配置网络服务器安全一般需要做以下步骤:
成都创新互联从2013年成立,是专业互联网技术服务公司,拥有项目网站设计、成都网站建设网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元大化做网站,已为上家服务,为大化各地企业和个人服务,联系电话:18982081108
1、安装补丁程序任何操作系统都有漏洞,作为网络系统管理员就有责任及时地将“补
丁”打上,安装最新的升级包。
2、安装和设置防火墙现在有许多基于硬件或软件的防火墙,如华为、
神州数码、联想、瑞星等厂商的产品。对于企业内部网来说,安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用,但是并不是安装了防火墙之后就
万事大吉了,而是需要进行适当的设置才能起作用。如果对防火墙的设置不了解,需要请技术支持人员协助设置。
3、安装网络杀毒软件现在网络上
的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播,目前,大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都
已经推出了网络版的杀毒软件。同时,在网络版的杀毒软件使用中,必须要定期或及时升级杀毒软件。
4、账号和密码保护账号和密码保护可以说是系统的第一道防线,目前网上
的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统,那么前面的防卫措施几乎就没有作用,所以对服务器系统管理员的账号和密码进行管理
是保证系统安全非常重要的措施。
5、监测系统日志通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的账号、进行的活动
等。日志程序会定期生成报表,通过对报表进行分析,你可以知道是否有异常现象。
6、关闭不需要的服务和端口服务器操作系统在安装的时候,会启动一些不
需要的服务,这样会占用系统的资源,而且也增加了系统的安全隐患。对于假期期间完全不用的服务器,可以完全关闭;对于假期期间要使用的服务器,应关闭不需
要的服务,如Telnet等。另外,还要关掉没有必要开的TCP端口。
7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作,必须对
系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。
8、如果服务器与客户端传输的数据都比较敏感,例如涉及到金钱交易的网站,那很有必要安装一个SSL证书,去易维信-EVTrust 申请一个SSL证书,使网站实现"https"加密传输。
Windows Server 2003 安全性指南介绍
Windows Server 2003安全指南概述
安全性指南概述
更新日期:2003年6月20日
"Windows Server 2003安全指南"旨在提供一套易于理解的指南、工具和模板,帮助用户维护一个安全的Windows Server 2003环境。尽管该产品在默认安装状态下非常安全,但是您仍然可以根据实际需要对大量安全选项进行进一步配置。该指南不仅提供了安全方面的建议,而且提供了与安全风险有关的背景信息,说明了这些设置在减轻安全威胁的同时,可能会对环境产生的影响。
指南解释了三种不同环境所具有的不同需求,以及每一种规定的服务器设置在客户机依赖关系方面所要解决的问题。我们所考虑的三种环境分别是:旧有客户机(Legacy Client)、企业客户机(Enterprise Client)和高安全性(High Security)。
"旧有客户机"设置设计用来工作在运行Windows Server 2003域控制器和成员服务器的Active Directory域中,域中还运行基于Windows 98、Windows NT 4.0以及其它更新操作系统的客户机。
"企业客户机"设置设计用来工作在Windows Server 2003域控制器和成员服务器的Active Directory域中,域中同时还运行基于Windows 2000、Windows XP以及其它更新操作系统的客户机。
"高安全性"设置也设计用来工作在Windows Server 2003域控制器和成员服务器的Active Directory域中,域中同时还运行基于Windows 2000、Windows XP以及其它更新操作系统的客户机。但是,"高安全性"设置具有很多限制,以致许多应用程序无法正常工作,同时服务器的性能也会有轻微的降低,对服务器的管理也更具挑战性。
这些不同级别的强化措施针对具有基线安全性的成员服务器和各种不同的服务器角色。我们将在下面对包括在本指南中的文档进行讨论。
指南内容
出于易用性的考虑,指南的内容被划分为几个不同的部分。其中包括安全性指南及其姐妹篇"威胁和对策:Windows Server 2003 和 Windows XP中的安全设置"、测试指南、交付指南和支持指南。
Windows Server 2003安全指南
Windows Server 2003安全指南 分为12章。每一章都建立在一个端对端的过程之上,该过程对于在您的环境中实现和维护wins2的安全来说是必需的。前几章的内容介绍了强化组织中的服务器所需的基础知识,其余章节则详细介绍了强化每种服务器角色所需进行的操作步骤。
第 1 章: Windows Server 2003安全指南介绍
本章介绍了Windows Server 2003安全指南,并且对每一章的内容进行了简单概述。
第 2 章:配置域的基础结构
本章解释了基线域环境的构建方法,以便为保护Windows Server 2003基础结构提供指导。本章首先讲解了域级别的安全设置选项和相应对策。然后对Microsoft Active Directory®服务和组织单位(OU)的设计方法以及域策略进行了深入介绍。
第 3 章:创建成员服务器基线
本章解释了指南所定义三种环境中相关服务器角色的安全模板设置和其它对策。本章着重介绍了为将在指南后文中进行讨论的服务器角色强化建议建立基线环境的方法。
第 4 章:强化域控制器
在维护各种Windows Server 2003 Active Directory 环境的安全性方面,域控制器服务器角色是最重要的服务器角色之一。本章重点介绍了隐藏在我们建议采用的域控制器组策略后面的一些安全考虑事项。
第 5 章:强化基础结构服务器
在本章中,基础结构服务器被定义为动态主机控制协议(Dynamic Host Control Protocol,DHCP)服务器或 Windows Internet名称服务(Windows Internet Name Service,WINS)服务器。本章详细介绍了在环境中的基础结构服务器上进行安全设置能够为您带来的好处,这些设置不能通过成员服务器基线策略(Member Server Baseline Policy,MSBP)得到应用。
第 6 章:强化文件服务器
本章关注于文件服务器角色以及对该服务器角色进行强化将要面临的困难。本章详细展示了对文件服务器进行安全方面的设置所能够为您带来的益处,这些安全设置均无法通过成员服务器基线策略(MSBP)进行应用。
第 7 章:强化打印服务器
打印服务器是本章所要讲述的重点。再一次地,服务器提供的最重要服务都需要使用与Windows NetBIOS相关的协议。本章详细介绍了能够加强打印服务器安全性的设置,这些设备不能通过成员服务器基线策略(MSBP)得到应用。
第 8 章:强化IIS服务器
本章各个小节详细介绍了能够增强您所在环境中的IIS服务器安全性的设置。我们在此强调了安全监视、检测和响应等工作的重要性,以确保这些服务器保持安全状态。
第 9 章:强化IAS服务器
Internet Authentication Servers(Internet身份验证服务,IAS)提供了Radius服务,这是一种基于标准的身份验证协议,旨在对远程访问网络的客户机身份进行鉴别。本章对IAS Server能够从中受益的安全设置进行了详细介绍,这些设置不能通过成员服务器基线策略(MSBP)应用到服务器上。
第 10 章:强化证书服务服务器
证书服务(Certificate Services)为在服务器环境中构建公共密钥基础结构(PKI)提供了所需的加密和证书管理服务。本章对证书服务服务器能够从中受益的安全设置进行了详细介绍,这些设置不能通过成员服务器基线策略(MSBP)应用到服务器上。
第 11 章:强化堡垒主机
堡垒主机是客户机能够通过Internet进行访问的服务器。我们在本章中详细介绍了堡垒主机能够从中受益的安全设置,这些设置不能通过成员服务器基线策略(MSBP)应用到服务器上,我们同时还介绍了在基于Active Directory的域环境中应用这些设置的方法。
第 12 章:结论
本章对整个安全性指南进行了总结,并且通过简短的概述性语言对指南前面各章中的所有要点进行了回顾。
威胁和对策:Windows Server 2003 和 Windows XP中的安全设置
本指南的目的在于为Microsoft® Windows®操作系统当前版本中可以使用的安全设置提供一个参考。它是"Windows Server 2003安全指南"的姐妹篇。
对于我们在指南中讨论的每一种设置,我们都介绍了该项设置可以防范的安全性威胁,可以应用的不同对策,以及这些设置选项对系统性能可能产生的影响。
测试指南
本文档使得实施了Windows Server 2003安全指南 的企业能够对他们的解决方案实现方式进行测试。文档还介绍了 Windows Server 2003安全指南测试小组自己在测试过程中获得的真实体验。
本文描述了Windows Server 2003安全指南 测试工作的范围、目标和策略。文章还介绍了测试环境、测试案例细节、发布标准以及测试结果。
交付指南
本指南为商业规划人员、IT系统设计人员或者项目经理提供了一些一般性信息,为他们实施本解决方案以及完成部署本解决方案所必须完成的工作、资源类型、相关知识以及所需的大概费用提出了建议。这些信息将通过通往一般性解决方案框架的指针以及针对本安全解决方案而专门提供的工具交付给用户。
支持指南
本文档的目标读者是那些正在实施Windows Server 2003安全指南 的部署小组和那些正在为该解决方案提供支持和维护服务的客户。
文档旨在围绕解决方案软件组件的支持方式提供一些信息,其中包括:逐级提交路径、支持服务和资源以及不同的支持服务级别。
下载和资源
下载 Windows Server 2003安全指南
下载"威胁和对策:Windows Server 2003 和 Windows XP中的安全设置"
提交您的反馈意见
我们希望听到大家对本指南的反馈意见。我们特别希望了解大家对以下主题的反馈意见:
指南中提供的信息对您有帮助吗?
指南中介绍的分步操作过程准确吗?
指南的各章内容的可读性如何?是否能够引起您的兴趣?
您从整体上如何对本指南进行评价?
请将您的反馈意见发送到以下电子邮件地址:secwish@microsoft点抗 . 我们期待着您的回音。
windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。
第一招:正确划分文件系统格式,选择稳定的操作系统安装盘
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。
第二招:正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:
1、系统盘权限设置
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2、网站及虚拟机权限设置(比如网站在E盘)
说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理
E:\
Administrators全部(该文件夹,子文件夹及文件)
E:\wwwsite
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:\wwwsite\vhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3、数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限
4、其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
t
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format点抗
5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述
第三招:禁用不必要的服务,提高安全性和系统效率
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
第四招:修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
10. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
2. 账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;"这样,出错了自动转到首页
4. 安全日志
我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略-审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义
5. 运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice防火墙
6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码
7.设置ip筛选、用blackice禁止木马常用端口
一般禁用以下端口:
135 138 139 443 445 4000 4899 7626
8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值.
打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".
启动"安全配置和分析"MMC管理单元:"开始"-"运行"-"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.
右击"安全配置和分析"-"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".
如果系统提示"拒绝访问数据库",不管他.
你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.
1、系统漏洞的修复
安装好的系统都会有系统漏洞需要进行补丁,一些高危漏洞是需要我们及时补丁的, 否则黑客容易利用漏洞进行服务器攻击。
2、系统账号优化
我们服务器的密码需要使用强口令,同时有一些来宾账户例如guest一定要禁用掉。
3、目录权限优化
对于不需要执行与写入权限的服务器我们要进行权限修改,确保不把不该出现的的权限暴露给攻击者让攻击者有机可趁。
例如我们的windows文件夹权限,我们给的就应该尽可能的少,对于用户配置信息文件夹,不要给予everyone权限。
4、数据库优化
针对数据密码和数据库端口访问都要进行优化,不要将数据库暴露在公网访问环境。
5、系统服务优化
去除一些不必要的系统服务,可以优化我们系统性能,同时优化系统服务可以提升系统安全性。
6、注册表优化
注册表优化可以提升网络并发能力,去除不必要的端口,帮助抵御snmp攻击,优化网络,是我们优化服务器不可缺少的环节。
7、扫描垃圾文件
垃圾文件冗余可能会造成我们的服务器卡顿,硬盘空间不足,需要我们定期进行清理。