第一篇：密碼安全及服務(wù)器權(quán)限

服務(wù)器及FTP服務(wù)器，也適用于個(gè)人電腦 系統(tǒng)管理員

系統(tǒng)管理員主要負(fù)責(zé)應(yīng)用信息系統(tǒng)中的系統(tǒng)參數(shù)配置，用戶賬號(hào)開通與維護(hù)管理、設(shè)定角色與權(quán)限關(guān)系，維護(hù)行政區(qū)劃和組織機(jī)構(gòu)代碼等數(shù)據(jù)字典，系統(tǒng)日志管理以及數(shù)據(jù)管理等系統(tǒng)運(yùn)行維護(hù)工作。普通用戶

指由系統(tǒng)管理員在應(yīng)用信息系統(tǒng)中創(chuàng)建并授權(quán)的非系統(tǒng)管理員類用戶，擁有在被授權(quán)范圍內(nèi)登陸和使用應(yīng)用信息系統(tǒng)的權(quán)限。用戶角色與權(quán)限關(guān)系

應(yīng)用信息系統(tǒng)中對(duì)用戶操作權(quán)限的控制是通過建立一套角色與權(quán)限對(duì)應(yīng)關(guān)系，對(duì)用戶賬號(hào)授予某個(gè)角色或多個(gè)角色的組合來實(shí)現(xiàn)的，一個(gè)角色對(duì)應(yīng)一定的權(quán)限（即應(yīng)用信息系統(tǒng)中允許操作某功能點(diǎn)或功能點(diǎn)集合的權(quán)力），一個(gè)用戶賬號(hào)可通過被授予多個(gè)角色而獲得多種操作權(quán)限。

為實(shí)現(xiàn)用戶管理規(guī)范化和方便系統(tǒng)維護(hù)，公司各應(yīng)用信息系統(tǒng)應(yīng)遵循統(tǒng)一的角色與權(quán)限設(shè)置規(guī)范，在不同的應(yīng)用信息系統(tǒng)中設(shè)置的角色名稱及對(duì)應(yīng)的權(quán)限特征，應(yīng)遵循權(quán)限設(shè)置規(guī)范基本要求。

由于不同的應(yīng)用信息系統(tǒng)在具體的功能點(diǎn)設(shè)計(jì)和搭配使用上各不相同，因此對(duì)角色的設(shè)置以及同樣的角色在不同應(yīng)用信息系統(tǒng)中所匹配的具體權(quán)限范圍可能存在差異，所以每個(gè)應(yīng)用信息系統(tǒng)應(yīng)分別制定適用于本系統(tǒng)的權(quán)限設(shè)置規(guī)范。密碼安全

設(shè)置用戶密碼是用戶登陸應(yīng)用信息系統(tǒng)時(shí)身份合法性認(rèn)證的重要手段，用戶密碼的設(shè)置應(yīng)盡量復(fù)雜化，不易被他人推測，密碼長度一般不少于8位數(shù)字加上符號(hào)，并做到定期更換新密碼。密碼遺忘時(shí)可向系統(tǒng)管理員申請(qǐng)密碼初始化修復(fù)。

若發(fā)現(xiàn)賬號(hào)密碼泄露,用戶須立即報(bào)告系統(tǒng)管理員及時(shí)采取停用賬號(hào)措施，并在報(bào)告后的24小時(shí)內(nèi)向該信息系統(tǒng)主管部門提交書面報(bào)告，說明詳細(xì)情況，以便系統(tǒng)主管部門協(xié)助核查系統(tǒng)內(nèi)數(shù)據(jù)和系統(tǒng)運(yùn)行情況，采取有效補(bǔ)救措施將危害程度降至最低。

第二篇：服務(wù)器及數(shù)據(jù)庫密碼管理制度

服務(wù)器及數(shù)據(jù)庫密碼管理制度

技術(shù)部

為確保公司服務(wù)器及數(shù)據(jù)庫安全運(yùn)行，保護(hù)公司及客戶權(quán)益不受侵害，特制定此管理制度。

（一）服務(wù)器和數(shù)據(jù)庫的管理賬號(hào)密碼，由系統(tǒng)管理員和數(shù)據(jù)庫管理員設(shè)定并持有，實(shí)行

定期修改制度，最長有效期不超過90天。

（二）更換服務(wù)器與數(shù)據(jù)庫密碼時(shí)必須報(bào)行政封存，以防遺失密碼。如發(fā)現(xiàn)密碼及口令有

泄密跡象，管理員要立刻報(bào)告主管領(lǐng)導(dǎo)，嚴(yán)查泄露源頭，同時(shí)更換密碼。

（三）密碼需要按照以下規(guī)則設(shè)定，即由大寫字母，小寫字母，數(shù)字，和字符組成；最低

位數(shù)為10位；不能與以往的密碼重復(fù)。

（四）建議借助密碼生成器按照密碼設(shè)定規(guī)則，生成密碼。

第三篇：服務(wù)器安全總結(jié)

一、系統(tǒng)的安裝

１、按照Windows2003安裝光盤的提示安裝，默認(rèn)情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。２、IIS6.0的安裝

開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件

應(yīng)用程序 ———ASP.NET（可選）

|——啟用網(wǎng)絡(luò) COM+ 訪問（必選）

|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器（必選）

[醫(yī)學(xué)教育網(wǎng)整理發(fā)布]

|——公用文件（必選）

|——萬維網(wǎng)服務(wù)———Active Server pages（必選）

|——Internet 數(shù)據(jù)連接器（可選）

|——WebDAV 發(fā)布（可選）[醫(yī)學(xué)教育網(wǎng)整理發(fā)布]

|——萬維網(wǎng)服務(wù)（必選）

|——在服務(wù)器端的包含文件（可選）

然后點(diǎn)擊確定—>下一步安裝。（具體見本文附件1）

３、系統(tǒng)補(bǔ)丁的更新

點(diǎn)擊開始菜單—>所有程序—>Windows Update

按照提示進(jìn)行補(bǔ)丁的安裝。

４、備份系統(tǒng)

用GHOST備份系統(tǒng) 資料來源 :醫(yī) 學(xué) 教 育網(wǎng)。

５、安裝常用的軟件

例如：殺毒軟件、解壓縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。

6、先關(guān)閉不需要的端口 開啟防火墻 導(dǎo)入IPSEC策略

在”網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里--“NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS（S）”。在高級(jí)選項(xiàng)里，使用“Internet連接防火墻”，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達(dá)到了一個(gè)IPSec的功能。

修改3389遠(yuǎn)程連接端口 修改注冊(cè)表.開始--運(yùn)行--regedit

依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000)

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/

右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000)注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口 修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效.二、用戶安全設(shè)置

1、禁用Guest賬號(hào)

在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為Guest用戶的密碼拷進(jìn)去。

2、限制不必要的用戶

去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。

3、把系統(tǒng)Administrator賬號(hào)改名

大家都知道，Windows 2003 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。

4、創(chuàng)建一個(gè)陷阱用戶

什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。

5、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶

任何時(shí)候都不要把共享文件的用戶設(shè)置成“Everyone”組，包括打印共享，默認(rèn)的屬性就是“Everyone”組的，一定不要忘了改。

6、開啟用戶策略

使用用戶策略，分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘，用戶鎖定時(shí)間為20分鐘，用戶鎖定閾值為3次。（該項(xiàng)為可選）

7、不讓系統(tǒng)顯示上次登錄的用戶名

默認(rèn)情況下，登錄對(duì)話框中會(huì)顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶名。方法為：打開注冊(cè)表編輯器并找到注冊(cè)表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的鍵值改成1。

密碼安全設(shè)置

1、使用安全密碼

一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名、計(jì)算機(jī)名做用戶名，然后又把這些用戶的密碼設(shè)置得太簡單，比如“welcome”等等。因此，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼。

2、設(shè)置屏幕保護(hù)密碼

這是一個(gè)很簡單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。

3、開啟密碼策略

注意應(yīng)用密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長度最小值為6位，設(shè)置強(qiáng)制密碼歷史為5次，時(shí)間為42天。

4、考慮使用智能卡來代替密碼

對(duì)于密碼，總是使安全管理員進(jìn)退兩難，密碼設(shè)置簡單容易受到黑客的攻擊，密碼設(shè)置復(fù)雜又容易忘記。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。

三、系統(tǒng)權(quán)限的設(shè)置 １、磁盤權(quán)限

系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限

系統(tǒng)盤Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限

系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限

系統(tǒng)盤WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的完全 控制權(quán)限

另將System32cmd.exe、format.com、ftp.exe轉(zhuǎn)移到其他目錄或更名

Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限。并且要一個(gè)一個(gè)目錄查看，包括下面的所有子目錄。刪除c:inetpub目錄

２、本地安全策略設(shè)置

開始菜單—>管理工具—>本地安全策略

A、本地策略——>審核策略

審核策略更改

成功 失敗

審核登錄事件

成功 失敗

審核對(duì)象訪問

失敗

審核過程跟蹤

無審核

審核目錄服務(wù)訪問

失敗

審核特權(quán)使用

失敗

審核系統(tǒng)事件

成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理

成功 失敗

B、本地策略——>用戶權(quán)限分配

關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。

通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

C、本地策略——>安全選項(xiàng)

交互式登陸：不顯示上次的用戶名

啟用

網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉

啟用

網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證

啟用

網(wǎng)絡(luò)訪問：可匿名訪問的共享

全部刪除

網(wǎng)絡(luò)訪問：可匿名訪問的命

全部刪除

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑

全部刪除

網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑

全部刪除

帳戶：重命名來賓帳戶

重命名一個(gè)帳戶

帳戶：重命名系統(tǒng)管理員帳戶

重命名一個(gè)帳戶

３、禁用不必要的服務(wù) 開始-運(yùn)行-services.msc TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享

文件、打印和登錄到網(wǎng)絡(luò)

Server支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享

Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表

Task scheduler 允許程序在指定時(shí)間運(yùn)行

Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息

Distributed File System: 局域網(wǎng)管理共享文件，不需要可禁用

Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要可禁用

Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告

Microsoft Serch：提供快速的單詞搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要可禁用

PrintSpooler：如果沒有打印機(jī)可禁用

Remote Registry：禁止遠(yuǎn)程修改注冊(cè)表

Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助

Workstation 關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組

以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動(dòng)。４、修改注冊(cè)表

修改注冊(cè)表，讓系統(tǒng)更強(qiáng)壯

1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

2、防止SYN洪水攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為SynAttackProtect，值為2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 0

3.禁止響應(yīng)ICMP路由通告報(bào)文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0

4.防止ICMP重定向報(bào)文的攻擊

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設(shè)為0

5.不支持IGMP協(xié)議

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為IGMPLevel 值為0

6、禁止IPC空連接：

cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個(gè)值改成”1”即可。

7、更改TTL值

cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：

TTL=107(WINNT);TTL=108(win2000);TTL=127或128(win9x);TTL=240或241(linux);TTL=252(solaris);TTL=240(Irix);

實(shí)際上你可以自己改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦

8.刪除默認(rèn)共享

有人問過我一開機(jī)就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認(rèn)共享，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer類型是REG_DWORD把值改為0即可

9.禁止建立空連接

默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測密碼。我們可以通過修改注冊(cè)表來禁止建立空連接：

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。

10、建立一個(gè)記事本，填上以下代碼。保存為*.bat并加到啟動(dòng)項(xiàng)目中 net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del

5、IIS站點(diǎn)設(shè)置：

1、將IIS目錄＆數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。

2、啟用父級(jí)路徑

3、在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）

4、在IIS中將HTTP404 Object Not Found出錯(cuò)頁面通過URL重定向到一個(gè)定制HTM文件

5、Web站點(diǎn)權(quán)限設(shè)定（建議）讀 允許 寫 不允許 腳本源訪問 不允許 目錄瀏覽 建議關(guān)閉 日志訪問 建議關(guān)閉 索引資源 建議關(guān)閉

執(zhí)行 推薦選擇 “僅限于腳本”

6、建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問權(quán)限，只允許管理員和system為Full Control）。

7、程序安全: 1)涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;2)需要經(jīng)過驗(yàn)證的ASP頁面，可跟蹤上一個(gè)頁面的文件名，只有從上一頁面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁面。3)防止ASP主頁.inc文件泄露問題;4)防止UE等編輯器生成some.asp.bak文件泄露問題。

6、IIS權(quán)限設(shè)置的思路 ?要為每個(gè)獨(dú)立的要保護(hù)的個(gè)體（比如一個(gè)網(wǎng)站或者一個(gè)虛擬目錄）創(chuàng)建一個(gè)系統(tǒng)用戶，讓這個(gè)站點(diǎn)在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。

?在IIS的【站點(diǎn)屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗(yàn)證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個(gè)用戶名。

?設(shè)置所有的分區(qū)禁止這個(gè)用戶訪問，而剛才這個(gè)站點(diǎn)的主目錄對(duì)應(yīng)的那個(gè)文件夾設(shè)置允許這個(gè)用戶訪問（要去掉繼承父權(quán)限，并且要加上超管組和SYSTEM組）。

7、卸載最不安全的組件

最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).BAT文件，(以下均以 WIN2000 為例，如果使用2003，則系統(tǒng)文件夾應(yīng)該是 C:WINDOWS)regsvr32/u C:WINDOWSSystem32wshom.ocx del C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll del C:WINNTWINDOWSshell32.dll

然后運(yùn)行一下，WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了?？赡軙?huì)提示無法刪除文件，不用管它，重啟一下服務(wù)器，你會(huì)發(fā)現(xiàn)這三個(gè)都提示“×安全”了。

8:防止硬盤的非法訪問

電腦癱瘓的原因，無非就是操作系統(tǒng)中的一些文件或文件夾被移走或被刪除，如果把系統(tǒng)所在的硬盤分區(qū)禁用，讓電腦盲們無法進(jìn)入操作系統(tǒng)所在的分區(qū)，他就刪不了操作系統(tǒng)所在分區(qū)的文件或文件夾了，系統(tǒng)也就沒事了。

防止別人通過“我的電腦”訪問Ｃ盤

點(diǎn)擊“開始→運(yùn)行”輸入gpedit.msc命令，在打開的組策略編輯器窗口中依次打開“用戶配置→管理模板→Windows組件→Windows資源管理器”分支，然后在右邊雙擊“防止從?我的電腦?訪問驅(qū)動(dòng)器”策略項(xiàng)，并在屬性設(shè)置窗口中選擇“已啟用”選項(xiàng)，選擇要禁止訪問的硬盤盤符C盤即可（如圖）。

防止別人從“命令提示符”訪問Ｃ盤

當(dāng)禁用了通過“我的電腦”訪問硬盤后，他人還可以通過“命令提示符”方式進(jìn)入C盤，所以還應(yīng)同時(shí)禁止通過“命令提示符”訪問C盤。方法是在打開的組策略編輯器窗口中依次打開“用戶配置→管理模板→系統(tǒng)”分支，然后在右邊窗口中將“阻止訪問命令提示符”策略項(xiàng)啟用即可。

禁止運(yùn)行“ｃｍｄ．ｅｘｅ”命令

設(shè)置完以上兩個(gè)策略后，還不能完全防止他人對(duì)C盤的訪問，原因是登錄者仍然可以利用“運(yùn)行”來執(zhí)行“cmd.exe”命令，進(jìn)入“命令提示符”狀態(tài)，然后再訪問C盤。所以，這個(gè)命令也應(yīng)該禁用。方法是在打開的組策略編輯器窗口中依次打開“用戶配置→管理模板→系統(tǒng)”分支，然后在右邊的窗口中雙擊“不要運(yùn)行指定的Windows應(yīng)用程序”策略項(xiàng)，在該策略項(xiàng)的“屬性”窗口中選擇“已啟用”選項(xiàng)，再單擊“顯示”按鈕，在彈出的“顯示內(nèi)容”對(duì)話框中添加“cmd.exe”，這樣該應(yīng)用程序就被禁用了，到此，其他人員就無法訪問本地計(jì)算機(jī)的C盤了。

通過以上的設(shè)置以后，我們就可以有效的保護(hù)操作系統(tǒng)所在的硬盤分區(qū)里的所有文件和文件夾了。我們的操作系統(tǒng)也就安全了。

以上你全做好拉我一般一年內(nèi)你的服務(wù)器終端都是安全的。

第四篇：服務(wù)器安全設(shè)置

服務(wù)器安全設(shè)置及項(xiàng)目部署

1.防火墻設(shè)置

1）常規(guī)中選中啟用（推薦）選項(xiàng)

2）例外中添加端口號(hào)eg：17999

3）高級(jí)中 點(diǎn)擊第一個(gè)設(shè)置，服務(wù)選項(xiàng)卡選中“FTP 服務(wù)器”和“遠(yuǎn)程桌面”，ICMP

選項(xiàng)卡選中“允許傳入響應(yīng)請(qǐng)求”

4）我的電腦?屬性?遠(yuǎn)程?遠(yuǎn)程桌面 勾選允許用戶遠(yuǎn)程連接此計(jì)算機(jī)

注：打開“開始→運(yùn)行”，輸入“regedit”，打開注冊(cè)表，進(jìn)入以下路徑：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]，看見PortNamber值了嗎？其默認(rèn)值是：0xd3d，這個(gè)是16進(jìn)制，點(diǎn)擊右邊的十進(jìn)制，顯示的就是3389了，修改成所希望的端口即可，例如6111。

再打開

[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal

ServerWinStationsRDP-Tcp]，將PortNumber的值（也是3389）修改成端口6111。

更改后注意開放防火墻6111端口,否則重起后連不上

2.防火墻軟件安裝（eg：360安全衛(wèi)士）

1）打上補(bǔ)丁，修補(bǔ)漏洞

2）關(guān)閉自動(dòng)更新

3．更改虛擬內(nèi)存

1）電腦?高級(jí)?第一個(gè)設(shè)置?高級(jí)?更改2000M到5000M

4.本地安全策略

1）管理工具?本地安全策略?新建

5.數(shù)據(jù)庫安裝

1）確保Tcp/Ip啟用

SQL server configuration manager? SQL server 2005 網(wǎng)絡(luò)配置? MSSQLSERVER的協(xié)議 TCP/IP啟動(dòng)

3）新項(xiàng)目數(shù)據(jù)庫 代理必須啟動(dòng)

6.JDK 安裝

環(huán)境變量配置：

Eg: java_home：D:Program FilesJavajdk1.6.0_10 classpath：.;%java_home%lib;%java_home%lib tools.jarpath設(shè)置%java_home%bin;%java_home%jre6bin;

7.tomcat 安裝

8.apache安裝

9.負(fù)載均衡

10.項(xiàng)目部署

1)數(shù)據(jù)庫還原，附加或數(shù)據(jù)庫新建sql

2）netfee,feecfg,push

注：域名指向

10.其他軟件安裝（edit記事本，搜狗拼音，

第五篇：服務(wù)器安全不容忽視

丟失300M數(shù)據(jù)企業(yè)損失50萬 服務(wù)器安全不容忽視

盡管早就有朋友建議王強(qiáng)定期給公司的網(wǎng)站做數(shù)據(jù)備份，尤其對(duì)重要的數(shù)據(jù)要實(shí)施多點(diǎn)備份，但是對(duì)擁有5年網(wǎng)絡(luò)經(jīng)驗(yàn)的王強(qiáng)來說，他怎么也不會(huì)相信，這種服務(wù)器遭受攻擊、客戶數(shù)據(jù)丟失的事情會(huì)發(fā)生在自己的身上，而導(dǎo)致3000個(gè)具名的個(gè)人買家資料被外泄。

當(dāng)發(fā)現(xiàn)數(shù)據(jù)丟失，王強(qiáng)就立即通知公司業(yè)務(wù)和客服部門引起重視。但值得慶幸的是，目前還沒有接到客戶的投訴，這表明這些資料還沒有落入犯罪分子手中。

對(duì)此次數(shù)據(jù)丟失事件，財(cái)務(wù)部門預(yù)計(jì)將給公司帶來15萬元的經(jīng)濟(jì)損失。這讓公司領(lǐng)導(dǎo)開始重新考慮數(shù)據(jù)安全問題。而王強(qiáng)也坦言，對(duì)自己的網(wǎng)絡(luò)技術(shù)過度自信，是給公司造成了損失的主要原因。

兩大因素威脅企業(yè)數(shù)據(jù)安全：

某互聯(lián)網(wǎng)安全防護(hù)公司內(nèi)部人士表示，目前網(wǎng)民和企業(yè)對(duì)互聯(lián)網(wǎng)的依賴性極高，這也使一部分懂得網(wǎng)絡(luò)技術(shù)的不法之徒提供了便利條件。如今，網(wǎng)絡(luò)環(huán)境已經(jīng)病毒過度泛濫、黑客過度猖獗，從外再上威脅著企業(yè)關(guān)鍵數(shù)據(jù)的安全。

該人士認(rèn)為，不可預(yù)知的服務(wù)器故障、系統(tǒng)崩潰、硬盤損壞、自然災(zāi)害等突發(fā)事故，也在威脅著企業(yè)數(shù)據(jù)安全并造成企業(yè)關(guān)鍵數(shù)據(jù)的丟失。數(shù)據(jù)是不可再生或再生需要投入難以估量時(shí)間和金錢的，安全可靠的數(shù)據(jù)保護(hù)是業(yè)務(wù)持續(xù)運(yùn)營和災(zāi)難恢復(fù)的關(guān)鍵性因素

“丟失300MB的數(shù)據(jù)可能對(duì)于業(yè)務(wù)部門就意味著50萬元的損失，對(duì)IT部門來說損失可能達(dá)30萬”。中國萬網(wǎng)網(wǎng)絡(luò)安全信息專家表示，中小企業(yè)及網(wǎng)絡(luò)技術(shù)人員，應(yīng)使用安全可靠的服務(wù)器管理自己的關(guān)鍵數(shù)據(jù)，并且要掌握數(shù)據(jù)備份信息，了解關(guān)鍵業(yè)務(wù)流程中的數(shù)據(jù)備份情況。

部署數(shù)據(jù)自動(dòng)備份 防患于未然

由于傳統(tǒng)獨(dú)立服務(wù)器的數(shù)據(jù)備份和恢復(fù)產(chǎn)品使用非常復(fù)雜，并且需要企業(yè)重金采購專業(yè)存儲(chǔ)設(shè)備及軟件方案，在恢復(fù)數(shù)據(jù)時(shí)又消耗大量的時(shí)間精力，因此，中小企業(yè)雖然有數(shù)據(jù)風(fēng)險(xiǎn)認(rèn)識(shí)，但不想牽扯太多時(shí)間和資金，就不愿意使用這種專業(yè)設(shè)備，最終造成損失慘重。

針對(duì)這種既考慮簡單、易用，又要省錢實(shí)現(xiàn)獨(dú)立服務(wù)器關(guān)鍵數(shù)據(jù)備份的中小企業(yè)客戶，目前只有萬網(wǎng)在提供此類獨(dú)立服務(wù)器的免費(fèi)數(shù)據(jù)備份服務(wù)。

對(duì)于企業(yè)關(guān)鍵數(shù)據(jù)，萬網(wǎng)安全專家指出，務(wù)必要保障至少7天一次增量備份，30天一次完整備份機(jī)制，保證信息的及時(shí)更新和完整性。企業(yè)可以通過萬網(wǎng)提供的網(wǎng)頁式自助平臺(tái)，數(shù)據(jù)備份/恢復(fù)狀態(tài)實(shí)時(shí)查看功能，可以看到企業(yè)哪些數(shù)據(jù)還沒有備份，而哪些正在備份中和完成備份，進(jìn)而完成數(shù)據(jù)備份。

每臺(tái)獨(dú)立服務(wù)器都免費(fèi)配套提供了5G專業(yè)數(shù)據(jù)備份存儲(chǔ)空間?！盀榇?，萬網(wǎng)斥資三百萬元向國外專業(yè)數(shù)據(jù)備份硬件設(shè)備提供商采購專業(yè)級(jí)的備份服務(wù)器”萬網(wǎng)安全專家表示，在惡劣的互聯(lián)網(wǎng)環(huán)境下，唯有讓企業(yè)的數(shù)據(jù)安全，才能實(shí)現(xiàn)萬網(wǎng)客戶服務(wù)年的目標(biāo)。

作者: 天偉數(shù)據(jù)恢復(fù)中心

原文:

發(fā)布日期: 2010-05-27 09:11