服务器安全防范大全.docx

服务器安全防范大全服务器安全防范大全一、安装Win200x安全概览1.硬盘分区的文件系统选择使用多分区分别管理不一致内容对提供服务的机器，可按如下设置分区：分区1：系统分区，安装系统与重要日志文件。分区2：提供给HS使用。分区3：提供给FTP使用。分区4：放置其他一些资料文件。(以上为示例，可灵活把握)使用NTFS文件系统所有磁盘分区务必使用NTFS文件系统，而不要使用FAT32!特别注意：一定要在系统安装时，通过安装程序将系统盘格式化为NTFS,而不要先以FAT32格式安装系统，然后再用Convert转换！由于转换后的磁盘根目录的默认权限过高！使用文件加密系统Windows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样能够防止别人把你的硬盘挂到别的机渊上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。有关EFS的具体信息能够查看注意：建议加密IemP文件夹！由于一些应用程序在安装与升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或者关闭的时候，它们并不可能自己清除Iemp文件夹的内容。因此，给IemP文件夹加密能够给你的文件多一层保护。2 .组件的定制不要按Win2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。典型Web服务器需要的最小组件是：公用文件、Intemet服务管理器、WWW服务器。3 .接入网络时间在安装完成Win20(M)X作系统时，不要立即把服务器接入网络，由于这时的服务器还没有打上各类补丁，存在各类漏洞，非常容易感染病毒与被入侵。补丁的安装应该在所有应用程序安装完之后，由于补丁程序往往要替换或者修改某些系统文件，假如先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IlS的HOtFiX要求每次更换IIS的配置时都需要重新安装。4 .建议只安装一种操作系统由于安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统(或者者他熟悉的操作系统)，继而进行破坏。5 .卸载无用的组件模块将WWinntWinf下的SySoC.inf文件中的所有hi加用替换法删除：然后在操纵面板的添加删除程序中就能够卸载所有不需要的组件。二、基本系统设置1 .安装各类补丁安装ServicePack与最新的；安装SQL与IIS系列补丁。假如从本地备份中安装，则随后务必立即通过在线更新功能查验是否有遗漏的补丁没有安装。建议启用系统自动更新功能，并设置为有更新时自动下载安装。注意：建议记得安装最新的(为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，且通常不以补丁形式发放的，比较容易漏更新。为防止往常版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，由于有的数据访问方式或者许在新版本中不再被支持，这种情况下能够通过修改注册表来档漏洞，详见漏洞测试文档。2 .分区内容规划D操作系统、Web主目录、日志分别安装在不一致的分区。2)关闭任何分区的自动运行特性：能够使用等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。3 .协议管理卸载不需要的协议，比如IPXSPX,NetBIOS；在连接属性对话框的TCP)/IP属性的高级选项卡中,选择“WINS”,选定“禁用TCP/IP上的NETBlOS”。4.关闭所有下列以，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的储存关系，个性为当可能导致某些功能的特殊，甚至服务器不能工作！建议每次只个性两三个项目，重启测试无误后再设置其他项目：* Alerter(disable)* ClipBookServer(disable)* ComputerBrowser(disable)* DHCPClient(disable)* DirectoryReplicator(disable)* FTPpublishingservice(disable)* 1.icenseLoggingService(disable)* Messenger(disable)* Netlogon(disable)* NetworkDDE(disable)* NetworkDDEDSDM(disable)* NetworkMonitor(disable)* *PlugandPlay(disableafterallhardwareconfiguration)* RemoteAccessServer(disable)* RemoteProcedureCall(RPC)Iocater(disable)* Schedule(disable)* Server(disable)* SimpleServices(disable)* Spooler(disable)* TCP/IPNetbiosHelper(disable)* *TelephoneService(disable)*在必要时禁止如下服务：* SNMPservice(optional)* SNMPtrap(optional)* UPS(optional设置如下服务为自动启动：* Eventlog(required)* NTLMSecurityProvider(required)* RPCservice(required)* WWW(required)* Workstation(leaveserviceon:willbedisabledlaterinthedocument.* MSDTC(required)* ProtectedStorage(required)5,删除OS/2与POSIX子系统：删除如下目录的任何键：HKEY_LoCAL-MachineWSOFTWAREMicrosoftOS2SubsystemforNT删除如下的键：HKEY_LOCAL_MACHINESYSTEMCurrenlControlSetControlSessionManagerEnvironmentOs2LibPalh删除如下的键：HKEY_LOCAL_MACHINESYSTEMCurrenlControlSetConlrolSessionManagerSubSystemsOptionalHKEY_LOCAL_MACHINESYSTEMCurrentControlSetConlrolSessionManagerSubSystemsPosixHKEY_LOCAL_MACHINESYSTEMCurrenlControlSetConlrolSessionManagerSubSystems0s2删除如下目录：c:winntsystem32os2但会出现文件保护的提示，建议不删除，修改注册表就能够了6,与密码策略1 .所有帐号权限需严格操纵，轻易不要给帐号以特殊权限；将AdnliniStrator重命名，改为一个不易猜的名字。其他通常帐号也应尊循这一原则（说明：这样能够为黑客攻击增加一层障碍）。2 .除AdminiStrator外，有必要再增加一个属于管理员组的帐号（说明：两个管理员组的帐号，一方面防止管理员一旦不记得一个帐号的口令还有一个备用帐号；另方面,一旦黑客攻破一个帐号并更换口令,我们还有有机会重新在短期内取得操纵权）。3 .将GUeSt帐号禁用，并将它从GUeSt组删掉（说明：有的黑客工具正是利用了guest的弱点，能够将帐号从通常用户提升到管理员组）。4 .给所有用户帐号一个复杂的口令，长度最少在8位以上，且务必同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等（说明：口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了）。5 .口令务必定期更换（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，假如在日志审核中发现某个帐号被连续尝试，则务必立刻更换此帐号（包含用户名与口令）（说明：在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样能够防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕）。6 .账户安全管理通过本地安全策略中的账户策略：1）密码唯一性：记录上次的6个密码2）最短密码期限：23）密码最长期限：424）最短密码长度：85）密码及杂化（PaSSfm.川）：启用6）用户务必登录方能更换密码：启用7）帐号失败登录锁定的门限：68）锁定后重新启用的时间间隔：72（）分钟7 .本地安全策略：设置“本地安全策略一本地策略一选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举与共享”。在安全选项中，不显示上次登录用户名、重命名管理员账号名称（某些情况下可能导致个别程序运行特殊！）：在用户权力指派中，限制更换系统时间、关闭系统的权力仅管理员。7 .设文件与目录权限将CrWwinnl,CiWwinntWconfig,CAwinntsystem32,CrWwinntWsystem等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限；将各分区的根目录的everyone从权限列表中删除!然后分别添加AdminiSllators、PowerUsers>USers、IUSR_*以不一致的权限。不要给GUeStS任何权限。运行SfC/enable启动文件保护机制。8 .注册表一些条目的修改1）去除logon对话框中的shutdown按钮/HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem中ShutdownWithoutLogonREG.SZ值设为02）去除logon信息的cashing功能/什么是cashing功能？?将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTWCurrentVersionWWinlogon中CachedLogonsCountREG.SZ值设为O3）隐藏上次登陆的用户名将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTWCurrentVersionWWinlogon中DontDisplayLastUserNameREG_SZ值设为14）限制LSA匿名访问/将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中RestricAnonymousREG_DW0RD值设为15）去除所有网络共享将HKEY_LOCAL_MACHINESYSTEMCurrenlConlrolSeiServicesLanManServerParametersAutoShareServerREG_DW0RD值设为0,再创建一个AUtOShareWkS双字节值，设置为0（注意大小写。6）禁止建立空连接/默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。能够通过下列两种方法禁止