Windows ntp服务客户端配置
1、打开“开始”,点击运行输入gpedit.msc,然后“确定”
2、进入如下界面,单击“计算机配置”下的管理模板
3、进入如下界面,双击“系统”,可看到如下选项
4、双击“windows时间服务”,后双击“时间提供程序”
5、双击“启动windows NTP 客户端”,然后选择”已启用”选项,点击“下一设置”
6、将“设置”选项配置如下图,202.194.20.131,是我开设的gps_ ntp时间服务器地址
7、然后确定即可,双击桌面右下角的时间,然后选择
“internet时间”选项
8、修改如下,点击“应用”,选择“立即更新”,不出问题的话你将获得精确的gps时间,
如果更新后提示连接超时,再尝试几次,初次同步比较缓慢。
9、如果提示RPC服务器不可用,在“开始”——“运行”中输入Services.msc,然后找到
Remote Procedure Call (RPC)和Remote Procedure Call (RPC) Locator 选项双击后修改启动类型为“自动”,然后重启计算机就ok了
10、可通过如下设置进行同步频率的设置在“开始”——“运行”中输入regedit,修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClien t\SpecialPollInterval,值为十进制900(双击SpecialPollInterval即可进行修改)
Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重,以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。 作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务,所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有,则禁用
Print Spooler Remote Registry 因为我们使用的是云主机,跟单机又不一样,所以有些服务并不能一概而论,如上面的Server服务。例如天翼云的主机,上海1和内蒙池的主机就不一样,内蒙池的主机需要依赖Server服务,而上海1的不需要依赖此服务,所以上海1的可以禁用,内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性,删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。
NTP时间同步配置说明 目录 1.1 Linux NTP Server配置 (1) 1.2 AIX系统时间配置 (2) 1.3 Linux系统时间同步配置 (4) 1.4 Windows 2003系统时间同步配置 (5) 1.5 Windows 7 & Windows 2008系统时间同步配置 (9) 1.6 ESXi系统时间同步配置 (14) 1.7 Suse Linux 系统时间同步配置 (16) 1.8 HP-UX NTP配置 (18) 1.1 Linux NTP Server配置 1.检查NTP安装包 #rpm -qa | grep ntp ntp-4.2.6p5-10.el6.x86_64 ntpdate-4.2.6p5-10.el6.x86_64 2.NTP配置文件/etc/ntp.conf #vim /etc/ntp.conf driftfile /var/lib/ntp/drift 例:restrict 11.1.71.0 mask 255.255.255.0 nomodify noquery notrap #设置向11.1.71.1-11.1.71.254段的主机提供NTP同步服务 server 210.72.145.44 #中国国家授时中心IP server [local IP address] prefer #prefer 表示优先使用此地址进行时间同步 Server 127.127.1.0 # local clock #外界同步源不可用时将用本地时间提供时间同步服务fudge 127.127.1.0 stratum 2 #stratum是定义时间服务器层级,0表示为最顶级;如果需要从别的NTP服务器更新时间,请修改为非0 SYNC_HWCLOCK=yes #允许BIOS与系统时间同步,也可以通过hwclock -w命令
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
中国银联电子支付研究院 基于云计算的电子支付和电子商务综合服务平台生产环境NTP主备服务器配置文档 第0.02版 中国银联电子支付研究院 二〇一四年十一月二十五日
版本控制信息
文档安全控制信息
目录 版本控制信息 (1) 1概述 (1) 2NTP主服务器配置 (1) 3NTP备服务器配置 (1) 4NTP客户端配置 (2) 5更新基线文档 (4)
1概述 本文档是生产环境NTP主备服务器配置文档。 生产环境NTP主备服务器基本信息如下: 2 NTP主服务器配置 1.备份ntp服务配置文件 A0309005:~ # cp /etc/ntp.conf /etc/ntp.conf_20130805.bak 2.修改ntp服务配置文件 A0309005:~ # cat /etc/ntp.conf server 144.0.252.7 restrict default kod nomodify notrap nopeer noquery restrict 127.0.0.1 restrict 145.240.0.0 mask 255.255.0.0 nomodify restrict 144.240.0.0 mask 255.255.0.0 nomodify driftfile /var/lib/ntp/drift/ntp.drift logfile /var/log/ntp 3.重启ntp服务 A0309005:~ # service ntp start A0309005:~ # chkconfig ntp on 3 NTP备服务器配置 1.备份ntp服务配置文件 A0309006:~ # cp /etc/ntp.conf /etc/ntp.conf_20130805.bak 2.修改ntp服务配置文件 A0309006:~ # cat /etc/ntp.conf server 144.0.252.7 restrict default kod nomodify notrap nopeer noquery restrict 127.0.0.1 restrict 145.240.0.0 mask 255.255.0.0 nomodify restrict 144.240.0.0 mask 255.255.0.0 nomodify driftfile /var/lib/ntp/drift/ntp.drift
Linux NTP配置方法 一、配置Linux异构网络下的ntp时间服务器 1. 软件下载安装 以源代码为例 #/tmp/wget https://www.doczj.com/doc/d513292069.html,/ntp_chinese/down/server/ntp-4.2.0.tar.gz # tar -zxvf ntp-4.2.0.tar.gz –C /usr/local/src;cd /usr/local/src/ntp-4.2.0 2. 开始设定参数、编译与安装: #./configure --prefix=/usr/local/ntp --enable-all-clocks --enable-parse-clocks make clean ; make make check make install 安装完成。 注:其实在我们安装Linux系统的时候,已经自带了ntp软件包, 我们可以通过rpm -q ntp命令来查询 例如:[root@Oracle ~]# rpm -q ntp ntp-4.2.0.a.20040617-4.EL4.1 二、理解NTP服务的配置文件 1.NTP软件包的结构和相关命令 NTP服务的配置文件包括四个文件如表2 。
表2 NTP服务的配置文件 与 NTP 及系统时间有关的执行文件包括几个文件如表3 。 q表3 与 NTP 及系统时间有关的执行文件 说明:Linux 时钟类型在分类和设置上却和Windows大相径庭。和Windows不同的是,Linux将时钟分为系统时钟(System Clock)和硬件(Real Time Clock,简称RTC)时钟两种。系统时间是指当前Linux Kernel中的时钟,而硬件时钟则是主板上由电池供电的那个主板硬件时钟,这个时钟可以在BIOS的“Standard BIOS Feture”项中进行设置。当Linux启动时,硬件时钟会去读取系统时钟的设置,然后系统时钟就会独立于硬件运作。 2.理解NTP服务端的设置文件/etc/ntp.conf 关于权限设定部分 权限的设定主要以 restrict 这个参数来设定,格式如下:
6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。(具体见本文附件1) 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份
修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )
NTP SERVER和CLIENT配置 1NTPSERVER配置 1.1.Windows下配置NTP SERVER 环境:WindowsServer 2012 R2 【运行】-【regedit】打开注册表 1)修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tim e\TimeProviders\NtpServer的Enabled的值为1 2)修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tim e\Config的"AnnounceFlags"值为【5】 3)修改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tim e\Config的MaxNegPhaseCorrection值为【ffffffff】,十六进制。 4)修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tim e\Config的 MaxPosPhaseCorrection值为【ffffffff】,十六进制。 5)修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tim e\Config的 UpdateInterval值为【a】,十六进制。 6)修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time \Config\LocalClockDispersion 的值为【0】。, 7)【gpedit.msc】打开组策略编辑器,依次展开【计算机配置】-【管理模板】
NTP时间服务器学习笔记 引言 NTP时间服务器就是提供时间授权(对时)的服务器,它可以用Linux或Windows系统来架设。总来说NTP时间服务器理解和配置都相对简单,我们只在此提醒一点NTP通信端口采用udp的123端口。以下我们以Windows 2008/Redaht5.4作为时间服务器为服务端,Linux和Windows系统为客户端来学习一下。 服务端 Windows NTP服务器 默认情况下,独立服务器WINDOWS SERVER 2008是作为NTP客户端工作的,所以必须通过修改注册表,以使系统作为NTP服务器运行。工作之前请先备份注册表文件。 1、修改以下选项的键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServe r内的[Enabled]设定为1。打开NTP服务器功能(默认是不开启NTP Server服务,除非电脑升级成为域控制站)。 2、修改以下键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags 设定为5.该设定强制主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体(CMOS) 时钟。如果要采用外面的时间服务器就用默认的a值即可. # 210.72.145.44 (国家授时中心服务器IP地址) 3、修改以下键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type内的[Type]设定为NTP。 4、重启Win32Time服务:先关闭windows time 服务,再开启该服务。可以在“管理工具”的“服务”界面下完成,也可以以DOS 方式输入“net stop w32time”、“net start w32time”。至此,已完成服务器端设定. 注意: 1)通讯端口:123 必须打开 2)Windows Time服务设置为"自动"模式,以便重启系统后,继续提供时间授权。 3)时区不能进行同步,时区是在安装系统时选择或者配置修改。 命令行模式下启动服务: net stop w32time 停止服务/ net start w32time 启动服务
WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案
备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.doczj.com/doc/d513292069.html,(可选) |——启用网络COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除
设置NTP时间服务器的方法 NTP服务器设置: 1.打开注册表,找到下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters,在右窗格中,双击项“Type”,修改“数值数据”为NTP,然后单击“确定”。 2.修改以下选项的键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer,修改项「Enabled」设定为1,打开NTP服务器功能。(默认是不开启NTP Server服务,除非计算机升级成为域控制站) 3.修改以下键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config,修改项AnnounceFlags的数据为5,该设定强制主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体(CMOS)时钟。该设定强制主机将它自身宣告为可靠的时间源,从而运用内置的互补金属氧化物半导体 (CMOS) 时钟。假如要采用外面的时间服务器,就用默认的 a 值即可. 4、在dos命令行,启动以下服务: w32time 需要管理员权限,改完重启机器 windows time 其他:如果该服务器和internet连接,那么为了避免服务器和internet上的ntp同步,最好追加以下配置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient的「enable」设定为0,以防止作为客户端自动同步外界的时间服务。 客户端配置: 1. 修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient,项「enable」设定为1,以便作为客户端自动同步外界的时间服务。项SpecialPollInterval的值修改成十进制43200(单位为秒,43200为12小时,该值为更新时间间隔) 2. 修改默认更新服务器 进入“日期和时间”窗口,点击“Internet时间”,进入“Internet时间设置”页面,勾选“与Internet时间服务器同步”,并输入目标服务器的IP或域名,点击“确定”保存。 3. 重启Windows Time服务
2003服务器系统安全配置-中级安全配置 08-06-16 05:27 发表于:《玉色主流空间》分类:未分类 [作者:墨鱼来源:互联网时间:2008-6-14QQ书签搜藏]【大中小】 2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般 入侵,需要高级服务器安全维护,请联系我。我们一起交流一下!做为一 个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者 代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的 密码一定要强壮! 服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去 除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和 Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.
4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.
5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户. 6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.
7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 8.在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享 ; 网络访问:可匿名访问的命名管道 ; 网络访问:可远程访问的注册表路径 ; 网络访问:可远程访问的注册表路径和子路径 ; 以上四项清空.
一、市局集中端服务器上搭建NTP服务的服务端 1、在市局集中端服务器上,通过开始菜单,输入regedit命令后打开注册表设定画面。 2、修改以下选项的键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Ti meProviders\ NtpServer内的「Enabled」设定为1,打开NTP服务器功能 3、修改以下键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Co nfig\ AnnounceFlags设定为5,该设定强制主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体(CMOS) 时钟。 4、在dos命令行执行以下命令,确保以上修改起作用 net stop w32time net start w32time 那么为了避免服务器和internet上的ntp同步,最好追加以下配置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Ti meProviders\ NtpClient的「enable」设定为0 以防止作为客户端自动同步外界的时间服务 二、硬盘录像机设置NTP服务的客户端
(注:只有新版型号的硬盘录像机才有NTP的功能) 1、在市局服务器IE浏览器地址栏输入硬盘录像机IP地址,进入到登陆 界面,输登陆后选择菜单“配置”8000 端口号:12345 密码:admin 入用户名:, 、在“配置”页面左边选择“远程配置”2,出来“远程参数配置”页面, 在“远程参数配置”页面里选择“网络参数”→“NTP设置”,“启用NTP” 打上钩,“服务器地址”统一为市局集中端服务器地址,“NTP端口号”为123,校时间隔:4320(统一设置为三天,这里的单位是分钟),选择时区: ,点儿“保存”按钮。 三、分局服务器上搭建NTP服务的客户端 1、分局的服务器设定时间同步间隔: 1)、先在任务栏右端双击目前时间打开日期和时间属性框: 2)、在Internet时间里把服务器时间更改为已经设置NTP服务的服务器 IP(对应改为市局集中端服务器IP)点击应用,然后点击“立即更新”按 钮进行测试; 3)、通过开始菜单,输入regedit命令后打开注册表设定画面。找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Ti meProviders\ NtpClient的“SpecialPollInterval”默认设定为604800(或86400), 对话框中的“基数栏”选择到“十进制”上,显示的数字正是自动对时的 间隔(以秒为单位),比如默认的604800就是由7(天)×24(时)×60(分)
Apache服务器配置安全规范以及其缺陷!正如我们前言所说尽管Apache服务器应用最为广泛,设计上非常安全的程序。但是同其它应用程序一样,Apache也存在安全缺陷。毕竟它是完全源代码,Apache服务器的安全缺陷主要是使用HTTP 协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行拒绝服务(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷。主要安全缺陷(1)使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增,最终造成Apache系统变慢甚至完全瘫痪。(2)缓冲区溢出的安全缺陷该方法攻击者利用程序编写的一些缺陷,使程序偏离正常的流程。程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。(3)被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程),攻击者会通过它获得root权限,进而控制整个Apache系统。(4)恶意的攻击者进行拒绝服务(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞,它主要是存在于Apache的chunk encoding中,这是一个HTTP协议定义的用于接受web用户所提交数据的功能。所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性,由于Apache服务器其庞大的项目,难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题:(1)Apache服务器配置文件Apache Web服务器主要有三个配置文件,位于 /usr/local/apache/conf目录下。这三个文件是:httpd.conf-----主配置文件srm.conf------填加资源文件access.conf---设置文件的访问权限(2)Apache服务器的目录安全认证在Apache Server中是允许使用 .htaccess做目录安全保护的,欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案,档名为.htaccss。AuthName 会员专区 AuthType BasicAuthUserFile /var/tmp/xxx.pw -----把password放在网站外 require valid-user 到apache/bin目录,建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 -----第一次建档要用参数-c % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容,进入要用合法的用户。注:采用了Apache内附的模组。也可以采用在httpd.conf中加入:options indexes followsymlinks allowoverride authconfig order allow,deny allow from all (3)Apache服务器访问控制我们就要看三个配置文件中的第三个文件了,即access.conf文件,它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令,再使用allow from指令打开访问权限。order deny,allowdeny from allallow from https://www.doczj.com/doc/d513292069.html, 设置允许来自某个域、IP地址或者IP段的访问。(4)Apache服务器的密码保护问题我们再使 用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打开目录的访问控制。如:AuthName PrivateFilesAuthType BasicAuthUserFile /path/to/httpd/usersrequire Phoenix# htpasswd -c /path/to/httpd/users Phoenix设置Apache服务器的WEB和文件服务器我们在Apache服务器上存放WEB 服务器的文件,供用户访问,并设置/home/ftp/pub目录为文件存放区域,用
某世界500强公司的服务器操作系统安全配置标准-Windows 中国××公司 服务器操作系统安全配置标准-Windows V 1.1 2006年03 月30 日 文档控制 拟制: 审核: 标准化: 读者: 版本控制 版本提交日期相关组织和人员版本描述 V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用 8.3 格式文件名的自动生成 8 4.5 禁用 LMHASH 创建 8 4.6 配置 NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11 6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16
8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用NTFS文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 18 1 概述 本文档规定了中国××公司企业围安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用围 本规的使用者包括: 服务器系统管理员、应用管理员、网络安全管理员。 本规适用的围包括: 支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施 本规的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准一经颁布,即为生效。 1.3 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护 根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。 任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制 基本策略:用户被赋予唯一的用户名、用户ID(UID)。 3.1 密码策略 默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。 策略默认设置推荐最低设置 强制执行密码历史记录记住 1 个密码记住 4 个密码 密码最长期限 42 天 42 天 密码最短期限 0 天 0 天 最短密码长度 0 个字符 8 个字符 密码必须符合复杂性要求禁用启用
Win搭建局域网NTP服务器
————————————————————————————————作者:————————————————————————————————日期:
近日,本人想在局域网内通过普通的windows 7 PC搭建一台NTP服务器,可看似简单的配置却给我捣腾了了半天。初期,参考了互联网的上相关的配置文档,可网络设备就是死活不同步NTP服务器的时间。实在没办法,只有通过来抓包分析了,经过一番研究后,终于找到问题,现将这个文档与大家分享: 通过windows系统为局域网搭建NTP服务器,为局域网内网络设备提供时间服务,经过测试,使用于windows xp、windows 2003、windows 7。 1、启用NTPServer。为此,请按照下列步骤操作: a. 单击“开始”,单击“运行”,键入“regedit”,然后单击“确定”进入注册表; b. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time Time/Providers/NtpServer c. 在右窗格中,右键单击“Enabled”,然后单击“修改”; d. 在“编辑DWORD 值”的“数值数据”框中键入“1”,然后单击“确定”; 2、如果使用NTP Server,建议关闭NTP Clinet,找到并单击下面的注册表子项: a.HKEY_LOCAL_MACHINE/SYSTEM/CurrentControl/SetServices/W32Tim eTime/Providers/NtpClinet
近日,本人想在局域网内通过普通的windows 7 PC搭建一台NTP服务器,可看似简单的配置却给我捣腾了了半天。初期,参考了互联网的上相关的配置文档,可网络设备就是死活不同步NTP服务器的时间。实在没办法,只有通过来抓包分析了,经过一番研究后,终于找到问题,现将这个文档与大家分享: 通过windows系统为局域网搭建NTP服务器,为局域网内网络设备提供时间服务,经过测试,使用于windows xp、windows 2003、windows 7。 1、启用NTPServer。为此,请按照下列步骤操作: a. 单击“开始”,单击“运行”,键入“regedit”,然后单击“确定”进入注册表; b. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time Time/Providers/NtpServer c. 在右窗格中,右键单击“Enabled”,然后单击“修改”; d. 在“编辑DWORD 值”的“数值数据”框中键入“1”,然后单击“确定”; 2、如果使用NTP Server,建议关闭NTP Clinet,找到并单击下面的注册表子项: a.HKEY_LOCAL_MACHINE/SYSTEM/CurrentControl/SetServices/W32Tim eTime/Providers/NtpClinet
b. 在右窗格中,右键单击“Enabled”,然后单击“修改”; c. 在“编辑DWORD 值”的“数值数据”框中键入“0”,然后单击“确定”; 3、强制主机将自身宣布为可靠的事件源,从而使用内置的CMOS时钟 a、 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ Config b. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”; c. 在“编辑DWORD 值”的“数值数据”框中键入“5”,然后单击“确定”; 4、按照以上步骤设置完成后,经测试windows系统的客户端均能正常同步NTP 服务器的时间,通过抓包可以看到: (10.160.13.252为windows xp客户端,10.160.13.73为NTP服务器)client--server: server—client:
Windows Server系统自身安全防护措施 提示: 为慎重操作,可以先在测试机做关闭测试,最好通过与厂方工程师商定后再设置。 一、关闭服务器不必要端口 利用win2003自带防火墙关闭所有端口,如就留一个端口:80 。(设置有两种方法,一个使用windows自带防火墙设,一个实在TCP/IP属性里设。) 设置方法: 1、在“网络连接”属性里设置windows防火墙。 2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。
二、在服务中关闭不必要的服务 以下服务可以关闭: Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序
服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 口令策略
网络服务 优化服务(1) 操作目的关闭不需要的服务,减小风险 加固方法“Win+R”键调出“运行”->services.msc,以下服务改为禁用: Application Layer Gateway Service(为应用程序级协议插件提供支持并启用网 络/协议连接) Background Intelligent Transfer Service(利用空闲的网络带宽在后台传输文 件。如果服务被停用,例如Windows Update 和 MSN Explorer的功能将无法自动 下载程序和其他信息) Computer Browser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏 览) DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry(使远程用户能修改此计算机上的注册表设置) Print Spooler(管理所有本地和网络打印队列及控制所有打印工作) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个 页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络 上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网 络)