服務器維護的安全方案

我們所用的服務器大多是windows平臺的windows server 2000與windows server 2003 windows ，server2003是目前最為成熟的網絡服務器平臺，安全性相對于windows 2000有大大的提高,但是2003與2000默認的安全配置不一定適合我們的需要，所以，我們要根據實際情況來對win2003與 win2000進行全面安全配置。安全配置是一項比較有難度的網絡技術，權限配置的太嚴格，好多程序又運行不起，權限配置的太松，又很容易被黑客入侵，做為管理員，要結合我們真實使用的情況與所應用的程序來設置相應安全的策略，確保服務器永久安全運行。

　　★以下是對我們現在服務器情況所做出的一些安全策略：

　　一、windows系統帳號

　　1.將administrator改名,如改為別名，如：boco_ofm;或者取中文名(這樣可以為黑客攻擊增加一層障礙)

　　2.將guest改名為administrator作為陷阱帳戶，并且設置一個個高強度的密碼，或直接禁用;(有的黑客工具正是利用了guest 的弱點，可以將帳號從一般用戶提升到管理員組。)

　　3.除了管理員帳戶、以及服務必須要用到的用戶外，禁用或刪除其他一切用戶。

　　(1)網站帳號一般只用來做系統維護，多余的帳號一個也不要，因為多一個帳號就會多 一份被攻破的危險。

　　(2)除過Administrator外，有必要再增加一個屬于管理員組的帳號;(兩個管理員組的帳號，一方面防止管理員一旦忘記一個帳號的口令還有一個備用帳 號;另方面，一旦黑客攻破一個帳號并更改口令，我們還有機會重新在短期內取得控制權。)

　　(3)給所有用戶帳號一個復雜的口令(系統帳號出外)，長度最少在8位以上， 且必須同 時包含字母、數字、特殊字符。同時不要使用大家熟悉的單詞(如boco)、熟悉的鍵盤順 序(如qwert)、熟悉的數字(如2008)等。(口令是黑客攻擊的重點，口令一旦被突破也就無任何系統安全可言了,通過在網絡上查資料顯示，僅字母加數字的5位口令在幾分鐘內就會被攻破)

　　二、密碼與用戶策略

　　1.開啟密碼策略

　　注意應用密碼策略，啟用密碼復雜性要求，設置密碼長度最小值為8位 ，設置強制密碼歷史為5次，時間為31天。

　　2.開啟用戶策略

　　使用用戶策略，分別設置復位用戶鎖定計數器時間為30分鐘，用戶鎖定時間為30分鐘，用戶鎖定閾值為3次。

　　三、Windows防火墻

　　Windows 2000默認不帶防火墻，需要我們自己安裝一個安全的軟件防火墻;

　　1.開啟前要先看看3389端口有沒有加到例外里去，因為我們的服務器都放在機房，維護人員一般都是在遠程維護，沒有的話勾上“遠程桌面”，然后再開啟。

　　2.在例外中加入80、1433、21端口，總之，要什么端口才添加什么端口，不要的端口一律不加。(也可以：windows防火墻“高級”本地連接“設置”服務，勾上所要服務，如：遠程桌面、http、ftp、smtp)。

　　3.允許ping服務器：windows防火墻—高級—本地連接“設置”ICMP，勾上第一個：允許傳入響應請求。

　　4.在防火墻策略中在添加一個允許遠程桌面的的IP地址通過。

　　四、本地策略

　　1.本地策略——>安全選項

　　交互式登陸：不顯示上次的用戶名 啟用

　　網絡訪問：不允許SAM帳戶和共享的匿名枚舉　 啟用

　　網絡訪問：不允許為網絡身份驗證儲存憑證 啟用

　　網絡訪問：可匿名訪問的共享　全部刪除

　　網絡訪問：可匿名訪問的命名管道　全部刪除

　　網絡訪問：可遠程訪問的注冊表路徑全部刪除

　　網絡訪問：可遠程訪問的注冊表路徑和子路徑全部刪除

　　網絡訪問：限制匿名訪問命名管道和共享

　　2.本地策略——>審核策略

　　審核策略更改　成功　失敗

　　審核登錄事件　成功　失敗

　　審核對象訪問　 　失敗

　　審核過程跟蹤　無審核

　　審核目錄服務訪問失敗

　　審核特權使用失敗

　　審核系統事件　成功　失敗

　　審核賬戶登錄事件　成功　失敗

　　審核賬戶管理　成功　失敗

　　3.本地策略——>用戶權限分配

　　關閉系統：只有Administrators組、其它全部刪除。

　　從網絡訪問些計算機：只有系統管理員與指定帳號。

　　4.使用NTFS格式分區

　　把服務器的所有分區都改成NTFS格式。NTFS文件系統要比FAT,FAT32的文件系統安全得多。

　　5.設置屏幕保護密碼

　　很簡單也很有必要，設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。注意不要使用一些復雜的屏幕保護程序，浪費系統資源，讓他黑屏就可以了。所有系統用戶所使用的機器最好也加上屏幕保護密碼。

　　6.把共享文件的權限從”everyone”組改成“授權用戶”

　　“everyone” 在win2000與win3003中意味著任何有權進入你的網絡的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成”everyone”組。包括打印共享，默認的屬性就是”everyone”組的。

　　7.保障備份盤的安全

　　一旦系統資料被破壞，備份盤將是恢復資料的唯一途徑。備份完資料后，把備份放在安全的地方。千萬別把資料備份在同一臺服務器上，我們在3001房間已經部署了備份服務器。

　　五、關閉無用的服務

　　1.我們一般關閉如下服務：

　　Computer Browser (瀏覽器更新)

　　Help and Support (計算機幫助)

　　Messenger (客戶端與服務器之間的netsend和alerter服務消息)

　　Print Spooler (內存中便遲打印)

　　Remote Registry (遠程用戶修改注冊表)

　　TCP/IP NetBIOS Helper (netbios名稱解析)

　　Workstation (創建和維護遠程計算機的客戶端網絡連接)

　　Telnet (允許遠程用戶登錄到些計算機)

　　把不必要的服務都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規則和標準上來說，多余的東西就沒必要開啟，減少一份隱患。

　　2.在"網絡連接"里，把不需要的協議和服務都刪掉，只保留基本的Internet協議(TCP/IP)，在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。

　　3.禁用空會話

　　檢查是否禁用了空會話，避免與服務器創建匿名(不進行身份驗證的)會話。要進行檢查，請運行 Regedt32.exe，確認“RestrictAnonymous”項已設置為 1，如下所示。

　　HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

　　4.要審查共享和相關的權限，運行“計算機管理”MMC 管理單元，然后選擇“共享文件夾”下的“共享”。檢查所有共享是否是需要的共享。刪除所有不必要的共享。

　　刪除默認共享bat腳本：

　　Net share /delete C$

　　Net share /delete D$

　　Net share /delete E$

　　Net share /delete IPC$

　　Net share /delete ADMIN$

　　或者通過修改注冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可

　　5.不要在服務器上安裝與應用程序無關的應用。

　　6. IIS：IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，微軟的IIS默認安裝的配置是重點，我們現在用IIS服務的就公司一些網站。

　　首先，把C盤那個什么Inetpub目錄徹底刪掉，在D盤建一個Inetpub(要是你不放心用默認目錄名也可以改一個名字，但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub;

　　其次，IIS安裝時默認虛擬目錄一概刪除，雖然已經把Inetpub從系統盤挪出來了，但是還是小心，如果需要什么權限的目錄可以自己慢慢建，需要什么權限開什么.(注意寫權限和執行程序的權限)

　　六、修改端口號

　　1. 更改遠程桌面端口

　　依次展開

　　HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

　　右邊鍵值中 PortNumber 改為想用的端口號.使用十進制(例 40228 )

　　HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

　　WINSTATIONS/RDP-TCP/

　　右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 40228 )

　　注意：在WINDOWS2003自帶的防火墻給+上40228端口

　　修改完畢.重新啟動服務器.設置生效.

　　2.一般禁用以下端口

　　135 138 139 443 445 4000 4899 7626

　　3.更改TTL值

　　黑客可以根據ping回的TTL值來大致判斷你的操作系統，如：

　　TTL=107(WINNT);

　　TTL=108(win2000);

　　TTL=127或128( xp);

　　TTL=240或241(linux);

　　TTL=252(solaris);

　　TTL=240(Irix);

　　更改端口號：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258，悟道一般的黑客侵入。

　　★ 以下是服務器日常維護策略：

　　1. 系統帳號密碼一個月更換一次滿足復雜性;

　　2. 每星期清理一次系統日志文件，并查看做記錄;

　　3. 每半個月全面殺毒一次，殺毒軟件打開自動更新并半個月手動更新一次;

　　4. 系統更新設置為自動，并半個月檢查更新一次;

　　5. 服務器硬件狀況每月檢查一次，CPU、內存、硬盤使用率每月做一次統計;

　　6. 安裝補丁、安裝殺毒軟件。

河南億恩科技股份有限公司(www.endtimedelusion.com)始創于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900