《[精选]服务器安全防范大全》由会员分享,可在线阅读,更多相关《[精选]服务器安全防范大全(25页珍藏版)》请在金锄头文库上搜索。
1、服务器安全防范大全一、安装 Win 200x 安全概览1.硬盘分区的文件系统选择使用多分区分别管理不同内容对提供服务的机器,可按如下设置分区:分区1:系统分区,安装系统和重要日志文件。分区2:提供给IIS使用。分区3:提供给FTP使用。分区4:放置其他一些资料文件。(以上为示例,可灵活把握)采用NTFS文件系统所有磁盘分区必须采用 NTFS 文件系统,而不要使用 FAT32!特别注意:一定要在系统安装时,通过安装程序将系统盘格式化为NTFS,而不要先以 FAT32 格式安装系统,然后再用 Convert 转换!因为转换后的磁盘根目录的默认权限过高!使用文件加密系统Windows2000 强大的
2、加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看注意:建议加密temp文件夹!因为一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。2.组件的定制不要按Win 2000的默认安装组件,根据安全原则“最少的服务+最小的权限=最大的安全”,只选择确实需要的服务安装即可。典型Web服务器需要的最小组件是:公用文件、Inter
3、net 服务管理器、WWW服务器。3.接入网络时间在安装完成Win 2000X作系统时,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。4建议只安装一种操作系统因为安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。5.卸载无用的组件模块将Winntinf 下
4、的sysoc.inf 文件中的所有hide用替换法删除;然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。二、基本系统设置1.安装各种补丁安装Service Pack 和最新的;安装SQL和IIS系列补丁。如果从本地备份中安装,则随后必须立即通过在线更新功能查验是否有遗漏的补丁没有安装。建议启用系统自动更新功能,并设置为有更新时自动下载安装。注意:建议记得安装最新的(为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,且一般不以补丁形式发放的,比较容易漏更新。为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。注意:在安装最新版本前最好先做一下测
5、试,因为有的数据访问方式或许在新版本中不再被支持,这种情况下可以通过修改注册表来档漏洞,详见漏洞测试文档。2.分区内容规划1)操作系统、Web主目录、日志分别安装在不同的分区。2)关闭任何分区的自动运行特性:可以使用等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。3.协议管理卸载不需要的协议,比如IPX/SPX, NetBIOS;在连接属性对话框的TCP)/IP属性的高级选项卡中,选择“WINS”,选定“禁用TCP/IP上的NETBIOS”。4.关闭所有以下以,具体还要看服务器上运行的应用来确定!要特别注意各服务之间的储存关系,个性为当可能导致某些功能的异常,甚至服务器
6、不能工作!建议每次只个性两三个项目,重启测试无误后再设置其他项目:* Alerter (disable)* ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Net
7、work DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disa
8、ble)* *Telephone Service (disable)*在必要时禁止如下服务:* SNMP service (optional)* SNMP trap (optional)* UPS (optional设置如下服务为自动启动:* Eventlog ( required )* NT LM Security Provider (required)* RPC service (required)* WWW (required)* Workstation (leave service on: will be disabled later in the document* MSDTC (r
9、equired)* Protected Storage (required)5.删除 OS/2 和 POSIX 子系统:删除如下目录的任何键:HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2 Subsystem for NT删除如下的键:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironmentOs2LibPath删除如下的键:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsO
10、ptionalHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosixHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2删除如下目录:c:winntsystem32os2 但会出现文件保护的提示,建议不删除,修改注册表就可以了6.和密码策略1. 所有帐号权限需严格控制,轻易不要给帐号以特殊权限;将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循这一原则(说明:这样可以
11、为黑客攻击增加一层障碍)。2. 除Administrator外,有必要再增加一个属于管理员组的帐号(说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有有机会重新在短期内取得控制权)。3. 将Guest帐号禁用,并将它从Guest组删掉(说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组)。4. 给所有用户帐号一个复杂的口令,长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如200
12、0)等(说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了)。5. 口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令)(说明:在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕)。6. 账户安全管理通过本地安全策略中的账户策略: 1)密码唯一性:记录上次的 6 个密码 2) 最短密码期限:2 3) 密码最长期限:42 4) 最短密码长度:8 5) 密码复杂化(passfilt
13、.dll):启用 6) 用户必须登录方能更改密码:启用 7) 帐号失败登录锁定的门限:6 8)锁定后重新启用的时间间隔:720分钟7. 本地安全策略:设置“本地安全策略本地策略选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举和共享”。在安全选项中,不显示上次登录用户名、重命名管理员账号名称(某些情况下可能导致个别程序运行异常!);在用户权力指派中,限制更改系统时间、关闭系统的权力仅管理员。7.设置文件和目录权限将C:winnt, C:winntconfig, C:winntsystem32, C:winntsystem等目录的访问权限做限制,限制everyone
14、的写权限,限制users组的读写权限;将各分区的根目录的everyone从权限列表中删除!然后分别添加Administrators、PowerUsers、Users、IUSR_*以不同的权限。不要给Guests任何权限。运行Sfc /enable 启动文件保护机制。8.注册表一些条目的修改1)去除logon对话框中的shutdown按钮 /HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem 中 ShutdownWithoutLogon REG_SZ 值设为02)去除logon信息的cashing功能 / 什么是cashing功能?将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon 中CachedLogonsCount REG_SZ 值设为03)隐藏上次登陆的用户名 将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon 中DontDisplayLastUserName REG_SZ 值设为14
