WEB服務(wù)器安全配置說明文檔
網(wǎng)絡(luò)安全界有句名言：最少的服務(wù)加最小的權(quán)限等于最大的安全。
公司服務(wù)器配置情況如下:
67、68、69、70的服務(wù)器安裝的系統(tǒng)是WIN2000 Advance Server版本,采用了IIS5.0作為虛擬主機(jī)系統(tǒng),為保證系統(tǒng)的安全和數(shù)據(jù)的可靠,特將硬盤劃分為系統(tǒng)盤與數(shù)據(jù)盤,WIN2000安裝于系統(tǒng)盤上,數(shù)據(jù)庫系統(tǒng)安裝在數(shù)據(jù)盤上.
服務(wù)器上采取的安全防護(hù)措施如下:
1.    所有的分區(qū)都格式化成NTFS格式,保證對用戶權(quán)限的控制.給予administrators 和system完全控制的權(quán)限,將系統(tǒng)默認(rèn)的everyone的完全控制權(quán)限刪除,根據(jù)不同用戶再分別授予相應(yīng)的權(quán)限。
2.    將硬盤空間分成系統(tǒng)分區(qū)(安裝操作系統(tǒng)),網(wǎng)站分區(qū)(運(yùn)行虛擬主機(jī)和客戶網(wǎng)站,后臺數(shù)據(jù)庫的分區(qū)),備份分區(qū)(做數(shù)據(jù)與程序的備份存儲用)。
3.    開啟了事件審核功能,對用戶登錄,策略改動以及程序運(yùn)行情況進(jìn)行實(shí)時監(jiān)控,保證在系統(tǒng)被破壞的情況下也能有案可查。
4.    對于后臺數(shù)據(jù)庫中的用戶數(shù)據(jù),在SQLSERVER中進(jìn)行了設(shè)置,每天晚上會自動執(zhí)行一次所有后臺數(shù)據(jù)庫數(shù)據(jù)的備份工作,即使當(dāng)天客戶的數(shù)據(jù)庫被誤刪除了,也能找到前天晚上備份的所有數(shù)據(jù),保證客戶數(shù)據(jù)的安全可靠。
5.    對于前臺網(wǎng)站,我們采用系統(tǒng)自帶的備份功能,設(shè)置了每周的備份計劃,將客戶的網(wǎng)站在每周日進(jìn)行一次完全備份.保證了客戶網(wǎng)站的數(shù)據(jù)完整。
6.    在IIS安裝時只安裝了WEB服務(wù),其余的FTP、SMTP、NNTP均未安裝。
7.    FTP服務(wù)器采用了Ser-U服務(wù)器程序,運(yùn)行穩(wěn)定且可靠,并升級到了最新的版本,禁止匿名用戶的登陸,給每個用戶分配了一個強(qiáng)健的密碼,并設(shè)定了只能訪問其自身的目錄。
8.    操作系統(tǒng)安裝好以后,及時打好了SP4和系統(tǒng)安全補(bǔ)丁,防止了病毒感染和黑客攻擊的可能性,保證了系統(tǒng)的正常安全運(yùn)行.在微軟的漏洞被發(fā)現(xiàn)以后,及時升級系統(tǒng),打好系統(tǒng)補(bǔ)丁。
9.    同時安裝了微軟自帶的終端服務(wù)和SYMANTEC公司的pcanywhere遠(yuǎn)程控制軟件,即使一個遠(yuǎn)程控制服務(wù)沒能開啟,也可以保證采用另一個遠(yuǎn)程登陸方式能連接上服務(wù)器。
10.    防病毒軟件采用了SYMANTEC公司的norton防病毒軟件,并每周按時升級后殺毒,保證了系統(tǒng)的無毒和安全。
11.    禁用了來賓用戶帳號，對系統(tǒng)管理員帳號進(jìn)行了重命名，最大限度地減少了系統(tǒng)被攻擊的可能性。
12.    對系統(tǒng)的用戶的密碼進(jìn)行了控制,管理員的密碼采用了字母與數(shù)字以及特殊字符相結(jié)合的辦法,防范暴力破解密碼的可能性,保證服務(wù)器的安全。
13.    對于測試法破解密碼的方法,采取了五次密碼輸錯即鎖定用戶30分鐘的做法,防止測試法試探密碼。
14.    采用了網(wǎng)絡(luò)漏洞掃描工具定期對服務(wù)器進(jìn)行網(wǎng)絡(luò)安全的檢查和測試,發(fā)現(xiàn)安全漏洞后及時修補(bǔ)，防止安全問題的產(chǎn)生。
15.    SQL Server 2000數(shù)據(jù)庫安裝以后即升級到SP3的版本,減少數(shù)據(jù)庫漏洞的產(chǎn)生，防止了蠕蟲病毒的感染和黑客的破壞。
16.    數(shù)據(jù)庫中的SA超級用戶采用了個強(qiáng)健的密碼,并對每個用戶使用的數(shù)據(jù)庫制定了一個用戶名和密碼,并設(shè)定了相應(yīng)的權(quán)限。每個用戶只能對本數(shù)據(jù)庫進(jìn)行操作,有效地防止了跨庫操作的發(fā)生.危及數(shù)據(jù)庫安全。                                    杭州網(wǎng)通互聯(lián)公司
                                            網(wǎng)管   劉蔚
                                                        2004年7月14日
Win2000服務(wù)器網(wǎng)絡(luò)安全設(shè)置
一、帳戶安全管理
1．帳戶要盡可能少，并且經(jīng)常用一些掃描工具檢查系統(tǒng)帳戶，帳號權(quán)限及密碼，刪除已經(jīng)不再使用的帳戶
2．停用Guest帳號，并給Guest加一個復(fù)雜的密碼。
3．把系統(tǒng) Administrator帳號改名，盡量把它偽裝成普通用戶，名稱不要帶有Admin字樣。
4．不讓系統(tǒng)顯示上次登陸的用戶名。
修改Win2000的本地安全策略
設(shè)置“本地安全策略－本地策略－選項(xiàng)”中的“登錄屏幕上不要顯示上次登陸的用戶名” 
二、網(wǎng)絡(luò)服務(wù)安全管理
1．關(guān)閉不必要的服務(wù)
一些服務(wù)可能會給系統(tǒng)帶來安全漏洞，如WIN2000的Terminal Services(終端服務(wù))，IIS和RAS（遠(yuǎn)程訪問服務(wù)）等。
除非確有必要，關(guān)閉Task Scheduler，Telnet，Remote Registry Service，RunAs Service，Print Spooler等不必要的服務(wù)。
2．關(guān)閉不必要的端口
當(dāng)服務(wù)器只提供較單一的功能時，可考慮只開放某些端口。
具體方法為：按順序打開“網(wǎng)上鄰居－屬性－本地連接－屬性－INTERNET協(xié)議（TCP/IP）屬性－高級－選項(xiàng)－TCP/IP篩選－屬性”，打開TCP/IP篩選，添加需要的TCP，UDP協(xié)議即可。
3．禁止建立空連接
默認(rèn)情況下，任何用戶可通過空連接連上服務(wù)器，枚舉帳號并猜測帳號。
修改WIN2000的本地安全策略
設(shè)置“本地安全策略－本地策略－選項(xiàng)”中的“匿名連接的額外限制”－為“不容許枚舉帳號和共享”。

三、網(wǎng)絡(luò)服務(wù)安全設(shè)置
1．打開策略審核功能，對一些重要的系統(tǒng)改動事件進(jìn)行監(jiān)控和記錄。其中包括審核帳號管理，審核帳號登陸事件，審核策略更改，審核登陸事件，以便在被攻擊和破壞后，能及時發(fā)現(xiàn)入侵者的痕跡，采取相應(yīng)的補(bǔ)救措施。
2．服務(wù)管理器安全設(shè)置
1）更改服務(wù)主目錄，右鍵單擊“默認(rèn)站點(diǎn)－屬性－主目錄－本地路徑”，將本地路徑指向其他目錄。
2）刪除原默認(rèn)安裝的目錄以及其下的所有虛擬目錄。
3）刪除不必要的IIS擴(kuò)展名映射。方法是：右鍵單擊“默認(rèn)站點(diǎn)－屬性－主目錄－配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，如不用到其他映射，只保留.asp,.asa即可。
4）備份IIS配置?？墒褂肐IS的備份功能，將設(shè)定好的IIS配置全部備份下來，這樣就可以隨時恢復(fù)IIS的安全配置。 
四、數(shù)據(jù)文件安全管理
1．備份
要經(jīng)常將重要數(shù)據(jù)備份到專用的備份服務(wù)器，備份完畢后，可將備份服務(wù)器與網(wǎng)絡(luò)隔離。
2．設(shè)置文件共享權(quán)限
設(shè)置共享文件時，注意將共享文件的權(quán)限從“everyone”組改成“授權(quán)用戶”，包括打印共享。
系統(tǒng)盤必須要設(shè)置安全權(quán)限，將system和administrators用戶組授予完全控制的權(quán)限。別的用戶帳號全部刪除。
用戶盤的設(shè)置，將system和administrators用戶組授予完全控制的權(quán)限。Everyone組授予“讀取及運(yùn)行，列出文件夾目錄”權(quán)限即可。
3．關(guān)閉默認(rèn)共享
2000安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，在可用命令查看他們，要禁止這些共享，方法是，打開“管理工具－計算機(jī)管理－共享文件夾－共享”在相應(yīng)的共享文件夾上按右鍵，點(diǎn)“停止共享”即可，不過當(dāng)機(jī)器重新啟動后，這些共享又會重新開啟。可做一個刪除默認(rèn)共享的腳本文件，在系統(tǒng)啟動時自動加載即可。
4．防止文件名欺騙
設(shè)置一下選項(xiàng)可放置文件名欺騙，如防止以.txt或.exe為后綴的惡意文件被顯示為，從而使人大意打開該文件，操作方法是：雙擊“我的電腦－工具－文件夾選項(xiàng)－查看”，選擇“顯示所有文件和文件夾”屬性設(shè)置，去掉“隱藏已知文件類型擴(kuò)展名”屬性設(shè)置。

最新評論