WEB服務器安全配置說明文檔
網絡安全界有句名言:最少的服務加最小的權限等于最大的安全���。
公司服務器配置情況如下:
67�����、68�����、69�、70的服務器安裝的系統是WIN2000 Advance Server版本,采用了IIS5.0作為虛擬主機系統,為保證系統的安全和數據的可靠,特將硬盤劃分為系統盤與數據盤,WIN2000安裝于系統盤上,數據庫系統安裝在數據盤上.
服務器上采取的安全防護措施如下:
1. 所有的分區都格式化成NTFS格式,保證對用戶權限的控制.給予administrators 和system完全控制的權限,將系統默認的everyone的完全控制權限刪除,根據不同用戶再分別授予相應的權限。
2. 將硬盤空間分成系統分區(安裝操作系統),網站分區(運行虛擬主機和客戶網站,后臺數據庫的分區),備份分區(做數據與程序的備份存儲用)����。
3. 開啟了事件審核功能,對用戶登錄,策略改動以及程序運行情況進行實時監控,保證在系統被破壞的情況下也能有案可查�。
4. 對于后臺數據庫中的用戶數據,在SQLSERVER中進行了設置,每天晚上會自動執行一次所有后臺數據庫數據的備份工作,即使當天客戶的數據庫被誤刪除了,也能找到前天晚上備份的所有數據,保證客戶數據的安全可靠。
5. 對于前臺網站,我們采用系統自帶的備份功能,設置了每周的備份計劃,將客戶的網站在每周日進行一次完全備份.保證了客戶網站的數據完整�����。
6. 在IIS安裝時只安裝了WEB服務,其余的FTP�����、SMTP�、NNTP均未安裝。
7. FTP服務器采用了Ser-U服務器程序,運行穩定且可靠,并升級到了最新的版本,禁止匿名用戶的登陸,給每個用戶分配了一個強健的密碼,并設定了只能訪問其自身的目錄�����。
8. 操作系統安裝好以后,及時打好了SP4和系統安全補丁,防止了病毒感染和黑客攻擊的可能性,保證了系統的正常安全運行.在微軟的漏洞被發現以后,及時升級系統,打好系統補丁��。
9. 同時安裝了微軟自帶的終端服務和SYMANTEC公司的pcanywhere遠程控制軟件,即使一個遠程控制服務沒能開啟,也可以保證采用另一個遠程登陸方式能連接上服務器���。
10. 防病毒軟件采用了SYMANTEC公司的norton防病毒軟件,并每周按時升級后殺毒,保證了系統的無毒和安全�。
11. 禁用了來賓用戶帳號�����,對系統管理員帳號進行了重命名�,最大限度地減少了系統被攻擊的可能性。
12. 對系統的用戶的密碼進行了控制,管理員的密碼采用了字母與數字以及特殊字符相結合的辦法,防范暴力破解密碼的可能性,保證服務器的安全�。
13. 對于測試法破解密碼的方法,采取了五次密碼輸錯即鎖定用戶30分鐘的做法,防止測試法試探密碼。
14. 采用了網絡漏洞掃描工具定期對服務器進行網絡安全的檢查和測試,發現安全漏洞后及時修補���,防止安全問題的產生�����。
15. SQL Server 2000數據庫安裝以后即升級到SP3的版本,減少數據庫漏洞的產生�����,防止了蠕蟲病毒的感染和黑客的破壞��。
16. 數據庫中的SA超級用戶采用了個強健的密碼,并對每個用戶使用的數據庫制定了一個用戶名和密碼,并設定了相應的權限��。每個用戶只能對本數據庫進行操作,有效地防止了跨庫操作的發生.危及數據庫安全。 杭州網通互聯公司
網管 劉蔚
2004年7月14日
Win2000服務器網絡安全設置
一�、帳戶安全管理
1.帳戶要盡可能少,并且經常用一些掃描工具檢查系統帳戶�����,帳號權限及密碼��,刪除已經不再使用的帳戶
2.停用Guest帳號����,并給Guest加一個復雜的密碼��。
3.把系統 Administrator帳號改名���,盡量把它偽裝成普通用戶��,名稱不要帶有Admin字樣。
4.不讓系統顯示上次登陸的用戶名�����。
修改Win2000的本地安全策略
設置“本地安全策略-本地策略-選項”中的“登錄屏幕上不要顯示上次登陸的用戶名”
二���、網絡服務安全管理
1.關閉不必要的服務
一些服務可能會給系統帶來安全漏洞,如WIN2000的Terminal Services(終端服務)���,IIS和RAS(遠程訪問服務)等�����。
除非確有必要�����,關閉Task Scheduler�����,Telnet�,Remote Registry Service����,RunAs Service��,Print Spooler等不必要的服務����。
2.關閉不必要的端口
當服務器只提供較單一的功能時�,可考慮只開放某些端口。
具體方法為:按順序打開“網上鄰居-屬性-本地連接-屬性-INTERNET協議(TCP/IP)屬性-高級-選項-TCP/IP篩選-屬性”��,打開TCP/IP篩選�����,添加需要的TCP���,UDP協議即可���。
3.禁止建立空連接
默認情況下�,任何用戶可通過空連接連上服務器��,枚舉帳號并猜測帳號��。
修改WIN2000的本地安全策略
設置“本地安全策略-本地策略-選項”中的“匿名連接的額外限制”-為“不容許枚舉帳號和共享”。
三��、網絡服務安全設置
1.打開策略審核功能��,對一些重要的系統改動事件進行監控和記錄�。其中包括審核帳號管理���,審核帳號登陸事件��,審核策略更改,審核登陸事件�,以便在被攻擊和破壞后�,能及時發現入侵者的痕跡,采取相應的補救措施�����。
2.服務管理器安全設置
1)更改服務主目錄�,右鍵單擊“默認站點-屬性-主目錄-本地路徑”���,將本地路徑指向其他目錄���。
2)刪除原默認安裝的目錄以及其下的所有虛擬目錄。
3)刪除不必要的IIS擴展名映射。方法是:右鍵單擊“默認站點-屬性-主目錄-配置”,打開應用程序窗口��,去掉不必要的應用程序映射��,如不用到其他映射,只保留.asp,.asa即可�。
4)備份IIS配置�?��?墒褂肐IS的備份功能�����,將設定好的IIS配置全部備份下來��,這樣就可以隨時恢復IIS的安全配置���。
四�、數據文件安全管理
1.備份
要經常將重要數據備份到專用的備份服務器�����,備份完畢后���,可將備份服務器與網絡隔離�����。
2.設置文件共享權限
設置共享文件時,注意將共享文件的權限從“everyone”組改成“授權用戶”�����,包括打印共享。
系統盤必須要設置安全權限���,將system和administrators用戶組授予完全控制的權限。別的用戶帳號全部刪除�。
用戶盤的設置,將system和administrators用戶組授予完全控制的權限�����。Everyone組授予“讀取及運行�,列出文件夾目錄”權限即可。
3.關閉默認共享
2000安裝好以后����,系統會創建一些隱藏的共享����,在可用命令查看他們,要禁止這些共享����,方法是��,打開“管理工具-計算機管理-共享文件夾-共享”在相應的共享文件夾上按右鍵,點“停止共享”即可����,不過當機器重新啟動后�,這些共享又會重新開啟?����?勺鲆粋€刪除默認共享的腳本文件�,在系統啟動時自動加載即可。
4.防止文件名欺騙
設置一下選項可放置文件名欺騙�,如防止以.txt或.exe為后綴的惡意文件被顯示為��,從而使人大意打開該文件�����,操作方法是:雙擊“我的電腦-工具-文件夾選項-查看”�����,選擇“顯示所有文件和文件夾”屬性設置�,去掉“隱藏已知文件類型擴展名”屬性設置。
