1)安装前的准备
1. 选用NTFS分区
可以对不同的文件夹设置不同的访问权限。 在安装时全部选用NTFS分区。
2. 分区和逻辑盘的分配
系统分区:安装系统和重要的日志文件。
IIS分区:存放网站网页文件。
FTP分区:上传下载文件存放位置
【主机安全防护】是保障计算机系统免受恶意攻击和破坏的重要措施。在主机安全防护中,主要关注以下几个方面:
1. **安装前的准备**
- **选用NTFS分区**:NTFS文件系统允许对不同文件夹设置独立的访问权限,增强了系统的安全性。在安装操作系统时,应确保所有分区均采用NTFS格式。
- **分区和逻辑盘的分配**:合理分配硬盘空间,例如,将系统分区用于安装操作系统和关键日志文件,IIS分区用于存储网站内容,FTP分区用于上传下载文件,避免混杂,降低风险。
- **安装顺序的选择**:安装时应先完成SERVER的完整安装和配置,然后接入网络,最后安装补丁。补丁应在所有应用程序安装后进行,避免因补丁冲突导致的问题。同时,非必要情况下避免使用默认安装路径。
2. **安装后的安全设置**
- **账号和密码管理**:对管理员账号设置强密码,限制账号数量,尽量避免直接使用管理员账号登录。创建一个额外的管理员组账号作为备份,重命名administrator,禁用guest账号并设置复杂密码。密码策略包括复杂性要求、最小长度、历史记录、最长存留期、账户锁定策略等。
- **制定审核策略**:监控关键的系统活动,如账户管理、登录事件、对象访问等,但要适度,过多的审核可能会消耗大量资源。
- **协议的取舍**:解除NetBIOS与TCP/IP的绑定,删除不再使用的NetBEUI和IPX/SPX协议,以减少潜在攻击面。
- **修改NTFS安全权限**:限制普通用户的默认完全控制权限,只给管理员和System完全控制权,对某些特定脚本程序的文件夹进行权限调整。
- **文件安全设置**:对系统文件夹中敏感的命令和文件进行更名或设置权限,避免被滥用。
- **停止不必要的服务**:关闭非必要的系统服务,特别是那些涉及远程操作的服务,如telnet、task scheduler和Remote Registry。
- **设置TCP/IP筛选**:通过IP安全策略只开放必需的端口,禁止不必要的出站通信。
- **安装防火墙和杀毒软件**:保持软件更新,及时升级以抵御最新的威胁。
- **打补丁**:确保操作系统和应用程序都安装了最新的安全补丁。
3. **特定环境的安全问题**
- **IIS的安全设置**:安装IIS时选择最小安装,删除不需要的扩展映射,删除默认站点,启用日志记录,禁用错误信息的详细显示,为每个站点设置独立用户和权限,防止上传漏洞,更改404错误页面以避免信息泄露,考虑使用SSL加密传输。
- **SQL Server的安全设置**:涉及数据库的权限管理、审计、登录验证方式、SQL注入防御等。
- **PHP安全设置**:包括限制PHP执行权限,禁用不安全的函数,更新PHP版本,设置合适的文件上传限制和输入验证等。
主机安全防护是一个全面的过程,涉及到操作系统配置、网络设置、服务管理、权限控制等多个层面。为了保障系统的安全性,需要持续监控、更新和优化这些设置,以应对不断演变的网络安全威胁。
