-
-
[转帖]服务器维护安全策略方案(1)
-
发表于: 2013-5-8 00:45 1122
-
我们所用的服务器大多是windows平台的windows server 2000与windows server 2003 windows ,server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003与2000默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003与 win2000进行全面安全配置。安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为管理员,要结合我们真实使用的情况与所应用的程序来设置相应安全的策略,确保服务器永久安全运行。
★以下是对我们现在服务器情况所做出的一些安全策略:
一、windows系统帐号
1.将administrator改名,如改为别名,如:boco_ofm;或者取中文名(这样可以为黑客攻击增加一层障碍)
2.将guest改名为administrator作为陷阱帐户,并且设置一个个高强度的密码,或直接禁用;(有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。)
3.除了管理员帐户、以及服务必须要用到的用户外,禁用或删除其他一切用户。
(1)网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多 一份被攻破的危险。
(2)除过Administrator外,有必要再增加一个属于管理员组的帐号;(两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐 号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。)
(3)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同 时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如boco)、熟悉的键盘顺 序(如qwert)、熟悉的数字(如2008)等。(口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,通过在网络上查资料显示,仅字母加数字的5位口令在几分钟内就会被攻破)
二、密码与用户策略
1.开启密码策略
注意应用密码策略,启用密码复杂性要求,设置密码长度最小值为8位 ,设置强制密码历史为5次,时间为31天。
2.开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为30分钟,用户锁定时间为30分钟,用户锁定阈值为3次。
三、Windows防火墙
Windows 2000默认不带防火墙,需要我们自己安装一个安全的软件防火墙;
1.开启前要先看看3389端口有没有加到例外里去,因为我们的服务器都放在机房,维护人员一般都是在远程维护,没有的话勾上“远程桌面”,然后再开启。
2.在例外中加入80、1433、21端口,总之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墙“高级”本地连接“设置”服务,勾上所要服务,如:远程桌面、http、ftp、smtp)。
3.允许ping服务器:windows防火墙—高级—本地连接“设置”ICMP,勾上第一个:允许传入响应请求。
4.在防火墙策略中在添加一个允许远程桌面的的IP地址通过。
四、本地策略
1.本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
网络访问:限制匿名访问命名管道和共享
2.本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
3.本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
从网络访问些计算机:只有系统管理员与指定帐号。
4.使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。
5.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。
6.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000与win3003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的。
7.保障备份盘的安全
一旦系统资料被破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份放在安全的地方。千万别把资料备份在同一台服务器上,我们在3001房间已经部署了备份服务器。
五、关闭无用的服务
1.我们一般关闭如下服务:
Computer Browser (浏览器更新)
Help and Support (计算机帮助)
Messenger (客户端与服务器之间的netsend和alerter服务消息)
Print Spooler (内存中便迟打印)
Remote Registry (远程用户修改注册表)
TCP/IP NetBIOS Helper (netbios名称解析)
Workstation (创建和维护远程计算机的客户端网络连接)
Telnet (允许远程用户登录到些计算机)
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
2.在"网络连接"里,把不需要的协议和服务都删掉,只保留基本的Internet协议(TCP/IP),在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
3.禁用空会话
检查是否禁用了空会话,避免与服务器创建匿名(不进行身份验证的)会话。要进行检查,请运行 Regedt32.exe,确认“RestrictAnonymous”项已设置为 1,如下所示。
HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1
4.要审查共享和相关的权限,运行“计算机管理”MMC 管理单元,然后选择“共享文件夹”下的“共享”。检查所有共享是否是需要的共享。删除所有不必要的共享。
删除默认共享bat脚本:
Net share /delete C$
Net share /delete D$
Net share /delete E$
Net share /delete IPC$
Net share /delete ADMIN$
或者通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
5.不要在服务器上安装与应用程序无关的应用。
6. IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,微软的IIS默认安装的配置是重点,我们现在用IIS服务的就公司一些网站。
首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;
其次,IIS安装时默认虚拟目录一概删除,虽然已经把Inetpub从系统盘挪出来了,但是还是小心,如果需要什么权限的目录可以自己慢慢建,需要什么权限开什么.(注意写权限和执行程序的权限)
六、修改端口号
1. 更改远程桌面端口
依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为想用的端口号.使用十进制(例 40228 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 40228 )
注意:在WINDOWS2003自带的防火墙给+上40228端口
修改完毕.重新启动服务器.设置生效.
2.一般禁用以下端口
135 138 139 443 445 4000 4899 7626
3.更改TTL值
黑客可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128( xp);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
更改端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,悟道一般的黑客侵入。
★ 以下是服务器日常维护策略:
1. 系统帐号密码一个月更换一次满足复杂性;
2. 每星期清理一次系统日志文件,并查看做记录;
3. 每半个月全面杀毒一次,杀毒软件打开自动更新并半个月手动更新一次;
4. 系统更新设置为自动,并半个月检查更新一次;
5. 服务器硬件状况每月检查一次,CPU、内存、硬盘使用率每月做一次统计;
6. 安装补丁、安装杀毒软件。
★以下是对我们现在服务器情况所做出的一些安全策略:
一、windows系统帐号
1.将administrator改名,如改为别名,如:boco_ofm;或者取中文名(这样可以为黑客攻击增加一层障碍)
2.将guest改名为administrator作为陷阱帐户,并且设置一个个高强度的密码,或直接禁用;(有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。)
3.除了管理员帐户、以及服务必须要用到的用户外,禁用或删除其他一切用户。
(1)网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多 一份被攻破的危险。
(2)除过Administrator外,有必要再增加一个属于管理员组的帐号;(两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐 号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。)
(3)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同 时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如boco)、熟悉的键盘顺 序(如qwert)、熟悉的数字(如2008)等。(口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,通过在网络上查资料显示,仅字母加数字的5位口令在几分钟内就会被攻破)
二、密码与用户策略
1.开启密码策略
注意应用密码策略,启用密码复杂性要求,设置密码长度最小值为8位 ,设置强制密码历史为5次,时间为31天。
2.开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为30分钟,用户锁定时间为30分钟,用户锁定阈值为3次。
三、Windows防火墙
Windows 2000默认不带防火墙,需要我们自己安装一个安全的软件防火墙;
1.开启前要先看看3389端口有没有加到例外里去,因为我们的服务器都放在机房,维护人员一般都是在远程维护,没有的话勾上“远程桌面”,然后再开启。
2.在例外中加入80、1433、21端口,总之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墙“高级”本地连接“设置”服务,勾上所要服务,如:远程桌面、http、ftp、smtp)。
3.允许ping服务器:windows防火墙—高级—本地连接“设置”ICMP,勾上第一个:允许传入响应请求。
4.在防火墙策略中在添加一个允许远程桌面的的IP地址通过。
四、本地策略
1.本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
网络访问:限制匿名访问命名管道和共享
2.本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
3.本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
从网络访问些计算机:只有系统管理员与指定帐号。
4.使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。
5.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。
6.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000与win3003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的。
7.保障备份盘的安全
一旦系统资料被破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份放在安全的地方。千万别把资料备份在同一台服务器上,我们在3001房间已经部署了备份服务器。
五、关闭无用的服务
1.我们一般关闭如下服务:
Computer Browser (浏览器更新)
Help and Support (计算机帮助)
Messenger (客户端与服务器之间的netsend和alerter服务消息)
Print Spooler (内存中便迟打印)
Remote Registry (远程用户修改注册表)
TCP/IP NetBIOS Helper (netbios名称解析)
Workstation (创建和维护远程计算机的客户端网络连接)
Telnet (允许远程用户登录到些计算机)
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
2.在"网络连接"里,把不需要的协议和服务都删掉,只保留基本的Internet协议(TCP/IP),在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
3.禁用空会话
检查是否禁用了空会话,避免与服务器创建匿名(不进行身份验证的)会话。要进行检查,请运行 Regedt32.exe,确认“RestrictAnonymous”项已设置为 1,如下所示。
HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1
4.要审查共享和相关的权限,运行“计算机管理”MMC 管理单元,然后选择“共享文件夹”下的“共享”。检查所有共享是否是需要的共享。删除所有不必要的共享。
删除默认共享bat脚本:
Net share /delete C$
Net share /delete D$
Net share /delete E$
Net share /delete IPC$
Net share /delete ADMIN$
或者通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
5.不要在服务器上安装与应用程序无关的应用。
6. IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,微软的IIS默认安装的配置是重点,我们现在用IIS服务的就公司一些网站。
首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;
其次,IIS安装时默认虚拟目录一概删除,虽然已经把Inetpub从系统盘挪出来了,但是还是小心,如果需要什么权限的目录可以自己慢慢建,需要什么权限开什么.(注意写权限和执行程序的权限)
六、修改端口号
1. 更改远程桌面端口
依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为想用的端口号.使用十进制(例 40228 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 40228 )
注意:在WINDOWS2003自带的防火墙给+上40228端口
修改完毕.重新启动服务器.设置生效.
2.一般禁用以下端口
135 138 139 443 445 4000 4899 7626
3.更改TTL值
黑客可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128( xp);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
更改端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,悟道一般的黑客侵入。
★ 以下是服务器日常维护策略:
1. 系统帐号密码一个月更换一次满足复杂性;
2. 每星期清理一次系统日志文件,并查看做记录;
3. 每半个月全面杀毒一次,杀毒软件打开自动更新并半个月手动更新一次;
4. 系统更新设置为自动,并半个月检查更新一次;
5. 服务器硬件状况每月检查一次,CPU、内存、硬盘使用率每月做一次统计;
6. 安装补丁、安装杀毒软件。
赞赏
他的文章
看原图
赞赏
雪币:
留言: