为了正常的体验网站,请在浏览器设置里面开启Javascript功能!

服务器安全加固

2017-10-26 11页 doc 28KB 22阅读

用户头像

is_180829

暂无简介

举报
服务器安全加固服务器安全加固 网 站 服 务 器 安 全 加 固 指 南 (一) WINDOWS NT(win2000&win2003)操作系统安全加固 1. 减少系统帐号,并更改默认帐户名(如Administrator)和描述; 2. 设置复杂密码(密码至少包含数字、大小写字母、特殊符号); 3. 拒绝使用匿名、内置管理员帐户、Guest、所有非操作系统服务帐户,通过网络访问该 计算机; 4. 将 \system32\dllcache\cmd.exe 和\servicepackfiles\i 386\cmd.exe 删除,并将...
服务器安全加固
服务器安全加固 网 站 服 务 器 安 全 加 固 指 南 (一) WINDOWS NT(win2000&win2003)操作系统安全加固 1. 减少系统帐号,并更改默认帐户名(如Administrator)和描述; 2. 设置复杂密码(密码至少包含数字、大小写字母、特殊符号); 3. 拒绝使用匿名、内置管理员帐户、Guest、所有非操作系统服务帐户,通过网络访问该 计算机; 4. 将 \system32\dllcache\cmd.exe 和\servicepackfiles\i 386\cmd.exe 删除,并将\System32\cmd.exe转移到其他目录或更名; 5. 设定NTFS文件权限(注意:文件的权限优先级别比文件夹的权限高): 文件类型 建议的 NTFS 权限 CGI 文件(.exe、.dll、.cmd、.pl) Everyone(执行) 脚本文件 (.asp) Administrators(完全控制) 包含文件(.inc、.shtm、.shtml) System(完全控制) 静态内容(.txt、.gif、.jpg、.htm、.html) 6. 关闭windows默认设置 1) 禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer、REG_DWORD、0x0 2) 禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks、REG_DWORD、0x0 3) 限制IPC$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC$共享 说明:不建议使用0x2,否则可能会造成你的一些服务无法启动,如SQL Server 金蝶软件(中国)有限公司 第1页 服务器安全加固 7. 设置本地安全策略 1) 在本地安全策略>-审核策略中打开相应的审核,推荐的审核是: 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 成功 失败 系统事件 目录服务访问 失败 账户登录事件 成功 失败 2) 在账户策略->密码策略中设定(建议): 密码复杂性要求 启用 密码长度最小值 8位 强制密码历史 5次 最长存留期 60天 3) 在账户策略->账户锁定策略中设定(建议): 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 8. 设置远程服务配置的审核如下: 在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,设 置记录登录、注销事件; 9. 解除NetBios与TCP/IP的绑定。设置如下: 控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级 ——WINS——禁用TCP/IP上的NETBIOS 10. 在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80) 11. 禁止139空连接,注册表修改方法如下: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1 12. 修改数据包的生存时间(TTL)值,注册表修改方法如下: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 金蝶软件(中国)有限公司 第2页 服务器安全加固 DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) 13. 修改注册表防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters SynAttackProtect REG_DWORD 0x2(默认值为0x0) 14. 修改注册表禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter faces\,interface, (此处interface是xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 格式,每个网卡会不一样,可根据ip地址确认具体是哪一项) PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2) 15. 修改注册表防止ICMP重定向报文的攻击 \CurrentControlSet\Services\Tcpip\Parameters HKEY_LOCAL_MACHINE\SYSTEM EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 16. 修改注册表取消IGMP协议的支持 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters IGMPLevel REG_DWORD 0x0(默认值为0x2) 17. 修改注册表设置arp缓存老化时间 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) 18. 禁止死网关监测技术 ,注册表修改方法如下: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) 19. 取消路由支持功能,注册表修改方法如下: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters IPEnableRouter REG_DWORD 0x0(默认值为0x0) 20(修改终端服务端口 1)[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp], 修改PortNumber值,在十进制状态下改成想要的端口 号,比如7126之类的,只要不与其它冲突即可。 金蝶软件(中国)有限公司 第3页 服务器安全加固 2)HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,端口号须和上面改的一样。 (二) IIS服务的安全加固: 1. 只安装必要的 IIS 组件。(禁用不需要的如FTP 和 SMTP 服务) 2. 只启用必要的服务和 Web Service 扩展,推荐配置: UI 中的组件名称 设置 设置逻辑 后台智能传输服务 启用 BITS 是 Windows Updates 和"自动更新"所使用的后台文件传输(BITS) 服务器扩机制。如果使用 Windows Updates 或"自动更新"在 IIS 服务器中展 自动应用 Service Pack 和热修补程序,则必须有该组件。 公用文件 启用 IIS 需要这些文件,一定要在 IIS 服务器中启用它们。 文件传输协议 禁用 允许 IIS 服务器提供 FTP 服务。专用 IIS 服务器不需要该服务。 (FTP) 服务 禁用 为管理和发布 Web 站点提供 FrontPage 支持。如果没有使用 FrontPage 2002 FrontPage 扩展的 Web 站点,请在专用 IIS 服务器中禁用该组Server Extensions 件。 Internet 信息服务启用 IIS 的管理界面。 管理器 Internet 打印 禁用 提供基于 Web 的打印机管理,允许通过 HTTP 共享打印机。专 用 IIS 服务器不需要该组件。 NNTP 服务 禁用 在 Internet 中分发、查询、检索和投递 Usenet 新闻文章。专用 IIS 服务器不需要该组件。 SMTP 服务 禁用 支持传输电子邮件。专用 IIS 服务器不需要该组件。 万维网服务 启用 为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需 要该组件。 3. 万维网服务子组件(推荐配置) UI 中的组件安装设置逻辑 名称 选项 启用 提供 ASP 支持。如果 IIS 服务器中的 Web 站点和应用程序都不使用 Active ASP,请禁用该组件;或使用 Web 服务扩展禁用它。 Server Page Internet 数禁用 通过扩展名为 .idc 的文件提供动态内容支持。如果 IIS 服务器中的 据连接器 Web 站点和应用程序都不包括 .idc 扩展文件,请禁用该组件;或使用 Web 服务扩展禁用它。 远程管理 禁用 提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易,并减 少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该功能。 (HTML) 远程桌面 禁用 包括了管理终端服务客户端连接的 Microsoft ActiveX? 控件和范例页Web 连接 面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的攻击面。 专用 IIS 服务器不需要该组件。 服务器端包禁用 提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服务器中运行的 金蝶软件(中国)有限公司 第4页 服务器安全加固 括 Web 站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。 禁用 WebDAV 扩展了 HTTP/1.1 协议,允许客户端发布、锁定和管理 Web 中WebDAV 的资源。专用 IIS 服务器禁用该组件;或使用 Web 服务扩展禁用该组 件。 万维网服务 启用 为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组 件 4. 将IIS目录,数据与系统磁盘分开,并重要数据保存在专用磁盘空间内。 5. 在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可) 6. 在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件 7. Web站点权限设定(建议) Web 站点权限: 授予的权限: 读 允许 写 不允许 脚本源访问 不允许 目录浏览 建议关闭 日志访问 建议关闭 索引资源 建议关闭 执行 推荐选择 "仅限于脚本" 8. 使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI 字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录, 建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。 9. 程序安全作如下设置: 1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及 到与数据库连接地用户名与口令应给予最小的权限; 2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的 会话才能读取这个页面。 3) 防止ASP主页.inc文件泄露 4) 防止UE等编辑器生成some.asp.bak文件泄露。 (三) SQL服务器安全加固 金蝶软件(中国)有限公司 第5页 服务器安全加固 1. 加强密码策略设置 不要在数据库应用中使用sa帐号,新建立一个拥有与sa一样权限的超级用户来管理数 据库。在必须使用sa帐号的情况下,使用强密码进行保护,并定期修改密码。 数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句: Use master Select name,Password from syslogins where password is null 2. 设置数据库日志的记录 核数据库登录事件的"失败和成功",在实例属性中选择"安全性",将其中的审核级别审 选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。 3. 使用管理扩展存储过程 xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把 它去掉。使用这个SQL语句: use master EXEC sp_dropextendedproc 'xp_cmdshell' 如果你需要这个存储过程,请用这个语句也可以恢复过来。 sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不 需 要可以全部去掉: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员 的密码来,如下: Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_reg enumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 4. 在情况允许情况下建议设置防TCP/IP端口探测(sql端口会改变) 在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。 可以在上一步配置的基础上,更改原默认的1433端口。 金蝶软件(中国)有限公司 第6页 服务器安全加固 附:Windows NT系统建议禁用服务列表 名 称 服务名 建议设置 自动更新 wuauserv 禁用 Background Intelligent Transfer Service BITS 禁用 Computer Browser Browser 禁用 DHCP Client Dhcp 禁用 NTLM Security Support Provider NtLmSsp 禁用 Network Location Awareness NLA 禁用 (四) 服务器管理要求 1. 严禁在服务器上上互联网 2. 服务器严禁随意安装工具软件,所有软件必须经过测试确认无安全漏洞并经信息安 全部许可后方可安装 3. 服务器须安装公司统一部署的防病毒软件,且须定期(每日)更新病毒库 4. 所有的系统及应用补丁须在测试机上测试无问题后方可在正式服务器上安装。测试 无问题后须及时更新微软补丁。 5. 管理员账号不允许用administrator或admin。 6. 必须在指定的计算机上执行生产系统的服务器更新 金蝶软件(中国)有限公司 第7页
/
本文档为【服务器安全加固】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。 本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。 网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。

历史搜索

    清空历史搜索