windows服务器 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

原创 已于 2023-01-31 16:02:34 修改 · 8.4k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器 #windows

于 2021-04-27 15:27:48 首次发布
该内容涉及对通过网络进行管理的管理终端进行限制的措施,建议通过操作系统设置如Windows防火墙限制远程桌面的IP范围,并通过IP安全策略设定登录终端的接入地址。此外,还提倡利用IP筛选器和网络设备进行更严格的网络地址及接入方式的限制,以提升系统安全性。

评测项

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。

整改建议

建议操作系统设定终端接入方式、网络地址范围等条件限制终端登录(如windows防火墙启用。“高级设置”,打开“高级安全windows防火墙”窗口。“入站规则”,“远程桌面-用户模式(TCP-In)”,属性中选择“作用域”设置相关信息。

设置IP筛选器对登录终端的接入地址限制。 执行“gpedit.msc”,在“本地计算机策略->计算机配置->windows设置->安全设置->IP安全策略”,在本地计算机限制登录终端地址的相关策略,设置“IP筛选器列表”和“IP筛选器属性”。或网络方面对登录终端的接入方式和地址范围的限制。或通过网络设备、堡垒机或硬件防火墙对终端接入方式、网络地址范围等条件进行限制。)

整改记录

整改1

在防火墙中设置可以远程桌面的ip范围

整改2

右键“IP安全策略”,选择“创建 IP 安全策略”

等保2.0 安全计算环境 ——Windows服务器(三级系统)
weixin_54438700的博客
10-08 2万+
1.身份鉴别 A.对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度并要求定期更换。 1)核查用户是否需要输入用户名和密码才能登录 2)核查Windows默认用户名是否具有唯一性 3)选择 控制面板 ==> 管理工具 ==> 计算机管理 ==> 本地用户和组 ,核查有哪些用户,并尝试使用空口令登录。 4) 选择 控制面板 ==> 管理工具 ==> 本地安全策略 ==> 账户策略 ==> 密码策略;核查密码策略是否合理。 B.
【安全服务】windows/Linux安全基线检查|等保2.0安全技术测评指导
热门推荐
kkza的博客
08-13 1万+
一 身份鉴别 1 对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 (1)对登录用户进行身份标识和鉴别,即登录时需要账号密码 -- win+R,输入netplwiz,按下列指示勾选内容 (2)身份标识具有唯一性,不同用户之间账号不能一样 (3)身份鉴别信息具有复杂度并且定期更换 一般指的是密码,该设置密码策略,规定密码形式、长度、至少更改时间等 --计算机管理-本地用户和组-用户,关闭密码永不过期 -- 控制面板->管理工...
一项一项教你测等保2.0——Windows入侵防范
荒野求生的博客
09-27 4687
一项一项教你测等保2.0——Windows入侵防范 原创科技兴2020-09-23 18:32:55 一、前言 随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多..
等保测评师简答题摘要
天空飘来两个字
12-18 5245
网络安全等级保护简答题摘要,方便查看
建议数据库管理系统通过设定终端接入方式网络地址范围等条件限制终端登录,
qwert
04-27 2810
等保建议 参考配置:修改mysql.user表中的host字段,配置IP地址,者通过主机防火墙限制访问数据库的IP地址 修改内容1 修改mysql数据库中user表登录用户的host字段值,localhost表示只能本地访问,192.168.0.%表示只能局域网访问 修改内容2 防火墙中设置地址范围 ...
如何限制登录终端服务的地址
weixin_34323858的博客
01-14 993
当我们把终端服务开启后,可以方便管理远程远程服务器,但是,若是***也***到我们的终端服务器了呢,那后果就不堪设想了。为了维护服务器的安全,我们可以通过设置IP安全策略限制连接终端服务的IP及网段。   假设我们的终端服务器IP为192.168.0.107, 为了服务器的安全,我们只允许192.168.0.120这个IP地址连接终端。那我们该怎么做呢?...
网络技术实验:配置AP使终端设备可以接入.doc
11-01
在本实验中,我们主要探讨了如何配置接入点(Access Point, AP)以便终端设备能够通过无线局域网络(WLAN)接入,并设置了DHCP服务器以自动分配IP地址。以下是详细的知识点解释: 1. **配置AP服务模板**:首先,...
网络游戏-网络终端设定信息管理方法及信息终端装置.zip
09-20
网络终端通常指的是玩家用于接入游戏的服务设备,如个人电脑、智能手机游戏主机。这些设备需要与游戏服务器进行实时通信,处理大量的数据交换,包括游戏状态更新、用户输入响以及图形渲染等。 1. **信息管理**...
精选资源
网络系统管理-Windows Server 2019赛题知识点解析
05-30
17. **网络策略服务器**:通过NPS设置网络访问策略,控制网络接入权限,加强网络准入控制。 在实际操作中,如AD域的安装涉及主域控制器和辅助域控制器的设置,包括创建新的林、设置还原密码等。用户和组管理则通过...
企业办公网移动终端安全接入技术研究
10-17
这个系统由多个关键技术组成,包括对移动终端接入工作模式的设定和基于可信网络接入控制。 移动终端接入工作模式通常分为两种:一种是将数据和资源放在专门的移动接入服务器上,通过数据同步和交换与企业网络资源...
医院计算机网络终端安全管理策略探讨.pdf
09-27
然而,随之而来的是网络安全问题的日益凸显,如终端安全级别不一、网络分散管理困难、移动设备接入混乱、员工计算机技能参差不齐等。为了解决这些问题,医院需要制定有效的计算机网络终端安全管理策略。 1. **终端...
等保三级主机整改建议(Windows版)
m0_64546445的博客
03-15 3666
本文章针对于等级保护主机三级整改建议,仅作为参考使用。
等保测评(windows
m0_52527037的博客
04-05 1万+
2)“管理工具”-“服务器管理”-“功能”-“添加”-查看服务器功能启用情况,一些不必要的服务如Alerter、Remote Registry Service、Messenger等是否已启用;)采用校验技术密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴 别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;)采用校验技术密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
等保-安全计算环境-入侵防范-windows
weixin_44477223的博客
10-22 1620
1. 测评项目 a) 内容 遵循最小安装的原则,仅安装需要的组件和用程序 1.1 核查是否遵循最小安装原则,是否未安装非必要的组件和用程序 这一条通过输入appwiz.cpl可以看到,多余者不明白功能的用程序可以询问管理员用途。 2. 测评项目 b) 内容 关闭不需要的系统服务、默认共享和高危端口 2.1 核查是否关闭了非必要的系统服务和默认共享,是否不存在非必要的高危端口 这一项不必多说了,非必要的端口一看便知,默认共享就先看服务器管理器的server(一般默认开启),然后在cmd里面输
三级等级保护之安全计算环境
千寻的博客
10-27 2208
文章目录身份鉴别访问控制安全审计入侵防范可信验证数据完整性数据保密性数据备份恢复 身份鉴别 a)对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; b)具有登录失败处理功能,配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; c)当进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听; d)采用口令、密码技术、生物技术等两种两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少使用密码技术来实现。 访问控制 a)
Linux主机测评
weixin_46299490的博客
11-27 2397
linux主机测评
基于等级保护梳理服务器安全合规基线
Galaxy_0的博客
11-08 767
基于等级保护的了解及安全合规基线的梳理,相信我们对于服务器如何进一步配置有了方向,但是合规基线的配置并不等于就可以在生产环境中直接使用,我们还需要结合经验对服务器的其他参数进行初始化配置优化,如内核、时间同步、DNS等,这样才能真正初始化一台标准化配置的服务器。对于批量初始化标准化配置,我们可以借助于Ansible Playbook实现安全合规和初始化配置的编排,最终进行标注准化交付。
windows2012通过本地安全策略限制远程登录的IP地址
weixin_51928617的博客
01-17 6671
win+r 打开运行 输入gpedit.msc 打开组策略 依次选择 右键空白处选择创建IP安全策略 点击下一步 输入名称,点击下一步 不需要勾选激活默认响规则(仅限于Windows的早期版本),点击下一步 默认选择编辑属性,点击完成 弹出的窗口取消选择“使用添加向导” ,点击添加 弹出的窗口取消选择“使用添加向导” ,点击添加(名称可自拟) 源地址选择“任何IP地址”,目的地址选择“我的IP地址”,取消勾选镜像。点击上方协议。 ...
openguass建议系统设定终端接入方式网络地址范围等条件限制终端登录。
最新发布
10-20
<think>我们正在讨论openGauss系统如何设定终端接入方式网络地址范围等条件来限制终端登录。根据用户的问题,这涉及到网络访问控制和客户端认证配置。 在openGauss中,限制终端登录主要通过配置pg_hba.conf文件实现。该文件用于管理客户端认证,规定哪些主机允许连接到数据库服务器,以及使用何种认证方法。 引用[1]提到:在配置“pg_hba.conf”文件时,请依据通讯需求按照格式内容从上至下配置记录,优先级高的需求需要配置在前面。openGauss和扩容配置的IP优先级最高,用户手动配置的IP请放在这二者之后,如果已经进行的客户配置和扩容节点的IP在同一网段,请在扩容前删除,扩容成功后再进行配置。[^1] 因此,我们可以按照以下步骤进行配置: 1. 定位pg_hba.conf文件:该文件通常位于数据库数据目录(data)下。 2. 编辑pg_hba.conf:按照优先级从高到低添加规则。 3. 规则格式:每行规则定义一种连接方式,包括连接类型、数据库名、用户名、客户端IP地址范围、认证方法等。 规则格式如下: ``` # TYPE DATABASE USER ADDRESS METHOD local all all trust host all all 127.0.0.1/32 trust host all all 192.168.1.0/24 md5 host all all 0.0.0.0/0 reject ``` 解释: - TYPE:连接类型,local表示Unix域套接字,host表示TCP/IP连接。 - DATABASE:数据库名,all表示所有数据库。 - USER:用户名,all表示所有用户。 - ADDRESS:客户端IP地址范围,使用CIDR表示法。 - METHOD:认证方法,如trust(无条件允许)、md5(密码认证)、reject(拒绝)等。 例如,要限制只允许192.168.1.0/24网段的主机通过密码认证方式登录,并拒绝其他所有IP,可以这样配置: ``` host all all 192.168.1.0/24 md5 host all all 0.0.0.0/0 reject ``` 注意:规则是顺序匹配的,所以优先级高的规则(如特定的IP允许)要放在前面,后面再放置拒绝所有。 另外,引用[4]提到:目标实例必须与弹性云服务器在同一个虚拟私有云和子网内才能访问。弹性云服务器必须处于目标实例所属安全组允许访问的范围内。[^4] 这提示我们,除了数据库自身的pg_hba.conf配置,还需要考虑云环境中的安全组设置。 因此,在云环境中,可能还需要在云平台的安全组中设置入站规则,只允许特定IP访问数据库的端口(默认5432)。 配置步骤总结: 1. 使用数据库管理员用户(如omm)登录数据库所在服务器。 2. 进入数据目录,编辑pg_hba.conf文件。 3. 按照需求添加规则,注意规则顺序。 4. 保存文件后,无需重启数据库,使用以下命令重新加载配置: ``` gs_ctl reload -D $GAUSSDATA ``` 其中$GAUSSDATA是数据目录路径。 注意事项: - 在配置过程中,务必保留本地连接(如127.0.0.1)至少保留一条可用的管理连接,以免将自己锁在数据库外。 - 对于生产环境,建议先进行测试。 下面是一个配置示例,假设我们只允许192.168.1.100~192.168.1.200这个IP段的主机访问,并且要求密码认证,同时拒绝其他所有IP: ``` # 允许特定IP段 host all all 192.168.1.100/32 md5 host all all 192.168.1.0/24 md5 # 注意这里192.168.1.0/24包含了100~200,但上面已经有一条更具体的规则,不过这里我们只需要一个网段规则即可,所以可以合并为一条 但是注意:192.168.1.0/24表示192.168.1.0到192.168.1.255,但我们只需要100~200,我们可以用掩码来精确范围?实际上,CIDR不支持不连续的地址段。所以如果我们要精确100~200,可能需要写多条,者用多个CIDR块(但这样可能不连续,只能拆成多个CIDR)。者,如果这个范围是连续的,我们可以用192.168.1.100/25?但实际100~200并不在同一个25网段内。因此,如果IP不连续,建议分开写。 另一种做法:先允许192.168.1.0/24,然后在数据库内部再通过其他方式限制(比如防火墙),者在pg_hba.conf中只允许连续的CIDR块。 所以,如果必须精确100~200,我们可以这样写: host all all 192.168.1.100/32 md5 host all all 192.168.1.101/32 md5 ... # 这样写显然不可行 因此,我们只能通过一个更大的CIDR块来覆盖,然后在防火墙层面再做精确控制。者,如果这些IP不连续,我们可能需要写多条CIDR规则(每个规则代表一个子网,但要求这些IP属于不同的子网)。 所以,在pg_hba.conf中,通常我们按网段配置,如果需要精确到单个IP,则每个IP写一条。 但是,如果我们要限制的IP地址数量较多且不连续,建议结合防火墙(iptables)安全组来实现精确控制,而在pg_hba.conf中只配置一个较大的允许范围(比如整个内网)并拒绝其他,然后在防火墙层面限制具体IP。 因此,在pg_hba.conf中,我们配置: ``` # 允许内网网段(假设内网是192.168.1.0/24)的所有IP,使用md5认证 host all all 192.168.1.0/24 md5 # 拒绝其他所有IP host all all 0.0.0.0/0 reject ``` 然后,在操作系统的防火墙中,只允许192.168.1.100~192.168.1.200的IP访问5432端口。 这样,即使pg_hba.conf允许了整个内网,但防火墙会进一步过滤。 最后,引用[5]提到:初始化数据库实例,初始化数据库目录在当前目录下data,设置节点名称和初始化用户密码。[^5] 说明在初始化时也可以指定一些参数,但关于网络访问控制,主要在pg_hba.conf中配置。 总结:限制终端登录主要依靠配置pg_hba.conf文件,结合防火墙云安全组,实现对客户端IP和认证方式的控制。 生成相关问题: 1. 如何验证pg_hba.conf配置是否生效? 2. 在云环境中,如何配置安全组规则以配合openGauss的访问控制? 3. 除了IP限制,openGauss还支持哪些客户端认证方法? 4. 如何配置SSL加密连接以提高安全性? </think>### openGauss终端登录限制配置指南 openGauss通过`pg_hba.conf`文件实现终端接入控制和网络地址范围限制,以下是配置方法: #### 一、核心配置文件定位 ```bash $ ls $GAUSSDATA/pg_hba.conf # 默认路径在数据目录下 ``` #### 二、接入控制配置语法 每条规则格式如下: ``` # TYPE DATABASE USER ADDRESS METHOD host all dbuser 192.168.1.0/24 md5 ``` - **TYPE**:连接类型(`local`=本地socket, `host`=TCP/IP) - **ADDRESS**:客户端IP范围(CIDR格式) - **METHOD**:认证方式(`reject`=拒绝, `md5`=密码认证)[^1] #### 三、配置终端限制步骤 1. **备份配置文件** ```bash $ cp $GAUSSDATA/pg_hba.conf $GAUSSDATA/pg_hba.conf.bak ``` 2. **编辑配置文件** ```bash $ vi $GAUSSDATA/pg_hba.conf ``` 3. **添加访问规则**(按优先级从上到下排序) ```ini # 示例:仅允许特定网段访问 host all all 10.10.0.0/16 md5 # 允许10.10网段 host all all 172.16.1.100/32 md5 # 允许特定IP host all all 0.0.0.0/0 reject # 拒绝其他所有IP # 示例:限制用户登录方式 local gaussdb omm peer # 本地操作系统认证 hostssl finance dbadmin 192.168.5.0/24 cert # 强制SSL证书认证 ``` 4. **生效配置**(无需重启) ```bash $ gs_ctl reload -D $GAUSSDATA ``` #### 四、网络范围限制详解 | 地址格式 | 说明 | 示例 | |-----------------|-----------------------|---------------------| | `192.168.1.0/24` | 整个C类地址段 | 192.168.1.1-254 | | `10.10.1.100/32` | 单个IP地址 | 仅10.10.1.100 | | `::1/128` | IPv6本地地址 | IPv6本地主机 | | `0.0.0.0/0` | 所有IPv4地址 | 整个互联网 | #### 五、接入方式控制策略 1. **加密连接强制** ```ini hostnossl all all 0.0.0.0/0 reject # 拒绝非SSL连接 hostssl all all 0.0.0.0/0 md5 # 仅允许SSL加密连接 ``` 2. **操作系统用户绑定** ```ini local all all peer map=adminmap # 绑定系统用户 ``` 在`pg_ident.conf`添加映射: ```ini adminmap omm gaussadmin adminmap root dba ``` 3. **时段限制**(需结合crontab) ```bash # 每天22:00-6:00禁用外部访问 0 22 * * * gs_guc set -D $GAUSSDATA -c "listen_addresses='localhost'" 0 6 * * * gs_guc set -D $GAUSSDATA -c "listen_addresses='*'" ``` #### 六、配置验证方法 1. **规则测试** ```sql SELECT * FROM pg_hba_file_rules; ``` 2. **连接模拟测试** ```bash $ gsql -h 192.168.1.50 -U testuser -d gaussdb # 返回"FATAL: no pg_hba.conf entry for host"表示规则生效 ``` 3. **实时监控** ```sql SELECT * FROM pg_stat_activity WHERE client_addr NOT IN ('10.10.%','192.168.1.100'); ``` #### 七、云环境特殊配置 在云服务器场景需同步配置安全组[^4]: ```mermaid graph LR A[客户端IP] --> B{云安全组} B -->|放行规则| C[openGauss实例] C --> D[pg_hba.conf] D --> E[访问授权] ``` --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码视野

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值