本地安全设置

设置本地策略
本地策略包括审核策略、用户权限分配和安全选项三项安全设置，其中，审核策略确定了是否将安全事件记录到计算机上的安全日志中；用户权利指派确定了哪些用户或组具有登录计算机的权利或特权；安全选项确定启用或禁用计算机的安全设置。
(1)审核策略
审核被启用后，系统就会在审核日志中收集审核对象所发生的一切事件，如应用程序、系统以及安全的相关信息，因此审核对于保证域的安全是非常重要的。审核策略下的各项值可分为成功、失败和不审核三种，默认是不审核，若要启用审核，可在某项上双击鼠标，就会bomb出"属性"窗口，首先选中"在模板中定义这些策略设置"，然后按需求选择"成功"或"失败"即可。
审核策略包括审核账户登录事件、审核策略更改、审核账户管理、审核登录事件、审核系统事件等，下面分别进行介绍。
①审核策略更改：主要用于确定是否对用户权限分配策略、审核策略或信任策略作出更改的每一个事件进行审核。建议设置为"成功"和"失败"；
②审核登录事件：用于确定是否审核用户登录到该计算机、从该计算机注销或建立与该计算机的网络连接的每一个实例。如果设定为审核成功，则可用来确定哪个用户成功登录到哪台计算机；如果设为审核失败，则可以用来检测入侵，但攻击者生成的庞大的登录失败日志，会造成拒绝服务(DoS)状态。建议设置为"成功"；
③审核对象访问：确定是否审核用户访问某个对象，例如文件、文件夹、注册表项、打印机等，它们都指定了自己的系统访问控制列表(SACL)的事件。建议设置为"失败"；
④审核过程跟踪：确定是否审核事件的详细跟踪信息，如程序激活、进程退出、间接对象访问等。如果你怀疑系统被攻击，可启用该项，但启用后会生成大量事件，正常情况下建议将其设置为"无审核"；
⑤审核目录服务访问：确定是否审核用户访问那些指定有自己的系统访问控制列表(SACL)的ActiveDirectory对象的事件。启用后会在域控制器的安全日志中生成大量审核项，因此仅在确实要使用所创建的信息时才应启用。建议设置为"无审核"；
⑥审核特权使用：该项用于确定是否对用户行使用户权限的每个实例进行审核，但除跳过遍历检查、调试程序、创建标记对象、替换进程级别标记、生成安全审核、备份文件和目录、还原文件和目录等权限。建议设置为"不审核"；
⑦审核系统事件：用于确定当用户重新启动或关闭计算机时，或者对系统安全或安全日志有影响的事件发生时，是否予以审核。这些事件信息是非常重要的，所以建议设置为"成功"和"失败"；
⑧审核账户登录事件：该设置用于确定当用户登录到其他计算机(该计算机用于验证其他计算机中的账户)或从中注销时，是否进行审核。建议设置为"成功"和"失败"；
⑨审核账户管理：用于确定是否对计算机上的每个账户管理事件，如重命名、禁用或启用用户账户、创建、修改或删除用户账户或管理事件进行审核。建议设置为"成功"和"失败"。
(2)用户权利指派
用户权利指派主要是确定哪些用户或组被允许做哪些事情。具体设置方法是：
①双击某项策略，在bomb出"属性"窗口中，首先选中"在模板中定义这些策略设置"；
②点击"添加用户或组"按钮就会出现"选择用户或组"窗口，先点击"对象类型"选择对象的类型，再点击"位置"选择查找的位置，最后在"输入对象名称来选择"下的空白栏中输入用户或组的名称，输完后可点击"检查名称"按钮来检查名称是否正确；
③最后点击"确定"按钮即可将输入的对象添加到用户列表中。
(3)安全选项
在这里可以启用或禁用计算机的安全设置，如数据的数字签名、Administrator和Guest账户的名称、软盘驱动器和CD-ROM驱动器访问、驱动程序安装行为和登录提示等。下面介绍几个适合于一般用户使用的设置。
①防止用户安装打印机驱动程序。对于要打印到网络打印机的计算机，网络打印机的驱动程序必须安装在本地打印机上。该安全设置确定了允许哪些人安装作为添加网络打印机一部分的打印机驱动程序。使用该设置可防止未授权的用户下载和安装不可信的打印机驱动程序。
双击"设备：防止用户安装打印机驱动程序"，会bomb出属性窗口，首先选中"在模板中定义这个策略设置"项，然后将"已启用"选中，最后点击"确定"按钮。这样则只有管理员和超级用户才可以安装作为添加网络打印机一部分的打印机驱动程序；
②无提示安装未经签名的驱动程序。当试图安装未经Windows硬件质量实验室(WHQL)颁发的设备驱动程序时，系统默认会bomb出警告窗口，然后让用户选择是否安装，这样很麻烦，你可以将其设置为无提示就直接安装。
双击"设备：未签名驱动程序的安装 *** 作"项，在出现的属性窗口中，选中"在模板中定义这个策略设置"项，然后点击后面的下拉按钮，选择"默认安装"，最后点击"确定"按钮即可；
③登录时显示消息文字。指定用户登录时显示的文本消息。利用这个警告消息设置，可以警告用户不得以任何方式滥用公司信息或者警告用户其 *** 作可能会受到审核，从而更好地保护系统数据。
双击"交互式登录：用户试图登录时消息文字"，进入属性窗口，先将"在模板中定义这个策略设置"选中，然后在下面的空白输入框中输入消息文字，最多可以输入512个字符，最后点击"确定"按钮。这样，用户在登录到控制台之前就会看到这个警告消息对话框。

感谢@头条科技圈的邀请！

WINDOWS服务器在使用过程中我们需要进行维护，主要的方式有以下几种方式：

将账户administrator改名，如bcho，也可以改为中文名，这样可以为黑客攻击增加一点障碍。将guest账户改名为administrator作为陷阱账号，并为这个账号增加一个高难度密码，或者直接禁用这个账户。处理管理员账号和其他必须的账号以外，删除所有其他的账号，避免黑客攻击其他弱密码的账号。除了管理员账号以外，建议再新增一个高难度的管理员账号，这样在黑客攻击主账号时可以用备用账号重新取得控制权。开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为30分钟，用户锁定时间为30分钟，用户锁定阈值为3次。开启密码策略注意应用密码策略，启用密码复杂性要求，设置密码长度最小值为8位，设置强制密码历史为5次，时间为31天。开启密码策略注意应用密码策略，启用密码复杂性要求，设置密码长度最小值为8位，设置强制密码历史为5次，时间为31天。系统更新设置为自动，并半个月检查更新一次。服务器硬件状况每月检查一次，CPU、内存、硬盘使用率每月做一次统计。安装补丁、安装杀毒软件。

如有遗漏，请各位补充！

1、服务器初始安全防护

安装服务器时，要选择绿色安全版的防护软件，以防有被入侵的可能性。对网站提供服务的服务器，软件防火墙的安全设置最高，防火墙只要开放服务器端口，其他的一律都关闭，你要访问网站时防火墙会提示您是否允许访问，在根据实际情况添加允许访问列表。这样至少给系统多一份安全。

2、修改服务器远程端口。

因为有不少不法分子经常扫描公网IP端口，如果使用默认的3389或者Linux的22端口，相对来说是不安全的，建议修改掉默认远程端口。

3、设置复杂密码。

一但服务器IP被扫描出来默认端口，非法分子就会对服务器进行暴力破解，利用第三方字典生成的密码来尝试破解服务器密码，如果您的密码足够复杂，非法分子就需要大量的时间来进行密码尝试，也许在密码未破解完成，服务器就已经进入保护模式，不允许登陆。

4、修补已知的漏洞

如果网站出现漏洞时不及时处理，网站就会出现一系列的安全隐患，这使得服务器很容易受到病毒入侵，导致网络瘫痪，所以，平时要养成良好的习惯，时刻关注是否有新的需修补的漏洞。

5、多服务器保护

一个网站可以有多个服务器，网站被攻击时，那么我们就可以选择不一样的方式进行防范，针对不同的服务器，我们应该设置不同的管理，这样即使一个服务器被攻陷，其他的服务还可以正常使用。

6、防火墙技术

现在防火墙发展已经很成熟了，防火墙可以选择安全性检验强的，检验的时间会较长，运行的过程会有很大负担。如果选择防护性低的，那么检验时间会比较短。我们在选择防护墙时，要根据网络服务器自身的特点选择合适的防火墙技术。

7、定时为数据进行备份。

定时为数据做好备份，即使服务器被破解，数据被破坏，或者系统出现故障崩溃，你只需要进行重装系统，还原数据即可，不用担心数据彻底丢失或损坏。

做好网站服务器的安全维护是一项非常重要的工作，只有做好了服务器安全工作，才能保证网站可以稳定运营。要想做好网站服务器安全维护，还要学习更多的维护技巧。

小鸟云可提供的超高防御峰值只能从基础上进行防护，一套完整的、能为用户提供长久保障的安全防护体系才是用户选择信赖的。基于此，小鸟云对于网络流量攻击除了以强大的硬件防火墙以及高度冗余的网络资源作为支撑，充分利用路由器、防火墙等硬件设备将网络有效保护起来外，同时还高频率定期扫描网络骨干节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。
在安全防护体系的人工服务环节，小鸟云安全工程师则会根据攻击信息，帮助用户溯源求证，准确找到攻击源头，并协助用户进行安全架构优化，减少安全隐患，全方位确保用户网站业务安全。同样的，在售后服务保障上，小鸟云独特的1V1专席客服服务发挥着重要作用。专席客服会实时对用户服务器情况进行监控，并在存在异常情况下主动联合724小时运维追踪异常源头，及时联系用户，真正做到主动服务，最大程度实现用户网站业务的平稳增长。
从安全防护综合水平上评估，在硬件防护峰值、安全防护体系、并设立独有的服务保障，三个环节下来，防护与服务相得益彰，防患于未然同时更有效抵御DDoS等恶意攻击，为用户提供更为稳定、安全的云服务。

应用服务代理的安全策略基于访问控制、网络地址转换等方式。应用服务代理技术是指在web服务器上或某一台单独主机上运行代理服务器软件，对网络上的信息进行监听和检测，并对访问内网的数据进行过滤，从而起到隔断内网与外网的直接通信的作用，保护内网不受破坏。在代理方式下，内部网络的数据包不能直接进入外部网络，内网用户对外网的访问变成代理对外网的访问。同样，外部网络的数据也不能直接进入内网，而是要经过代理的处理之后才能到达内部网络。所有通信都必须经应用层代理软件转发，应用层的协议会话过程必须符合代理的安全策略要求，因此在代理上就可以实现访问控制、网络地址转换(NAT)等功能。

---