Windows服务器安全解决方案

类别:软件工程 点击:0 评论:0 推荐:

Windows服务器安全解决方案

 

目前Internet上的服务器,Windows Server是占有一定的比例的,但是由于Windows Sever的突出安全问题,Microsoft也迟迟没有提出比较可行的解决方案,只是推出这一个又一个的补丁,使得Windows Server的用户整天担惊受怕。

我们经过长期的摸索和考究,对网络的零零碎碎的安全文档进行了整理,总结出一套解决方案,具体如下:

解决方案:

一、系统安装

1. 磁盘分区格式

1)一台要用来作为网络服务器的Windows Server,硬盘的分区格式一定要是NTFS,NTFS的分区格式远比FAT分区格式来得安全的多,在NTFS格式下,用户可以对不同的文件夹设置不同的的权限,增强服务器的安全性。

2)另一点要注意的是,我们对硬盘进行分区,最好是一次性进行,把分区都分成NTFS格式,可别先分成FAT格式,再进行转换,这样很容易导致系统出问题,甚至崩溃。

3)由于NTFS分区格式的特殊性,用户无法通过软盘启动进行杀毒,所以要提醒用户,一定要做好系统的防毒工作。

2. 操作系统安装

1)操作系统安装,一定要做到一台服务器只安装一个系统,才不会给居心不良的人有可乘之机,增加了服务器的安全隐患。

2)操作系统安装时,系统文件不要装在默认的目录(WINNT),要选择安装一个新的目录进行安装;Web目录和系统不要放在同一个分区,防止有人通过Web权限漏洞,访问系统文件、文件夹。

3)安装完操作系统,一定要先更新系统必要的补丁,直到没有补丁可更新。

4)尽量少安装与Web服务不相关的软件。

二、系统设置

1. 帐户设置

1) 尽可能少的有效帐户,没有用的一律不要,多一个帐户就多一个安全隐患。

2) 可以有两个管理帐户,以防忘记密码,或者被人修改了密码,做后备用。

3) 要加强帐户管理,不要轻易给特殊权限。

4) 给管理帐户改名字,不要保留默认的名字,这个容易被猜到。其他非管理帐户也尽量遵循这一原则。

5) 将Guest帐户禁用,改成一个复杂的名称并加上密码,然后将它从Guests组删除。

6) 帐户密码规则,所有帐户(系统帐号除外)密码最好是8位以上,密码最好是特殊符号、数字、大小写字母的搭配。不要避免使用单词。

7) 帐户密码要定期进行更改,密码最好熟记在脑中,不要在其他地方做记录;另外,如果发现日志中有连续尝试登陆的帐户,要立即更改其帐户名及口令。

8) 在系统中加设帐户错误登陆锁定的次数,防止连续的登陆尝试,并能有效提高管理员的警惕性。

2. 网络设置

1)只保留TCP/IP协议,其他全部删除。

2)NetBIOS常常是网络黑客的扫描目标,这里我们要禁用它。

操作方法:网络连接->本地连接属性->高级->WINS选项->禁用Tcp/Ip上的NetBIOS->确定。

3)只允许一些必要的端口

如:

21 TCP FTP

25 TCP SMTP

53 TCP DNS

80 TCP HTTP

1433 TCP SQL SERVER

3389 TCP TERMINAL SERVICES

5631 TCP PCANYWHERE

等一些常用的端口。特别提醒:安装蓝芒域名虚拟主机关系系统需要开放19888端口。

4)

3. 删除没有必要的共享,提高安全性

操作方法:运行Regedit,

(1) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一值

Name: AutoShareServer

Type:REG-DWORD

Value:0

(2) 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下增加一值

Name:restrictanonymous

Type:REG_DWORD

Value:0

4. 修改权限

Windows 2000 Server的NTFS分区默认权限都是Everyone完全控制权限,这样给服务器的安全带来了一定的安全隐患。我们建议,所有NTFS分区只给管理员和SYSTEM完全控制权限。有特殊权限需求的目录可单独设置。

5. 修改计算机某些特性

操作方法:控制面板->系统->高级->启动和故障恢复->取消显示操作系统列表->取消发送警报->取消写入调试信息->完成。

6. 禁止一些没有必要的服务。

具体操作位置:控制面版->管理工具->服务

需要停掉的服务,例如:Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。

7. 安全日志

Win2000的默认安装是不开任何安全审核的!

那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:

账户管理 成功 失败

登录事件 成功 失败

对象访问 失败

策略更改 成功 失败

特权使用 失败

系统事件 成功 失败

目录服务访问 失败

账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:

在账户策略->密码策略中设定:

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5次

最长存留期 30天

在账户策略->账户锁定策略中设定:

账户锁定 3次错误登录

锁定时间 20分钟

复位锁定计数 20分钟

同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)->权限->高级中配置安全审核,一般来说只要记录登录、注销事件就可以了

8. IIS设置

只安装管理器、公共文档和WWW服务。

尽量减少IIS中没有必要的映射,大多数用户只留asp,asa就可以了。

Web目录需要IUSR读写权限,IIS中只开放读取权限。

有效利用IIS中IP禁止访问列表。

完善日志功能,以便查找问题,加强监控。

9. FTP设置

禁止对FTP的匿名访问。

注意用户权限的开放度。

 

 

本文地址:http://com.8s8s.com/it/it35602.htm