没有合适的资源?快使用搜索试试~ 我知道了~
WindowsSecurity服务器安全防范大全.doc
0 下载量 60 浏览量
2022-11-21
22:07:18
上传
评论
收藏 183KB DOC 举报
温馨提示
试读
28页
WindowsSecurity服务器安全防范大全.doc
资源详情
资源评论
WindowsSecurity 服务器安全防范大全
一、安装 WIN 200X 安全概览----------------------------------------------------------------------------------3
1.硬盘分区的文件系统选择 ------------------------------------------------------------------------------------3
①使用多分区分别治理不同内容
--------------------------------------------------------------------------3
②采纳
NTFS
文件系统
---------------------------------------------------------------------------------------3
③使用文件加密系统
EFS -----------------------------------------------------------------------------------3
2.组件的定制 ------------------------------------------------------------------------------------------------------3
3.接入网络时刻 ---------------------------------------------------------------------------------------------------3
4.账户安全治理(改) ------------------------------------------------------------------------------------------3
5.卸载无用的组件模块 ------------------------------------------------------------------------------------------4
二、差不多系统设置 -----------------------------------------------------------------------------------------------4
1.安装各种补丁 ---------------------------------------------------------------------------------------------------4
2.分区内容规划 ---------------------------------------------------------------------------------------------------4
3.协议治理 ---------------------------------------------------------------------------------------------------------4
4.关闭所有以下不需要的服务 ---------------------------------------------------------------------------------4
5.删除 OS/2 和 POSIX 子系统:-------------------------------------------------------------------------------5
6.帐号和密码策略 ------------------------------------------------------------------------------------------------6
7.设置文件和名目权限 ------------------------------------------------------------------------------------------6
8.注册表一些条目的修改 ---------------------------------------------------------------------------------------6
9.启用 TCP/IP 过滤-----------------------------------------------------------------------------------------------7
10.移动部分重要文件并加访问操纵--------------------------------------------------------------------------7
11.下载 HISECWEB.INF 安全模板来配置系统 ----------------------------------------------------------------7
12. 服务器上其他工具程序的替代 ---------------------------------------------------------------------------8
13.设置陷阱脚本--------------------------------------------------------------------------------------------------8
14.取消部分危险文件扩展名-----------------------------------------------------------------------------------8
15.关闭 445 端口--------------------------------------------------------------------------------------------------8
16.关闭 DIRECTDRAW--------------------------------------------------------------------------------------------8
17.禁止 DUMP FILE 的产生和自动清除掉页面文件---------------------------------------------------------8
18.禁止从软盘和 CD ROM 启动系统--------------------------------------------------------------------------8
19.锁住注册表的访问权限--------------------------------------------------------------------------------------9
20.考虑使用 IPSEC 增强 IP 数据包的安全性----------------------------------------------------------------9
21.考虑使用智能卡来代替密码--------------------------------------------------------------------------------9
22.将服务器隐藏起来--------------------------------------------------------------------------------------------9
??WIN 2003 中提高 FSO 的安全性---------------------------------------------------------------------------9
三、IIS 安全设置 -------------------------------------------------------------------------------------------------11
1.关闭并删除默认站点 ----------------------------------------------------------------------------------------11
2.建立自己的站点,与系统不在一个分区----------------------------------------------------------------11
3.删除 IIS 的部分名目 ----------------------------------------------------------------------------------------11
4.删除不必要的 IIS 映射和扩展 ----------------------------------------------------------------------------11
5.禁用父路径 (有可能导致某些使用相对路径的子页面不能打开)------------------------------12
6.在虚拟名目上设置访问操纵权限 -------------------------------------------------------------------------12
7.启用日志记录 -------------------------------------------------------------------------------------------------13
8.备份 IIS 配置 -------------------------------------------------------------------------------------------------13
9.修改 IIS 标志 -------------------------------------------------------------------------------------------------13
10.重定义错误信息 --------------------------------------------------------------------------------------------14
??WIN 2003 中提高 FSO 的安全性 -------------------------------------------------------------------------14
四、数据及备份治理 ----------------------------------------------------------------------------------------------16
1.备份 -----------------------------------------------------------------------------------------------------------16
2.设置文件共享权限 -----------------------------------------------------------------------------------------16
3.防止文件名欺诈 ----------------------------------------------------------------------------------------------16
4.ACCESS 数据库的安全概要-----------------------------------------------------------------------------------16
5.MSSQL 注入攻击的防范 -------------------------------------------------------------------------------------18
6. MSSQL SERVER 的差不多安全策略 ------------------------------------------------------------------------18
7.使用应用层过滤防范 URL 入侵 ----------------------------------------------------------------------------21
8. PHP 木马的攻击的防备之道 ------------------------------------------------------------------------------22
五、其他辅助安全措施 -------------------------------------------------------------------------------------------23
1.安装可靠的杀毒软件并赶忙升级;----------------------------------------------------------------------23
2.安装一款可能强大且配置灵活的网络防火墙----------------------------------------------------------23
3.修改系统名目和程序名目中所有文件的日期----------------------------------------------------------23
4.在网络的另一台运算机上 ----------------------------------------------------------------------------------23
5.针对现有免费代码的利用安全问题----------------------------------------------------------------------24
6.文件列表、任务列表和服务列表的生成和利用-------------------------------------------------------24
六、简单设置防备小流量 DDOS 攻击 ------------------------------------------------------------------------24
七、日常安全检查 -------------------------------------------------------------------------------------------------26
1、日志查看 -----------------------------------------------------------------------------------------------------26
2、检查列表 -----------------------------------------------------------------------------------------------------27
3、检查专门文件 -----------------------------------------------------------------------------------------------27
4、不定期用光盘 PE 系统引导 ------------------------------------------------------------------------------27
5、检查备份 -----------------------------------------------------------------------------------------------------27
6、更新规则 -----------------------------------------------------------------------------------------------------27
7、定期更新隐秘 -----------------------------------------------------------------------------------------------27
8、检查系统安全补丁的升级情形 --------------------------------------------------------------------------27
9、查找 WEBSHELL-------------------------------------------------------------------------------------------27
10、审核文件及名目权限 -------------------------------------------------------------------------------------27
11、审查应用程序及系统的升级情形----------------------------------------------------------------------27
12、审查 IP 过滤策略------------------------------------------------------------------------------------------27
一、安装 Win 200x 安全概览
1.硬盘分区的文件系统选择
①使用多分区分别治理不同内容
对提供服务的机器,可按如下设置分区:
分区 1:系统分区,安装系统和重要日志文件。
分区 2:提供给 IIS 使用。
分区 3:提供给 FTP 使用。
分区 4:放置其他一些资料文件。(以上为示例,可灵活把握)
②采纳 NTFS 文件系统
所有磁盘分区必须采纳 NTFS 文件系统,而不要使用 FAT32!
专门注意:一定要在系统安装时,通过安装程序将系统盘格式化为 NTFS,而不要先以
FAT32 格式安装系统,然后再用 Convert 转换!因为转换后的磁盘根名目的默认权限过高!
③使用文件加密系统 EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全爱护。如此能够
防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用 EFS,而不
仅仅是单个的文件。 有关 EFS 的具体信息能够查看
:// microsoft /windows2000/techinfo/howitworks/security/encrypt.asp
注意:建议加密 temp 文件夹!因为一些应用程序在安装和升级的时候,会把一些东西
拷贝到 temp 文件夹,然而当程序升级完毕或关闭的时候,它们并可不能自己清除 temp 文件
夹的内容。因此,给 temp 文件夹加密能够给你的文件多一层爱护。
2.组件的定制
不要按 Win 2000 的默认安装组件,依照安全原则“最少的服务+最小的权限=最大的安
全”,只选择确实需要的服务安装即可。
典型 Web 服务器需要的最小组件是:公用文件、Internet 服务治理器、WWW 服务器。
3.接入网络时刻
在安装完成 Win 2000X 作系统时,不要赶忙把服务器接入网络,因为这时的服务器还没
有打上各种补丁,存在各种漏洞,专门容易感染病毒和被入侵。
补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统
文件,假如先安装补丁再安装应用程序有可能导致补丁不能起到应有的成效。IIS 的 HotFix
要求每次更换 IIS 的配置时都需要重新安装。
4.建议只安装一种操作系统
因为安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没
有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。
5.卸载无用的组件模块
将\\Winnt\\inf 下的 sysoc.inf 文件中的所有 hide 用替换法删除;然后在操纵面板的添加
删除程序中就能够卸载所有不需要的组件。
二、差不多系统设置
1.安装各种补丁
安装 Service Pack 和最新的 hotfix;安装 SQL 和 IIS 系列补丁。
假如从本地备份中安装,则随后必须赶忙通过在线更新功能查验是否有遗漏的补丁没有
安装。
建议启用系统自动更新功能,并设置为有更新时自动下载安装。
注意:建议记得安装最新的 MDAC( :// microsoft /data/download.htm)
MDAC 为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,
且 MDAC 一样不以补丁形式发放的,比较容易漏更新。为防止往常版本的漏洞可能会被带
入升级后的版本,建议卸载后安装最新的版本。注意:在安装最新版本前最好先做一下测试,
因为有的数据访问方式或许在新版本中不再被支持,这种情形下能够通过修改注册表来档漏
洞,详见漏洞测试文档。
2.分区内容规划
1)操作系统、Web 主名目、日志分别安装在不同的分区。
2)关闭任何分区的自动运行特性:
能够使用 TweakUI 等工具进行修改。以防万一有人放入 Autorun 程序实现恶意代码自动加
载。
3.协议治理
卸载不需要的协议,比如 IPX/SPX, NetBIOS;在连接属性对话框的 TCP)/IP 属性的高级
选项卡中,选择“WINS”,选定“禁用 TCP/IP 上的 NETBIOS”。
4.关闭所有以下不需要的服务
以下仅供参考,具体还要看服务器上运行的应用来确定!要专门注意各服务之间的储存
关系,个性为当可能导致某些功能的专门,甚至服务器不能工作!建议每次只个性两三个项
目,重启测试无误后再设置其他项目:
* Alerter (disable)
* ClipBook Server (disable)
* Computer Browser (disable)
* DHCP Client (disable)
* Directory Replicator (disable)
* FTP publishing service (disable)
* License Logging Service (disable)
* Messenger (disable)
* Netlogon (disable)
* Network DDE (disable)
* Network DDE DSDM (disable)
* Network Monitor (disable)
**** Plug and Play (disable after all hardware configuration)****
* Remote Access Server (disable)
* Remote Procedure Call (RPC) locater (disable)
* Schedule (disable)
* Server (disable)
* Simple Services (disable)
* Spooler (disable)
* TCP/IP Netbios Helper (disable)
* ***Telephone Service (disable)****
在必要时禁止如下服务:
* SNMP service (optional)
* SNMP trap (optional)
* UPS (optional
设置如下服务为自动启动:
* Eventlog ( required )
* NT LM Security Provider (required)
* RPC service (required)
* WWW (required)
* Workstation (leave service on: will be disabled later in the document.
* MSDTC (required)
* Protected Storage (required)
5.删除 OS/2 和 POSIX 子系统:
删除如下名目的任何键:
HKEY_LOCAL_MACHINE\\SOFTWARE \\Microsoft\\OS/2 Subsystem for NT
删除如下的键:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session
Manager\\Environment\\Os2LibPath
删除如下的键:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session
Manager\\SubSystems\\Optional
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session
Manager\\SubSystems\\Posix
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session
Manager\\SubSystems\\Os2
删除如下名目:c:\\winnt\\system32\\os2 但会显现文件爱护的提示,建议不删除,修改注
册表就能够了
6.帐号和密码策略
:// microsoft /china/technet/security/topics/serversecurity/administratoraccounts
/aapgch04.mspx
1. 所有帐号权限需严格操纵,轻易不要给帐号以专门权限;将 Administrator 重命名,
改为一个不易猜的名字。其他一样帐号也应尊循这一原则(说明:如此能够为黑客
攻击增加一层障碍)。
2. 除 Administrator 外,有必要再增加一个属于治理员组的帐号(说明:两个治理员
剩余27页未读,继续阅读
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0
最新资源