要點

1對網站的代碼進行檢查，檢查是否被黑客放置了網頁木馬和ASP木馬、網站代碼中是否有後門程序。

2、對網站代碼安全性進行檢查，檢查是否存在SQL注入漏洞、上傳文件漏洞等常見的危害站點安全的漏洞。

3、對伺服器操作系統的日誌進行分析，檢查系統是否被入侵，查看是否被黑客安裝了木馬及對系統做了哪些改動。

4、對伺服器操作系統打上最新的補丁，合理的配置和安裝常用的應用軟體(比如防火牆、殺毒軟體、資料庫等)，並將伺服器的軟體更新為安全、穩定、兼容性好的版本。

5、對伺服器操作系統進行合理配置和優化，注銷掉不必要的系統組件，停掉不必要的危險的服務、禁用危險的埠，通過運行最小的服務以達到最大的安全性。

6、對常用應用程序的服務埠和提示信息，進行隱藏和偽造，防止黑客利用掃描工具來獲取伺服器信息。

7、合理的配置許可權，每個站點均配置獨立的internet來賓帳號，限制internet 來賓帳號的訪問許可權，只允許其可以讀取和執行運行網站所需要的程序，只對甲方站點的網站目錄有讀取和寫入許可權，禁止訪問其它目錄，並限制其執行危險的命令，這樣就算黑客有辦法上傳了木馬程序到甲方網站目錄，也無法執行，更不會對系統造成危害。

8、降低SQL資料庫、SERV-U FTP等應用軟體服務的運行許可權，刪除MSSQL資料庫不必要的、危險的存儲過程，防止黑客利用漏洞來進一步入侵和提升許可權，並通過有效的設置，防止未知的溢出攻擊。

『陸』 如何保證windows伺服器安全

1. 不要使用簡單密碼。
2. 開啟防毒軟體和防火牆。
3. 注意伺服器周邊安全，不讓黑客有旁註的機會。

其實伺服器安全是一門課題，不是簡單就能搞好的。

『柒』 windows 伺服器 怎麼做安全防護

默認情況下，Windows無法正常訪問Samba伺服器上的共享文件夾。原因在於從Vista開始，微軟默認只採用NTLMv2協議的認證回應消息了，而目前的Samba還只支持LM或者NTLM。解決辦法：修改本地安全策略。
1、通過Samba服務可以實現UNIX/linux主機與Windows主機之間的資源互訪，由於實驗需要，輕車熟路的在linux下配置了samba服務，操作系統是red
hat
linux
9.0，但是在windows7下訪問的時候問題就出現了，能夠連接到伺服器，但是輸入密碼的時候卻給出如圖一的提示：
2、在linux下的smb.conf配置文件裡面的配置完全沒有錯誤，之前安裝Windows
XP的時候訪問也完全正常，仔細查看配置還是正常，如果變動配置文件裡面的工作組或者允許IP地址Windows7會出現連接不上的情況，不會出現提示輸入用戶名和密碼。
3、這種情況看來是windows
7的問題，解決的辦法是：單擊」開始「-「運行」，輸入secpol.msc，打開「本地安全策略」，在本地安全策略窗口中依次打開「本地策略」-->「安全選項」，然後再右側的列表中找到「網路安全：LAN
管理器身份驗證級別」，把這個選項的值改為「發送
LM
和
NTLM
–
如果已協商，則使用
NTLMv2
會話安全」，最後確定。如圖二。
到這里再連接samba伺服器，輸入密碼就可以正常訪問samba伺服器了。

『捌』 如何保證windows伺服器的安全

伺服器安全有幾個必須做的，具體有：
遠程賬號和密碼盡量設置復雜。
及時安裝系統補丁。
安裝和設置防火牆。
關閉不需要的服務和埠，如139，445埠。
定期對伺服器進行備份。
監測系統日誌。
希望可以幫到你。

『玖』 如何保障windows伺服器的安全

1)、禁用Guest賬號在計算機管理的用戶裡面把Guest賬號禁用。為了保險起見，最好給Guest加一個復雜的密碼。

2)、限制不必要的用戶 去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應許可權，並且經常檢查系統的用戶，刪除已經不再使用的用戶。

3)、創建兩個管理員賬號創建一個一般許可權用戶用來收信以及處理一些日常事物，另一個擁有Administrator許可權的用戶只在需要的時候使用。

4)、把系統Administrator賬號改名Windows XP的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。

『拾』 windows伺服器防護軟體有哪些

伺服器安全分為內部和外部安全。
外部的話是來防入侵、防cc、ddos攻擊，內部的話是防木馬病毒的執行。自安全策略、補丁、弱口令安全檢測、防病毒、資源監控、文件目錄保護、定期殺毒這些都是服務安全所包含的范疇。
深信達MCK主機加固系統，構建獨立的身份鑒別體系，在當殺毒軟體、防火牆都不起作用時，仍然能對數據進行保護，防止木馬病毒入侵。
對於伺服器安全，個人建議可以安裝加固軟體兩者防護方向不同。結合使用可以讓保護更全面。