首页
社区
课程
招聘
[转帖]服务器维护安全策略方案(1)
发表于: 2013-5-8 00:45 1122

[转帖]服务器维护安全策略方案(1)

2013-5-8 00:45
1122
我们所用的服务器大多是windows平台的windows server 2000与windows server 2003 windows ,server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003与2000默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003与 win2000进行全面安全配置。安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为管理员,要结合我们真实使用的情况与所应用的程序来设置相应安全的策略,确保服务器永久安全运行。

★以下是对我们现在服务器情况所做出的一些安全策略:

一、windows系统帐号

1.将administrator改名,如改为别名,如:boco_ofm;或者取中文名(这样可以为黑客攻击增加一层障碍)

2.将guest改名为administrator作为陷阱帐户,并且设置一个个高强度的密码,或直接禁用;(有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。)

3.除了管理员帐户、以及服务必须要用到的用户外,禁用或删除其他一切用户。

(1)网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多 一份被攻破的危险。

(2)除过Administrator外,有必要再增加一个属于管理员组的帐号;(两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐 号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。)

(3)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同 时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如boco)、熟悉的键盘顺 序(如qwert)、熟悉的数字(如2008)等。(口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,通过在网络上查资料显示,仅字母加数字的5位口令在几分钟内就会被攻破)

二、密码与用户策略

1.开启密码策略

注意应用密码策略,启用密码复杂性要求,设置密码长度最小值为8位 ,设置强制密码历史为5次,时间为31天。

2.开启用户策略

使用用户策略,分别设置复位用户锁定计数器时间为30分钟,用户锁定时间为30分钟,用户锁定阈值为3次。

三、Windows防火墙

Windows 2000默认不带防火墙,需要我们自己安装一个安全的软件防火墙;

1.开启前要先看看3389端口有没有加到例外里去,因为我们的服务器都放在机房,维护人员一般都是在远程维护,没有的话勾上“远程桌面”,然后再开启。

2.在例外中加入80、1433、21端口,总之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墙“高级”本地连接“设置”服务,勾上所要服务,如:远程桌面、http、ftp、smtp)。

3.允许ping服务器:windows防火墙—高级—本地连接“设置”ICMP,勾上第一个:允许传入响应请求。

4.在防火墙策略中在添加一个允许远程桌面的的IP地址通过。

四、本地策略

1.本地策略——>安全选项

交互式登陆:不显示上次的用户名 启用

网络访问:不允许SAM帐户和共享的匿名枚举  启用

网络访问:不允许为网络身份验证储存凭证 启用

网络访问:可匿名访问的共享 全部删除

网络访问:可匿名访问的命名管道 全部删除

网络访问:可远程访问的注册表路径全部删除

网络访问:可远程访问的注册表路径和子路径全部删除

网络访问:限制匿名访问命名管道和共享

2.本地策略——>审核策略

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问   失败

审核过程跟踪 无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

3.本地策略——>用户权限分配

关闭系统:只有Administrators组、其它全部删除。

从网络访问些计算机:只有系统管理员与指定帐号。

4.使用NTFS格式分区

把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。

5.设置屏幕保护密码

很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。

6.把共享文件的权限从”everyone”组改成“授权用户”

“everyone” 在win2000与win3003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的。

7.保障备份盘的安全

一旦系统资料被破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份放在安全的地方。千万别把资料备份在同一台服务器上,我们在3001房间已经部署了备份服务器。

五、关闭无用的服务

1.我们一般关闭如下服务:

Computer Browser (浏览器更新)

Help and Support (计算机帮助)

Messenger (客户端与服务器之间的netsend和alerter服务消息)

Print Spooler (内存中便迟打印)

Remote Registry (远程用户修改注册表)

TCP/IP NetBIOS Helper (netbios名称解析)

Workstation (创建和维护远程计算机的客户端网络连接)

Telnet (允许远程用户登录到些计算机)

把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

2.在"网络连接"里,把不需要的协议和服务都删掉,只保留基本的Internet协议(TCP/IP),在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。

3.禁用空会话

检查是否禁用了空会话,避免与服务器创建匿名(不进行身份验证的)会话。要进行检查,请运行 Regedt32.exe,确认“RestrictAnonymous”项已设置为 1,如下所示。

HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

4.要审查共享和相关的权限,运行“计算机管理”MMC 管理单元,然后选择“共享文件夹”下的“共享”。检查所有共享是否是需要的共享。删除所有不必要的共享。

删除默认共享bat脚本:

Net share /delete C$

Net share /delete D$

Net share /delete E$

Net share /delete IPC$

Net share /delete ADMIN$

或者通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可

5.不要在服务器上安装与应用程序无关的应用。

6. IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,微软的IIS默认安装的配置是重点,我们现在用IIS服务的就公司一些网站。

首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;

其次,IIS安装时默认虚拟目录一概删除,虽然已经把Inetpub从系统盘挪出来了,但是还是小心,如果需要什么权限的目录可以自己慢慢建,需要什么权限开什么.(注意写权限和执行程序的权限)

六、修改端口号

1. 更改远程桌面端口

依次展开

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为想用的端口号.使用十进制(例 40228 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

WINSTATIONS/RDP-TCP/

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 40228 )

注意:在WINDOWS2003自带的防火墙给+上40228端口

修改完毕.重新启动服务器.设置生效.

2.一般禁用以下端口

135 138 139 443 445 4000 4899 7626

3.更改TTL值

黑客可以根据ping回的TTL值来大致判断你的操作系统,如:

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128( xp);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

更改端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,悟道一般的黑客侵入。

★ 以下是服务器日常维护策略:

1. 系统帐号密码一个月更换一次满足复杂性;

2. 每星期清理一次系统日志文件,并查看做记录;

3. 每半个月全面杀毒一次,杀毒软件打开自动更新并半个月手动更新一次;

4. 系统更新设置为自动,并半个月检查更新一次;

5. 服务器硬件状况每月检查一次,CPU、内存、硬盘使用率每月做一次统计;

6. 安装补丁、安装杀毒软件。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//