原创作品,未经Julian 本人授权不得转载,侵权必究。
大家新年好啊,昨晚跨年和谁度过的,怎么度过的啊?单身狗的我昨晚加了会儿班后和一同漂泊到这个城市的老乡们小酌畅谈守夜,有笑有泪,有过去也有未来。今早醒来脑子还有些酒后的痛楚,一股曲终人散的失落感袭上心头。泡了杯茶,顺手翻开室友的做的系统部操作系统安全设置的内训材料随便看看,都是操作实践的东西,写得很细致。我谈谈我的领悟吧。
一.OS的安全设置
1. 对系统的administrator账户进行重命名并禁用之;在guests组里创建一个administrator账户,强密码,从而实现对原有administrator账户的伪装。
2. 新增企业内部认可的账户,如XX_YYADM,添置到管理员组并设置强密码(如8位以上,包含特殊字符等)。
3. 通过用户策略-secpol.msc,设置密码最长使用期限,以及如果连续3次输入错误,则该账户锁定30分钟等。
4. 设置“本地策略”,启用“交互式登陆不显示上次用户名”和“关机时清除虚拟内存页面文件”。
5. 禁止用户访问注册表编辑器。
6. 关闭系统盘和文件夹的默认共享,如果是服务器,则在网卡的Internet协议里启用TCP/IP筛选,只允许TCP上的某些服务端口,如:80和21。
7. 取消重要文件夹的“允许父项的继承权限传播到该对象和所有子对象”,对除了管理员以为的用户组进行细粒度限权。启用并设置对文件夹以及登陆事件的审核策略。
8. 针对特殊要求,可以把管理员的秘钥进行导出并备份到其他地方。
二.Web服务器的设置
比如说如果是IIS:
• 要清除默认站点及其文件和管理脚本;
• 对在建目录的读、写安全设置;
• 添加对IP地址和范围的管控;
• 调整日志存放路径和大小设置;
• 针对特殊要求,可以导入证书来建立证书信任列表,以方便客户端通过HTTPs的方式进行安全访问。
三. 对DNS服务器的设置:
• 配置好对内响应,对外转发,以及反向查询;
• 启用调试日志功能,设置日志文件的路径;
• 设置每七天更新清理过时记录,启用换成污染保护。
好吧,不看了,也不多说了,该给家乡的父母打电话了。三天的休假,对我这样在异乡打拼的人来说是福兮?祸兮?许个愿吧,希望我2016年能在这里成功扎根,当然如果能在某种程度上告白单身,就更好了。
