服务器安全策略实办法Word格式.docx

服务器安全策略实办法Word格式.docx

《服务器安全策略实办法Word格式.docx》由会员分享，可在线阅读，更多相关《服务器安全策略实办法Word格式.docx（8页珍藏版）》请在冰点文库上搜索。

更重要的是，政府网站一旦被挂马，其权威性和公信力将会受到打击，最终给电子政务的普及带来重大影响.

1.2.2在线业务被攻击

对企业、公众提供在线服务，已经成为政府门户网站的重要功能。

这些服务一旦受到拒绝服务攻击而瘫痪、终止，对业务的正常运转必然造成极大的影响，可能会造成经济损失，严重时甚至会影响社会稳定。

1.2.3机密数据外泄

　　在线业务系统中，总是需要保存一些企业、公众的相关资料，这些资料往往涉及到企业秘密和个人隐私，一旦泄露，会造成企业或个人的利益受损，可能会给单位带来严重的法律纠纷。

2、系统安全实施目的

随着计算机网络的不断发展，网上信息的安全和保密是一个至关重要的问题。

由于计算机网络具有多样性、开放性、互联性等特点，致使网络及服务器安全存在着自然或人为等诸多因素的潜在威胁。

因此，服务器的安全措施实施能最大限度地针对各种不同的威胁，才能确保网络信息的保密性、完整性和可用性。

2.1系统安全的概念

系统安全是指服务器的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统不能连续正常运行。

2.2系统安全目的

影响系统安全的因素有自然因素、为人因素等，那么当我们对影响系统安全的原因及原理了解后，为保证系统的安全性、保密性、完整性、可靠性和可用性、信息的有效性和合法性，那么我们就要针对服务器的安全问题实施相应的措施，以达到预期目的的作用，保证服务器的正常运行。

3、系统安全总体规划

服务器安全需从软件与硬件双方面入手，有效可行的保证服务器的正常运行。

3.1物理安全策略

物理安全策略的目的是保护计算机系统，设备等避免受到自然灾害、人为破坏的攻击。

难用的身份和使用的权限、防止用户越权操作。

3.2服务器安全策略

服务器安全策略的目的是保护服务器系统正常的运行，避免受到来自于网络的攻击、病毒、入侵等攻击。

4、系统安全具体实施办法

4.1服务器IIS的安全实施

4.1.1保持Windows升级

必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。

考虑将所有的更新下载到服务器上。

4.1.2移除缺省的Web站点:

很多攻击者瞄准inetpub这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。

防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。

4.1.3关掉FTP和SMTP服务

　　进入计算机的最简单途径就是通过FTP访问。

FTP本身就是被设计满足简单读/写访问的，如果执行身份认证，用户名和密码都是通过明文的形式在网络上传播的。

SMTP是另一种允许到文件夹的写权限的服务。

通过禁用这两项服务，能避免更多的黑客攻击。

4.1.4定期检查管理员组与服务

有一天我进入我们的教室，发现在管理员组里多了一个用户。

这意味着这时某个人已经成功地进入了你的系统，他或她可能冷不丁地将炸弹扔到你的系统里，这将会突然摧毁你的整个系统，或者占用大量的带宽以便黑客使用。

黑客同样趋向于留下一个帮助服务，一旦这发生了，采取任何措施可能都太晚了，你只能重新格式化你的磁盘，从备份服务器恢复你每天备份的文件。

因此，检查IIS服务器上的服务列表并保持尽量少的服务必须成为每天的任务。

4.1.5减少/排除Web服务器上的共享:

如果网络管理员是唯一拥有Web服务器写权限的人，就没有理由让任何共享存在。

共享是对黑客最大的诱惑。

此外，通过运行一个简单的循环批处理文件，黑客能够察看一个IP地址列表，利用\\命令寻找Everyone/完全控制权限的共享。

4.1.6合理有效的使用NTFS安全

NTFS驱动器使用的是EVERYONE/完全控制权限，除非手工关掉它们。

关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制，系统和服务各自需要一种级别的访问权限，取决于不同的文件。

最重要的文件夹是System32，这个文件夹的访问权限越小越好。

在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。

4.2服务器数据备份

利用数据库自动备份功能在每日的12：

00与24：

00点进行定时备份。

并于次日的8：

30到9：

00与12：

30到13：

00对数据库备份的数据进行单独的存储。

以保证数据的及时有效性。

4.3服务器其它地方的权限设置

找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许administrators访问

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

4.4禁用服务器不必要的服务，提高安全性和系统效率

ComputerBrowser维护网络上计算机的最新列表以及提供这个列表

Taskscheduler允许程序在指定时间运行

RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务

Removablestorage管理可移动媒体、驱动程序和库

RemoteRegistryService允许远程注册表操作

PrintSpooler将文件加载到内存中以便以后打印。

IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序

DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知

Com+EventSystem提供事件的自动发布到订阅COM组件

Alerter通知选定的用户和计算机管理警报

ErrorReportingService收集、存储和向Microsoft报告异常应用程序

Messenger传输客户端和服务器之间的NETSEND和警报器服务消息

Telnet允许远程用户登录到此计算机并运行程序

4.5修改注册表，让系统更强壮

4.5.1隐藏重要文件/目录可以修改注册表实现完全隐藏：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

4.5.2启动系统自带的Internet连接_blank"

>

防火墙，在设置服务选项中勾选Web服务器。

4.5.3防止SYN洪水攻击

在注册表字段HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

中新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscoveryREG_DWORD0

NoNameReleaseOnDemandREG_DWORD1

EnableDeadGWDetectREG_DWORD0

KeepAliveTimeREG_DWORD300,000

PerformRouterDiscoveryREG_DWORD0

EnableICMPRedirectsREG_DWORD0

4.5.4服务器ICMP的防护

1.禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface中新建DWORD值,名为PerformRouterDiscovery值为0

2.防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects值设为0

3.不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel值为0

4.5.5其它安全手段

4.5.5.1修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]，看到右边的PortNumber了吗？

在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

第二处HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp，方法同上，改的端口号和上面改的一样就行了。

4.5.5.2禁止IPC空连接

cracker可以利用netuse命令建立空连接，进而入侵，还有netview，nbtstat这些都是基于空连接的，禁止空连接就好了。

打开注册表找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把这个值改成”1”即可。

4.5.5.3更改TTL值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：

DefaultTTLREG_DWORD0-0xff（0-255十进制,默认值128）改成一个随意值，让别人无法正常判断操作系统的类型

4.5.5.4删除默认共享

在CMD中使用netshare命令删除共享，命令样式netsharec$/del如果删除不掉则在注册表里修改键值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：

AutoShareServer类型是REG_DWORD把值改为0即可

4.5.5.5禁止建立空连接

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成”1”即可。

4.5.5.6禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。

这样cracker就无法用nbtstat命令来读取NetBIOS信息和网卡MAC地址了。

4.5.5.7运行防毒软件

在服务器上安装杀毒软件

4.5.5.8设置ip筛选、用blackice禁止木马常用端口

开启IP审核策略，并禁用一些常用及木马端口，如：

135138139443445400048997626