如何防止服务器被入侵?
你的问题,有我回答,我是IT屠工!1、用户安全(1) 运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字, 并新建同名Administrator 普通用户,设置超长密码去除所有隶属用户组。(2) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证 服务器账户的密码安全。
(3) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。(4) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项 交互式登录 :不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息(5) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空(6) 运行 gpedit.msc ——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户ASPNETGuest IUSR_***** IWAM_*****NETWORK SERVICESQLDebugger注:用户添加查找如下图:(7) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下:2、共享安全(1) 运行 Regedit——删除系统默认的共享 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]增加一个键:名称 : AutoShareServer ; 类型 : REG_DWORD值; : 0(2) 运行 Regedit——禁止 IPC 空连接 [Local_Machine/System/CurrentControlSet/Control/LSA] 把 RestrictAnonymous 的键值改成 ”1”。
3. 服务端口安全(1) 运行 Regedit——修改 3389 远程端口打开 [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp],将 PortNamber 的键值(默认是3389 )修改成自定义端 口:14720打开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp] ,将 PortNumber 的键值(默认是3389)修改成自定义 端口 :14720(2) 运行 services.msc——禁用不需要的和危险的服务 以下列出建议禁止的服务,具体情况根据需求分析执行:Alerter 发送管理警报和通知Automatic Updates Windows 自动更新服务 Computer Browser 维护网络计算机更新(网上邻居列表) Distributed File System 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用(RPC)Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Shell Hardware Detection 为自动播放硬件事件提供通知。
Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet 服务和 Microsoft Serch 用的PrintSpooler 打印服务telnet telnet 服务Workstation 泄漏系统用户名列表(注:如使用局域网请勿关闭)(3) 运行 gpedit.msc —— IPSec安全加密端口,内部使用加密访问。
原理:利用组策略中的“ IP 安全策略”功能中,安全服务器(需要安全)功能。将 所有访问远程如13013 端口的请求筛选到该ip安全策略中来, 使得该请求需要通过 双方的预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行 连接。
在此条件下,不影响其他服务的正常运行。操作步骤:1) 打开 GPEDIT.MSC,在计算机策略中有“ IP 安全策略” ,选择“安全服务器(需要 安全)”项目属性,然后在IP 安全规则中选择“所有IP 通信”打开编辑,在“编 辑规则属性”中,双击“所有IP通信”,在 IP 筛选器中,添加或编辑一个筛选 2) 退回到 “编辑规则属性” 中,在此再选择“身份验证方法” 。
如何检查服务器是否被入侵?
这里简单介绍一下吧,主要从5个方面来判断服务器是否被入侵,感兴趣的朋友可以尝试一下:01查看当前登录用户这种方式最简单也最基本,查看当前登录服务器的用户,如果有异常用户或IP地址正在登录,则说明服务器很可能被入侵,命令的话,使用w,who,users等都可以:02查看历史登录记录服务器会记录曾经登录过的用户和IP,以及登录时间和使用时长,如果有异常用户或IP地址曾经登录过,就要注意了,服务器很可能被入侵,当然,对方为了掩盖登录,会清空/var/log/wtmp日志文件,要是你运行了last命令,只有你一个人登录,而你又从来没清空过记录,说明被入侵了:03查看特别消耗CPU进程一般情况下,服务器被入侵后,对方通常会执行一些非常消耗CPU任务或程序,这时你就可以运行top命令,查看进程使用CPU的情况,如果有异常进程非常消耗CPU,而你又从来没有执行过这个任务,说明服务器很可能被入侵了:04检查所有系统进程消耗CPU不严重或者未经授权的进程,一般不会在top命令中显示出来,这时你就需要运行“ps auxf”命令检查所有系统进程,如果有异常进程在后台悄悄运行,而你又从来没有执行过,这时就要注意了,服务器很可能被入侵了:05查看端口进程网络连接通常攻击者会安装一个后门程序(进程)专门用于监听网络端口收取指令,该进程在等待期间不会消耗CPU和带宽,top命令也难以发现,这时你就可以运行“netstat -plunt”命令,查看当前系统端口、进程的网络连接情况,如果有异常端口开放,就需要注意了,服务器很可能被入侵:目前,就分享这5个方面来判断服务器是否被入侵,当然,服务器如果已经被入侵,你就需要赶在对方发现你之前夺回服务器的控制权,然后修改密码、设定权限、限定IP登录等,网上也有相关教程和资料,介绍的非常详细,感兴趣的话,可以搜一下,希望以上分享的内容能对你有所帮助吧,也欢迎大家评论、留言进行补充。
文章TAG:你的服务器危险了 如何侵入公司服务器 你的 服务 服务器
