2003伺服器ip安全策略
Ⅰ windows2003怎樣禁止ping
以在Windows Server 2003中設置IP策略拒絕用戶Ping伺服器為例,具體操作步驟如下:
1、添加IP篩選器
第1步,依次單擊「開始/管理工具/本地安全策略」,打開「本地安全設置」窗口。右鍵單擊左窗格的「IP安全策略,在本地計算機」選項,執行「管理IP篩選器表和篩選器操作」快捷命令。在「管理IP篩選器列表」選項中單擊「添加」按鈕,命名這個篩選器名稱為「禁止PING」,描述語言可以為「禁止任何其它計算機PING我的主機」,然後單擊「添加」按鈕,
第2步,依次單擊「下一步」→「下一步」按鈕,選擇「IP通信飢譽源地址」為「我的IP地址」,單擊「下一步」按鈕;選擇「IP通信目標地址」為「任何IP地址」,單擊「下一步」按鈕;選擇「IP協議類型」為ICMP,單擊「下一步」按鈕。依次單擊「完成」→「確定」按鈕結束添加,
第3步,切換到「管理篩選器操作」選衫御項卡中,依次單擊「添加」→「下一步」按鈕,命名篩選器操作名稱為「阻止所有連接」,描述語言可以為「阻止所有網路連接」,單擊「下一步」按鈕;點選「阻止」選項作為此篩選器的操作行為,最後依次單擊「下一步」→「完成」→「關閉」按鈕完成所有添加操作。
2、創建IP安全策略。
右鍵單擊控制台樹的「IP安全策略,在本地計算機」選項,執或肢岩行「創建IP安全策略」快捷命令,然後單擊「下一步」按鈕。命名這個IP安全策略為「禁止PING主機」,描述語言為「拒絕任何其它計算機的PING要求」並單擊「下一步」按鈕。然後在勾選「激活默認響應規則」的前提下單擊「下一步」按鈕。在「默認響應規則身份驗證方法」對話框中點選「使用此字元串保護密鑰交換」選項,並在下面的文字框中鍵入一段字元串如「NO PING」,單擊「下一步」按鈕。最後在勾選「編輯屬性」的前提下單擊「完成」按鈕結束創建。
3、配置IP安全策略。
在打開的「禁止PING主機 屬性」對話框中的「規則」選項卡中依次單擊「添加/下一步」按鈕,默認點選「此規則不指定隧道」並單擊「下一步」按鈕;點選「所有網路連接」以保證所有的計算機都PING不通該主機,單擊「下一步」按鈕。在「IP篩選器列表」框中點選「禁止PING」,單擊「下一步」按鈕;在「篩選器操作」列表框中點選「阻止所有連接」,依次單擊「下一步」按鈕;取消「編輯屬性」選項並單擊「完成」按鈕結束配置。
4、指派IP安全策略。
安全策略創建完畢後並不能馬上生效,還需通過「指派」使其發揮作用。右鍵單擊「本地安全設置」窗口右窗格的「禁止PING主機」策略,執行「指派」命令即可啟用該策略
經過這樣的一番設置,這台伺服器已經具備了拒絕其它任何計算機Ping自己IP地址的能力了,不過在本地Ping自身仍然是通的。
linux下禁止ping命令的使用
以root進入Linux系統,然後編輯文件icmp_echo_ignore_all
vi /proc/sys/net/ipv4/icmp_echo_ignore_all
將其值改為1後為禁止PING
將其值改為0後為解除禁止PING
直接修改會提示錯誤:
WARNING: The file has been changed since reading it!!!
Do you really want to write to it (y/n)?y
"icmp_echo_ignore_all" E667: Fsync failed
Hit ENTER or type command to continue
這是因為 proc/sys/net/ipv4/icmp_echo_ignore_all
這個不是真實的文件
如果想修改他的數值可以echo 0 或 1到這個文件
(即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all )。要是想永久更改可以加一行
net.ipv4.icmp_echo_ignore_all=1
到配置文件/etc/sysctl.conf裡面
Ⅱ 請問在Win2003 sever sp2下如何配置安全策略
在ip篩選允許80、3389埠;
下面是轉載:
win2003
ip安全策略
限制某個IP或IP段訪問伺服器指定埠
第一種方法:通過iis中的ip地址和域名限制
在需要設置的網站上
》
右鍵屬性
》
目錄安全性
ip地址和域名限制
授權訪問與拒絕訪問說明
如果是授權訪問,下面填寫的就是拒絕訪問的ip
如果是拒絕訪問
下面填寫的就是可以訪問的ip
第二種方法:通過ip安全策中腔略
第一步:打開開始,程序,管理工具,本地安全策略
第二步:點「IP安全策略,在
本地計算機」,然後在右欄空白處點右鍵,在彈出的菜單中點「創建IP安全策略(C)」
第三步:在「IP安全策略向導」中下一步
第四步:輸入名稱,點下一步
第五賣轎衫步:選中「激活默認響應規則」,點擊下一步
第六步,默認選項,直接點下一步
第七步:在指出的警告中,選擇「是(Y)」
第八步:選中「編輯屬性」,點完成
第九步:取消「<動態>
默認響應」的安全規則,並點擊「添加(D)」
第十步:帆兆在安全規則向導中點下一步
第十一步:在隧道終結點中直接點下一步
第十二步:在網路類型中選擇「所有網路連接」,並點下一步
第十三步:在IP篩選器列表中,點擊「添加(A)」
第十四步:在彈出的IP篩選器列表中點擊「添加(A)」
第十五步:在歡迎使用IP篩選向導中直接點擊下一步
第十六步:在IP篩選器描述和鏡像屬性中輸入描述並選中鏡像。然後點下一步
第十七步:在IP通信源中的源地址選擇「我的IP地址」,並點下一步
第十八步:在IP通信目標的目標地址中選擇「一個特定的IP地址」,把IP地址填寫為你要限制的IP,如192.168.0.199,然後點下一步
第十九步:在IP協議類型中選擇TCP,並點下一步
第二十步:在IP協議埠選擇從此埠,並填上你要限制的埠,如80,然後點下一步
第二十一步:在完成IP篩選器中不選中編輯屬性,然後點完成
第二十二步:在IP篩選器列表點確定,然後選中「新IP篩選器列表」(剛才創建的),點下一步
第二十三步:在篩選器操作中,點添加
第二十四步:在歡迎頁中點下一步,然後輸入名稱,點下一步
第二十五步:在設置篩選器操作的行為中選擇「阻止(L)」,然後點下一步
第二十六步:點完成,並跳到篩選器操作,選中「新篩選器操作」(剛才新建立的),點下一步
第二十七步:在完成頁面點完成,然後跳出新規則
屬性,點確定,再彈出新IP安全策略
屬性,點確定,然後在「新IP安全策略」上點右鍵,點「指派(A)」,一切結束
Ⅲ 2003的伺服器如何做安全策略去限制某個指定外網的一個內網IP訪問他
WIN2003網路防火牆配置中:
例外---文件和列印共享---編輯---編輯范圍
Ⅳ 關於2003伺服器的安全設置
windows server2003是目前最為成熟的網路伺服器平台,安全性相對於windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要,所以,我們要根據實際情況來對win2003進行全面安全配置。說實話,安全配置是一項比較有難度的網路技術,許可權配置的太嚴格,好多程序又運行不起,許可權配置的太松,又很容易被黑客入侵,做為網路管理員,真的很頭痛,因此,我結合這幾年的網路安全管理經驗,總結出以下一些方法來提高我們伺服器的安全性。
第一招:正確劃分文件系統格式,選擇穩定的操作系統安裝盤
為了提高安全性,伺服器的文件系統格式一定要劃分成NTFS(新技術文件系統)格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過它來配置文件的安全性,磁碟配額、EPS文件加密等。如果你已經分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來把FAT32轉換成NTFS格式。正確安裝windows 2003 server,在網安聯盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企業可升級版,這個一個完全破解了的版本,可以直接網上升級,我們安裝時盡量只安裝我們必須要用的組件,安裝完後打上最新的補丁,到網上升級到最新版本!保證操作系統本身無漏洞。
第二招:正確設置磁碟的安全性,具體如下(虛擬機的安全設置,我們以asp程序為例子)重點:
1、系統盤許可權設置
C:分區部分:
c:\
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創建文件/寫入數據(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數據
讀取屬性
創建文件夾/附加數據
讀取許可權
c:\Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:\Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改許可權
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改許可權
2、網站及虛擬機許可權設置(比如網站在E盤)
說明:我們假設網站全部在E盤wwwsite目錄下,並且為每一個虛擬機創建了一個guest用戶,用戶名為vhost1...vhostn並且創建了一個webuser組,把所有的vhost用戶全部加入這個webuser組裡面方便管理
E:\
Administrators全部(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3、數據備份盤
數據備份盤最好只指定一個特定的用戶對它有完全操作的許可權
比如F盤為數據備份盤,我們只指定一個管理員對它有完全操作的許可權
4、其它地方的許可權設置
請找到c盤的這些文件,把安全性設置只有特定的管理員有完全操作許可權
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述
第三招:禁用不必要的服務,提高安全性和系統效率
Computer Browser 維護網路上計算機的最新列表以及提供這個列表
Task scheler 允許程序在指定時間運行
Routing and Remote Access 在區域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程序和庫
Remote Registry Service 允許遠程注冊表操作
Print Spooler 將文件載入到內存中以便以後列印。要用列印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啟動ISAKMP/OakleyIKE)和IP安全驅動程序
Distributed Link Tracking Client 當文件在網路域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機並運行程序
第四招:修改注冊表,讓系統更強壯
1、隱藏重要文件/目錄可以修改注冊表實現完全隱藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」,滑鼠右擊 「CheckedValue」,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連接_blank">防火牆,在設置服務選項中勾選Web伺服器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7.修改終端服務埠
運行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右邊的PortNumber了嗎?在十進制狀態下改成你想要的埠號吧,比如7126之類的,只要不與其它沖突即可。
2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,記得改的埠號和上面改的一樣就行了。
8、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進而入侵,還有net view,nbtstat這些都是基於空連接的,禁止空連接就好了。打開注冊表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成」1」即可。
9、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
10. 刪除默認共享
有人問過我一開機就共享所有盤,改回來以後,重啟又變成了共享是怎麼回事,這是2K為管理而設置的默認共享,必須通過修改注冊表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接
默認情況下,任何用戶通過通過空連接連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。
2. 賬戶安全
首先禁止一切賬戶,除了你自己,呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什麼許可權都沒有的那種,然後打開記事本,一陣亂敲,復制,粘貼到「密碼」里去,呵呵,來破密碼吧~!破完了才發現是個低級賬戶,看你崩潰不?
創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 創建一個一般許可權帳號用來收信以及處理一些*常事物,另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">這樣,出錯了自動轉到首頁
4. 安全日誌
我遇到過這樣的情況,一台主機被別人入侵了,系統管理員請我去追查兇手,我登錄進去一看:安全日誌是空的,倒,請記住:Win2000的默認安裝是不開任何安全審核的!那麼請你到本地安全策略->審核策略中打開相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義
5. 運行防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序。這樣的話,「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟體+blackice_blank">防火牆
6.sqlserver資料庫伺服器安全和serv-u ftp伺服器安全配置,更改默認埠,和管理密碼
7.設置ip篩選、用blackice禁止木馬常用埠
一般禁用以下埠
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了,可以這樣恢復成它的默認值.
打開 %SystemRoot%\Security文件夾,創建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全資料庫並將其改名,如改為"Secedit.old".
啟動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制台,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.
右擊"安全配置和分析"->"打開資料庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".
如果系統提示"拒絕訪問資料庫",不管他.
你會發現在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全資料庫,在"C:\WINNT\security"子文件夾下重新生成了log文件.安全資料庫重建成功.
Ⅳ 本機的IP安全策略、安全選項
如何啟用本地IPSec安全策略
方法一:利用MMC控制台
第一步:點擊「開始→運行」,在運行對話框中輸入「MMC」,點擊「確定」按鈕後,啟動「控制台」窗口。
第二步:點擊「控制台」菜單中的「文件→添加/刪除管理單元」選項,彈出「添加/刪除管理單元」對話框,點擊「獨立」標簽頁的「添加」按鈕,彈出「添加獨立管理單元」對話框。
第三步:在列表框中選擇「IP安全策略管理」點擊「添加」按鈕,在「選擇計算機」對話框中,選擇「本地計算機」,最後點擊「完成」。這樣就在「MMC控制台」啟用了IPSec安全策略。
方法二:利用本地安全策略
進入「控制面板→管理工具」選項,運行「本地安全設置」選項,在「本地安全設置」窗口中展開「安全設置」選項,就可以找到「IP安全策略,在本地計算機」。
IPSec安全策略的組成
為了增強網路通信安全或對客戶機器的管理,網路管理員可以通過在Windows系統中定義IPSec安全策略來實現。一個IPSec安全策略由IP篩選器和篩選器操作兩部分構成,其中IP篩選器決定哪些報文應當引起IPSec安全策略的關注,篩選器操作是指「允許」還是「拒絕」報文的通過。要新建一個IPSec安全策略,一般需要新建IP篩選器和篩選器操作。
PSec安全策略應用實例
目的:阻止區域網中IP為「192.168.0.2」的機器訪問Windows2003終端伺服器。
很多伺服器都開通了終端服務,除了使用用戶許可權控制訪問外,還可以創建IPSec安全策略進行限制。
第一步:在Windows
2003伺服器的IP安全策略主窗口中,右鍵點擊「IP安全策略,在本地計算機」,選擇「創建IP安全策略」選項,進入「IP安全策略向導」,點擊「下一步」,在「IP安全策略」名稱對話框中輸入該策略的名字如「終端服務過濾」,點擊「下一步」,下面彈出的對話框都選擇默認值,最後點擊「完成」按鈕。
第二步:為該策略創建一個篩選器。右鍵點擊「IP安全策略,在本地計算機」,在菜單中選擇「管理IP篩選器表和篩選器操作」,切換到「管理IP篩選器列表」標簽頁,點擊下方的「添加」,彈出的「IP篩選器列表」對話框,在「名稱」輸入框中輸入「終端服務」,點擊「添加」,進入「IP篩選器向導」窗口,點擊「下一步」,在「源地址」下拉列表框中選擇「一個特定IP地址」,然後輸入該客戶機的IP地址和子網掩碼,如「192.168.0.2」。點擊「下一步」後,在「目標地址」下拉列表框中選擇「我的IP地址」,點擊「下一步」,接著在「選擇協議類型」中選擇「TCP」協議,點擊「下一步」,接著在協議埠中選擇「從任意埠,到此埠」,在輸入框中填入「3389」,點擊「下一步」後完成篩選器的創建。
第三步:新建一個阻止操作。切換到「篩選器操作」標簽頁,點擊「添加」按鈕,進入到「IP安全篩選器操作向導」,點擊「下一步」,給這個操作起一個名字,如「阻止」,點擊「下一步」,接著設置「篩選器操作的行為」,選擇「阻止」單選項,點擊「下一步」,就完成了「IP安全篩選器操作」的添加工作。最後在IP安全策略主窗口中,雙擊第一步建立的「終端服務過濾」安全策略,點擊「添加」按鈕,進入「創建IP安全規則向導」,點擊「下一步」,選擇「此規則不指定隧道」,點擊「下一步」,在網路類型對話框中選擇「區域網」,點擊「下一步」,在接下來對話框中選擇默認值,點擊「下一步」,在IP篩選器列表中選擇「終端服務」選項,點擊「下一步」,接著在篩選器操作列表中選擇「阻止」,最後點擊「完成」。
完成了創建IPSec安全策略後,還要進行指派,右鍵單擊「終端服務過濾」,在彈出的菜單中選擇「指派」,這樣就啟用了該IPSec安全策略。區域網中IP為「192.168.0.2」的機器就不能訪問Windows
2003終端伺服器了。
Windows系統的IPSec安全策略也存在不足,一台機器同時只能有一個策略被指派。
Ⅵ Windows Server 2003的安全策略
更改默認埠號
終端服務默認使用知名埠號3389,很顯然大家都知道這個埠是做什麼的,所以改埠號可以躲過很多的機器掃描。可以從終端服務本機上修改默認端做雀口號,如果有防火牆做NAT,那更簡單了,NAT後的埠號別用3389就是了。
設置復雜密碼
現在的CPU處理能力十分恐怖,所以密碼位數少了就不安全了,大小寫字母和數字組合的12位密碼目前還基本夠用。遠程桌面竟然不支持CA證書驗證登錄,這點不如SSH了。SSH設置成2048位RSA證書登錄,禁止口令登錄,禁止administrator登錄,就相當的安全了。
限制登錄嘗試次數
修改組策略,「計算機配置->windows設置->安全設置->賬戶策略->賬戶鎖定策略」,「賬戶鎖定閾值」設置為10,也就是10次無效登錄後就封鎖對方IP,禁止其在一段時間內繼續嘗試登錄。「賬戶鎖定時間」就是無效登錄後多久才可以繼續嘗試登錄。「復位賬戶鎖定計數器」設置多長時間後復位「賬戶鎖定閾值」,必須小於等於「賬戶鎖定時間」。
禁止administrator用戶遠程桌面登錄
administrator實在是太扎眼了,可以禁止其遠程桌面登錄,另設立一個管理員賬戶來執行遠程登錄任務,這樣用戶名和密碼的組合就更復雜了,爆破的難度大大加大。
雙擊「計算機配置->Windows設置->安全設置->本地策略->用戶許可權分余胡卜配->通過終端服務允許登錄」,將Administrators賬號刪除掉,加入另設立的管理員賬戶即可。
加密遠程桌面連接
默認情形下,遠豎穗程桌面的數據鏈接是不加密的,十分危險。升級到windows2008 版本可以使用SSL來加密遠程桌面連接。
Ⅶ 如何設置2003伺服器的ip安全策略
開始-運行-pgedit.msc 打開計算機配置下的windows設置下的裡面的IP策略選項,新建策略,填寫名稱,激活策略規茄局叢則不要勾選,然後點下一步,勾選編輯屬性,然後添加你需要禁止的IP段到我顫櫻臘畝自己的IP這項,協議選任意,最後篩選器操作那裡添加一個名為deny的動作,動作類型選阻止,同時選擇這動作和旁邊的IP段,最後確定,然後右鍵-指派就可以了,希望我的回答對你有幫助。
我本軍團:助人為本,以本會友
Ⅷ win2003本地安全策略不會設置
1、開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改成功失敗
審核登錄事件成功失敗
審核對象訪問失敗
審核過程跟蹤無審核
審核目錄服務訪問失敗
審核特權使用失敗
審核系統事件成功失敗
審核賬戶登錄事件成功失敗
審核賬戶管理成功失敗
B、本地策略——>用戶許可權分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務允許登陸:只加入Administrators,Remote Desktop Users組,其他全部刪除
C、本地策略——>安全選項
互動式登陸:不顯示上次的用戶名啟用
網路訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網路訪問:不允許為網路身份驗證儲存憑證啟用
網路訪問:可匿名訪問的共享全部刪除
網路訪問:可匿名訪問的命全部刪除
網路訪問:可遠程訪問的注冊表路徑全部刪除
網路訪問:可遠程訪問的注冊表路徑和子路徑全部刪除
帳戶:重命名來賓帳戶重命名一個帳戶
帳戶:重命名系統管理員帳戶重命名一個帳戶
2、IIS站點設置:
2.1、將IIS目錄&數據與系統磁碟分開,保存在專用磁碟空間內。
2.2、啟用父級路徑
2.3、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp, aspx html htm 等必要映射即可)
2.4、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定製HTM文件
2.5、Web站點許可權設定(建議)
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關閉
日誌訪問 建議關閉
索引資源 建議關閉
執行 推虛春改薦選擇 「純腳本」
2.6、建議使用W3C擴充日誌文件格式,每天記錄客戶IP地址,用戶名,伺服器埠,方法,URI字根,HTTP狀態,用戶代理,而且每天均要審查日誌。(最好不要使用預設的目錄,建議更換一個記日誌的路徑,同時設置日誌的訪問許可權,只允許管理員和system為Full Control)。
2.7、程序安全:
1) 涉及用戶名與口令的程序最好封裝在伺服器端,盡量少的在ASP文件里出現,涉及到與資料庫連接地用戶名與口令應給予最小的許可權;
2) 需要經過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。
3) 防止ASP主頁.inc文件泄露問題;
4) 防止UE等編輯器生成some.asp.bak文件泄露問題。
6、IIS許可權設置的思路
·要為每個獨立的要保護的個體(比如一個網站或者一個虛擬目錄)創建一個系統用戶,讓這個站點在系統中具有惟一的可以設置許可權的身份。
·在IIS的【站差判點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。
·設置所有的分區禁止這個用森慧戶訪問,而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問(要去掉繼承父許可權,並且要加上超管組和SYSTEM組)。
再復制以下文件把擴展名改為.cmd 雙擊運行
Windows Server2003系統安全設置
NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,
TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE tftp.exe
把以上命令文件通通只給Administrators 和SYSTEM為完全控制許可權
附更改3389埠(dword:00000d3d為十六進制)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:00000d3d
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00000d3d
Ⅸ WIN2003伺服器怎麼禁PING
Windows Server 2003如何讓伺服器禁ping
在網路中為了防止用戶頻繁Ping伺服器而導致伺服器性能下降,一般都會在防火牆中設置規則決絕Ping請求。那麼如果單純藉助系統自身的功能是否也可以拒絕用戶Ping伺服器呢
頻繁地使用Ping命令會導致網路堵塞、降低傳輸效率,為了避免惡意的網路攻擊,一般都會拒絕用戶Ping伺服器。為實現這一目的,不僅可以在防火牆中進行設置,也可以在路由器上進行設置,並且還可以利用Windows 2000/2003系統自身的功能實現。無論採用哪種方式,都是通過禁止使用ICMP協議來實現拒絕Ping動作
以在Windows Server 2003中設置IP策略拒絕用戶Ping伺服器為例,具體操作步驟如下:
1.添加IP篩選器
第1步,依次單擊「開始/管理工具/本地安全策略」,打開「本地安全設置」窗口。右鍵單擊左窗格的「IP安全策略,在本地計算機」選項,執行「管理IP篩選器表和篩選器操作」快捷命令。在「管理IP篩選器列表」選項中單擊「添加」按鈕,命名這個篩選器名稱為「禁止PING」,描述語言可以為「禁止任何其它計算機PING我的主機」,然後單擊「添加」按鈕
第2步,依次單擊「下一步」→「下一步」按鈕,選擇「IP通信源地址」為「我的IP地址」,單擊「下一步」按鈕;選擇「IP通信目標地址」為「任何IP地址」,單擊「下一步」按鈕;選擇「IP協議類型」為ICMP,單擊「下一步」按鈕。依次單擊「完成」→「確定」按鈕結束添加
第3步,切換到「管理篩選器操作」選項卡中,依次單擊「添加」→「下一步」按鈕,命名篩選器操作名稱為「阻止所有連接」,描述語言可以為「阻止所有網路連接」,單擊「下一步」按鈕;點選「阻止」選項作為此篩選器的操作行為,最後依次單擊「下一步」→「完成」→「關閉」按鈕完成所有添加操作
2.創建IP安全策略。
右鍵單擊控制台樹的「IP安全策略,在本地計算機」選項,執行「創建IP安全策略」快捷命令,然後單擊「下一步」按鈕。命名這個IP安全策略為「禁止PING主機」,描述語言為「拒絕任何其它計算機的PING要求」並單擊「下一步」按鈕。然後在勾選「激活默認響應規則」的前提下單擊「下一步」按鈕。在「默認響應規則身份驗證方法」對話框中點選「使用此字元串保護密鑰交換」選項,並在下面的文字框中鍵入一段字元串如「NO
PING
」,單擊「下一步」按鈕。最後在勾選「編輯屬性」的前提下單擊「完成」按鈕結束創建
3.配置IP安全策略。
在打開的「禁止PING主機屬性」對話框中的「規則」選項卡中依次單擊「添加/下一步」按鈕,默認點選「此規則不指定隧道」並單擊「下一步」按鈕;點選「所有網路連接」以保證所有的計算機都PING不通該主機,單擊「下一步」按鈕。在「IP篩選器列表」框中點選「禁止PING」,單擊「下一步」按鈕;在「篩選器操作」列表框中點選「阻止所有連接」,依次單擊「下一步」按鈕;取消「編輯屬性」選項並單擊「完成」按鈕結束配置
4.指派IP安全策略。
安全策略創建完畢後並不能馬上生效,還需通過「指派」使其發揮作用。右鍵單擊「本地安全設置」窗口右窗格的「禁止PING主機」策略,執行「指派」命令即可啟用該策略
經過這樣的一番設置,這台伺服器已經具備了拒絕其它任何計算機Ping自己IP地址的能力了,不過在本地Ping自身仍然是通的。
Linux下邊禁止ping命令的使用
以root進入Linux系統,然後編輯文件icmp_echo_ignore_all
vi /proc/sys/net/ipv4/icmp_echo_ignore_all
將其值改為1後為禁止PING
將其值改為0後為解除禁止PING
直接修改會提示錯誤:
WARNING: The file has been changed since
reading it!!!
Do you really want to write to it (y/n)?y
"icmp_echo_ignore_all" E667:
Fsync failed
Hit ENTER or type command to continue
這是因為 proc/sys/net/ipv4/icmp_echo_ignore_all
這個不是真實的文件
如果想修改他的數值可以echo 0 或 1到這個文件
(即echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all )。要是想永久更改可以加一行
net.ipv4.icmp_echo_ignore_all=1
到配置文件/etc/sysctl.conf裡面
3 用高級設置法預防Ping
默認情況下,所有Internet控制消息協議(ICMP)選項均被禁用。如果啟用ICMP選項,您的網路將在 Internet 中是可視的,因而易於受到攻擊。
如果要啟用ICMP,必須以管理員或Administrators
組成員身份登錄計算機,右擊「網上鄰居」,在彈出的快捷菜單中選擇「屬性」即打開了「網路連接」,選定已啟用Internet連接防火牆的連接,打開其屬性窗口,並切換到「高級」選項頁,點擊下方的「設置」,這樣就出現了「高級設置」對話窗口,在「ICMP」選項卡上,勾選希望您的計算機響應的請求信息類型,旁邊的復選框即表啟用此類型請求,如要禁用請清除相應請求信息類型即可。
Ⅹ win2003本地安全策略不會設置
管理工具--本地安全策略,點「IP安全策略,在本地機器」——>創建IP安全清御策略---->下一步---->名稱隨便寫,如輸入阻止IP訪問,然後一直點下一步,出現提示點是,一直到完成,這個時候就創建了一個名為「阻止IP訪問」的策略了
下面點「IP安全策略,在本地機器」—右鍵—>管理IP篩選器表和篩選器操作---->點添加---->名稱添192.168.1(為了識別最好填寫對應的IP段)---->點添加---->下一步---->源地址選擇一個特定的IP子網,IP輸入192.168.1.0
子網掩碼改為255.255.255.0---->下一步---->目標地址選擇我的IP地址---->下一步---->協議類型為任意---->下一步---->完成
全部關閉
下面點我們開始建立的名為「阻止IP訪問」的策略,點屬性---->填加---->下一步---->下一步網逗正閉絡類型選擇所有網路連接---->山裂下一步---->出現提示點是---->到IP篩選列表,點中我們剛才創建的名為192.168.1的選項---->下一步---->選擇阻止---->下一步到完成、關閉最後點「阻止IP訪問」這個策略,右鍵,指派,到這里為止我們就已經阻止了192.168.1開頭的網段