WEB服務(wù)器安全配置說(shuō)明文檔
網(wǎng)絡(luò)安全界有句名言：最少的服務(wù)加最小的權(quán)限等于最大的安全。
公司服務(wù)器配置情況如下:
67、68、69、70的服務(wù)器安裝的系統(tǒng)是WIN2000 Advance Server版本,采用了IIS5.0作為虛擬主機(jī)系統(tǒng),為保證系統(tǒng)的安全和數(shù)據(jù)的可靠,特將硬盤(pán)劃分為系統(tǒng)盤(pán)與數(shù)據(jù)盤(pán),WIN2000安裝于系統(tǒng)盤(pán)上,數(shù)據(jù)庫(kù)系統(tǒng)安裝在數(shù)據(jù)盤(pán)上.
服務(wù)器上采取的安全防護(hù)措施如下:
1.    所有的分區(qū)都格式化成NTFS格式,保證對(duì)用戶(hù)權(quán)限的控制.給予administrators 和system完全控制的權(quán)限,將系統(tǒng)默認(rèn)的everyone的完全控制權(quán)限刪除,根據(jù)不同用戶(hù)再分別授予相應(yīng)的權(quán)限。
2.    將硬盤(pán)空間分成系統(tǒng)分區(qū)(安裝操作系統(tǒng)),網(wǎng)站分區(qū)(運(yùn)行虛擬主機(jī)和客戶(hù)網(wǎng)站,后臺(tái)數(shù)據(jù)庫(kù)的分區(qū)),備份分區(qū)(做數(shù)據(jù)與程序的備份存儲(chǔ)用)。
3.    開(kāi)啟了事件審核功能,對(duì)用戶(hù)登錄,策略改動(dòng)以及程序運(yùn)行情況進(jìn)行實(shí)時(shí)監(jiān)控,保證在系統(tǒng)被破壞的情況下也能有案可查。
4.    對(duì)于后臺(tái)數(shù)據(jù)庫(kù)中的用戶(hù)數(shù)據(jù),在SQLSERVER中進(jìn)行了設(shè)置,每天晚上會(huì)自動(dòng)執(zhí)行一次所有后臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)的備份工作,即使當(dāng)天客戶(hù)的數(shù)據(jù)庫(kù)被誤刪除了,也能找到前天晚上備份的所有數(shù)據(jù),保證客戶(hù)數(shù)據(jù)的安全可靠。
5.    對(duì)于前臺(tái)網(wǎng)站,我們采用系統(tǒng)自帶的備份功能,設(shè)置了每周的備份計(jì)劃,將客戶(hù)的網(wǎng)站在每周日進(jìn)行一次完全備份.保證了客戶(hù)網(wǎng)站的數(shù)據(jù)完整。
6.    在IIS安裝時(shí)只安裝了WEB服務(wù),其余的FTP、SMTP、NNTP均未安裝。
7.    FTP服務(wù)器采用了Ser-U服務(wù)器程序,運(yùn)行穩(wěn)定且可靠,并升級(jí)到了最新的版本,禁止匿名用戶(hù)的登陸,給每個(gè)用戶(hù)分配了一個(gè)強(qiáng)健的密碼,并設(shè)定了只能訪問(wèn)其自身的目錄。
8.    操作系統(tǒng)安裝好以后,及時(shí)打好了SP4和系統(tǒng)安全補(bǔ)丁,防止了病毒感染和黑客攻擊的可能性,保證了系統(tǒng)的正常安全運(yùn)行.在微軟的漏洞被發(fā)現(xiàn)以后,及時(shí)升級(jí)系統(tǒng),打好系統(tǒng)補(bǔ)丁。
9.    同時(shí)安裝了微軟自帶的終端服務(wù)和SYMANTEC公司的pcanywhere遠(yuǎn)程控制軟件,即使一個(gè)遠(yuǎn)程控制服務(wù)沒(méi)能開(kāi)啟,也可以保證采用另一個(gè)遠(yuǎn)程登陸方式能連接上服務(wù)器。
10.    防病毒軟件采用了SYMANTEC公司的norton防病毒軟件,并每周按時(shí)升級(jí)后殺毒,保證了系統(tǒng)的無(wú)毒和安全。
11.    禁用了來(lái)賓用戶(hù)帳號(hào)，對(duì)系統(tǒng)管理員帳號(hào)進(jìn)行了重命名，最大限度地減少了系統(tǒng)被攻擊的可能性。
12.    對(duì)系統(tǒng)的用戶(hù)的密碼進(jìn)行了控制,管理員的密碼采用了字母與數(shù)字以及特殊字符相結(jié)合的辦法,防范暴力破解密碼的可能性,保證服務(wù)器的安全。
13.    對(duì)于測(cè)試法破解密碼的方法,采取了五次密碼輸錯(cuò)即鎖定用戶(hù)30分鐘的做法,防止測(cè)試法試探密碼。
14.    采用了網(wǎng)絡(luò)漏洞掃描工具定期對(duì)服務(wù)器進(jìn)行網(wǎng)絡(luò)安全的檢查和測(cè)試,發(fā)現(xiàn)安全漏洞后及時(shí)修補(bǔ)，防止安全問(wèn)題的產(chǎn)生。
15.    SQL Server 2000數(shù)據(jù)庫(kù)安裝以后即升級(jí)到SP3的版本,減少數(shù)據(jù)庫(kù)漏洞的產(chǎn)生，防止了蠕蟲(chóng)病毒的感染和黑客的破壞。
16.    數(shù)據(jù)庫(kù)中的SA超級(jí)用戶(hù)采用了個(gè)強(qiáng)健的密碼,并對(duì)每個(gè)用戶(hù)使用的數(shù)據(jù)庫(kù)制定了一個(gè)用戶(hù)名和密碼,并設(shè)定了相應(yīng)的權(quán)限。每個(gè)用戶(hù)只能對(duì)本數(shù)據(jù)庫(kù)進(jìn)行操作,有效地防止了跨庫(kù)操作的發(fā)生.危及數(shù)據(jù)庫(kù)安全。                                    杭州網(wǎng)通互聯(lián)公司
                                            網(wǎng)管   劉蔚
                                                        2004年7月14日
Win2000服務(wù)器網(wǎng)絡(luò)安全設(shè)置
一、帳戶(hù)安全管理
1．帳戶(hù)要盡可能少，并且經(jīng)常用一些掃描工具檢查系統(tǒng)帳戶(hù)，帳號(hào)權(quán)限及密碼，刪除已經(jīng)不再使用的帳戶(hù)
2．停用Guest帳號(hào)，并給Guest加一個(gè)復(fù)雜的密碼。
3．把系統(tǒng) Administrator帳號(hào)改名，盡量把它偽裝成普通用戶(hù)，名稱(chēng)不要帶有Admin字樣。
4．不讓系統(tǒng)顯示上次登陸的用戶(hù)名。
修改Win2000的本地安全策略
設(shè)置“本地安全策略－本地策略－選項(xiàng)”中的“登錄屏幕上不要顯示上次登陸的用戶(hù)名” 
二、網(wǎng)絡(luò)服務(wù)安全管理
1．關(guān)閉不必要的服務(wù)
一些服務(wù)可能會(huì)給系統(tǒng)帶來(lái)安全漏洞，如WIN2000的Terminal Services(終端服務(wù))，IIS和RAS（遠(yuǎn)程訪問(wèn)服務(wù)）等。
除非確有必要，關(guān)閉Task Scheduler，Telnet，Remote Registry Service，RunAs Service，Print Spooler等不必要的服務(wù)。
2．關(guān)閉不必要的端口
當(dāng)服務(wù)器只提供較單一的功能時(shí)，可考慮只開(kāi)放某些端口。
具體方法為：按順序打開(kāi)“網(wǎng)上鄰居－屬性－本地連接－屬性－INTERNET協(xié)議（TCP/IP）屬性－高級(jí)－選項(xiàng)－TCP/IP篩選－屬性”，打開(kāi)TCP/IP篩選，添加需要的TCP，UDP協(xié)議即可。
3．禁止建立空連接
默認(rèn)情況下，任何用戶(hù)可通過(guò)空連接連上服務(wù)器，枚舉帳號(hào)并猜測(cè)帳號(hào)。
修改WIN2000的本地安全策略
設(shè)置“本地安全策略－本地策略－選項(xiàng)”中的“匿名連接的額外限制”－為“不容許枚舉帳號(hào)和共享”。

三、網(wǎng)絡(luò)服務(wù)安全設(shè)置
1．打開(kāi)策略審核功能，對(duì)一些重要的系統(tǒng)改動(dòng)事件進(jìn)行監(jiān)控和記錄。其中包括審核帳號(hào)管理，審核帳號(hào)登陸事件，審核策略更改，審核登陸事件，以便在被攻擊和破壞后，能及時(shí)發(fā)現(xiàn)入侵者的痕跡，采取相應(yīng)的補(bǔ)救措施。
2．服務(wù)管理器安全設(shè)置
1）更改服務(wù)主目錄，右鍵單擊“默認(rèn)站點(diǎn)－屬性－主目錄－本地路徑”，將本地路徑指向其他目錄。
2）刪除原默認(rèn)安裝的目錄以及其下的所有虛擬目錄。
3）刪除不必要的IIS擴(kuò)展名映射。方法是：右鍵單擊“默認(rèn)站點(diǎn)－屬性－主目錄－配置”，打開(kāi)應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，如不用到其他映射，只保留.asp,.asa即可。
4）備份IIS配置。可使用IIS的備份功能，將設(shè)定好的IIS配置全部備份下來(lái)，這樣就可以隨時(shí)恢復(fù)IIS的安全配置。 
四、數(shù)據(jù)文件安全管理
1．備份
要經(jīng)常將重要數(shù)據(jù)備份到專(zhuān)用的備份服務(wù)器，備份完畢后，可將備份服務(wù)器與網(wǎng)絡(luò)隔離。
2．設(shè)置文件共享權(quán)限
設(shè)置共享文件時(shí)，注意將共享文件的權(quán)限從“everyone”組改成“授權(quán)用戶(hù)”，包括打印共享。
系統(tǒng)盤(pán)必須要設(shè)置安全權(quán)限，將system和administrators用戶(hù)組授予完全控制的權(quán)限。別的用戶(hù)帳號(hào)全部刪除。
用戶(hù)盤(pán)的設(shè)置，將system和administrators用戶(hù)組授予完全控制的權(quán)限。Everyone組授予“讀取及運(yùn)行，列出文件夾目錄”權(quán)限即可。
3．關(guān)閉默認(rèn)共享
2000安裝好以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，在可用命令查看他們，要禁止這些共享，方法是，打開(kāi)“管理工具－計(jì)算機(jī)管理－共享文件夾－共享”在相應(yīng)的共享文件夾上按右鍵，點(diǎn)“停止共享”即可，不過(guò)當(dāng)機(jī)器重新啟動(dòng)后，這些共享又會(huì)重新開(kāi)啟。可做一個(gè)刪除默認(rèn)共享的腳本文件，在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載即可。
4．防止文件名欺騙
設(shè)置一下選項(xiàng)可放置文件名欺騙，如防止以.txt或.exe為后綴的惡意文件被顯示為，從而使人大意打開(kāi)該文件，操作方法是：雙擊“我的電腦－工具－文件夾選項(xiàng)－查看”，選擇“顯示所有文件和文件夾”屬性設(shè)置，去掉“隱藏已知文件類(lèi)型擴(kuò)展名”屬性設(shè)置。

最新評(píng)論