服務(wù)器安全配置方案

1、服務(wù)器安全配置方案1 .服務(wù)器硬件配置1.1 教務(wù)軟件與數(shù)據(jù)庫分別安裝在兩臺(tái)服務(wù)器上。1.2 教務(wù)軟件服務(wù)器（windows server2003 系統(tǒng)），開放內(nèi)網(wǎng)、外網(wǎng)。同時(shí)只開放80、 1433 端口。1.3 數(shù)據(jù)庫服務(wù)器（sql server2008數(shù)據(jù)庫），不開放外網(wǎng)，只允許教務(wù)軟件服務(wù)器訪 問。同時(shí)只開放 1433端口。2 Windows Server 2003服務(wù)器安全。2.1 安裝網(wǎng)絡(luò)殺毒軟件和網(wǎng)絡(luò)防火墻（建議：卡巴斯基）2.2 將<systemroot>System32cmd.exe轉(zhuǎn)移到其他目錄或更名；2.3 系統(tǒng)帳號盡量少，更改默認(rèn)帳戶名（如 Administr

2、ator ）和描述，密碼盡量復(fù)雜；2.4 拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)（匿名登錄；內(nèi)置管理員帳戶；Support_388945a0 ;Guest;所有非操作系統(tǒng)服務(wù)帳戶）2.5 建議對一般用戶只給予讀取權(quán)限，而只給管理員和System以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成， 這時(shí)需要對這些文件所在的文件夾權(quán)限進(jìn)行更改，建議在做更改前先在測試機(jī)器上作測試，然后慎重更改。2.6 禁止C$、D$一類的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverpa rameters

3、AutoShareServer、REG_DWORD 0x02.7 禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverpa rameters AutoShareWks、REG_DWORD 0x02.8 限制IPC$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanony mous REG_DWORD 0x0缺省0x1匿名用戶無法列舉本機(jī)用戶列表0x2匿名用戶無法連接本機(jī)IPC$共享說明：不建議使用2,否則可能會(huì)造成你的

4、一些服務(wù)無法啟動(dòng)，如SQL Server2.9 僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障2.10 在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選，僅開放必要的端口（如 80）2.11 通過更改注冊表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1 來禁止139空連接2.12 修改數(shù)據(jù)包的生存時(shí)間（TTL）值2.13 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters2.14 DefaultTTL REG_DWORD 0-0

5、xff（0-255 十進(jìn)制，默認(rèn)值 128）2.15 防止SYN洪水攻擊HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameter s SynAttackProtect REG_DWORD 0x2（默認(rèn)值為 0x0）2.16 禁止響應(yīng)ICMP路由通告報(bào)文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameter sInterfacesinterface PerformRouterDiscovery REG_DWORD 0x0（ 默認(rèn)值為 0x2）2.17 防止

6、ICMP重定向報(bào)文的攻擊HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameter s EnableICMPRedirects REG_DWORD 0x0（默認(rèn)值為 0x1）2.18 不支持IGMP協(xié)議HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameter s IGMPLevel REG_DWORD 0x0（默認(rèn)值為 0x2）2.19 設(shè)置arp緩存老化時(shí)間設(shè)置HKEY_LOCAL_MACHINESYSTEMCurrentControlSetService

7、s:TcpipParamete rs ArpCacheLife REG_DWORD 0-0xFFFFFFFF（秒數(shù)，默認(rèn)值為 120 秒） ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF（秒數(shù)，默認(rèn)值為 600）2.20 禁止死網(wǎng)關(guān)監(jiān)測技術(shù)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParamete rs EnableDeadGWDetect REG_DWORD 0x0（默認(rèn)值為 ox1）安裝和配置IIS 服務(wù)：1.僅安裝必要的IIS組件。（禁用不需要的如 FTP和SMTP服務(wù)）

8、2.僅啟用必要的服務(wù)和Web Service擴(kuò)展，推薦配置：UI中的組件名稱設(shè)置設(shè)置邏輯后臺(tái)智能傳輸服務(wù)(BITS)服務(wù)器擴(kuò)展啟用BITS 是 Windows Updates 和自動(dòng)更 新”所使用的后臺(tái)文件傳輸機(jī)制。如果使用Windows Updates 或自動(dòng)更新”在 IIS 服務(wù)器中自動(dòng)應(yīng)用 Service Pack和熱修 補(bǔ)程序，則必須有該組件。公用文件啟用IIS需要這些文件，一定要在IIS服務(wù)器中啟用它們。文件傳輸協(xié)議(FTP)服務(wù)禁用允許IIS服務(wù)器提供 FTP服務(wù)。專用IIS服務(wù)器不需要該服務(wù)。FrontPage 2002 Server Extensions禁用為管理和發(fā)布 Web

9、站點(diǎn)提供FrontPage 支持。如果沒有使用 FrontPage 擴(kuò)展的Web站點(diǎn)，請?jiān)趯Ｓ肐IS服務(wù)器中禁用該 組件。Internet信息服務(wù)管理器啟用IIS的管理界面。Internet 打印禁用提供基于Web的打印機(jī)管理，允許通過HTTP共享打印機(jī)。專用 IIS服務(wù)器不需要該組件。NNTP服務(wù)禁用在Internet中分發(fā)、查詢、檢索和投遞Usenet新聞文章。專用IIS服務(wù)器不需要 該組件。SMTP服務(wù)禁用在Internet中分發(fā)、查詢、檢索和投遞Usenet新聞文章。專用IIS服務(wù)器不需要 該組件。SMTP服務(wù)禁用支持傳輸電子郵件。專用IIS服務(wù)器不需要該組件。萬維網(wǎng)服務(wù)啟用為客戶端提

10、供 Web服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用IIS服務(wù)器需要該組件。萬維網(wǎng)服務(wù)子組件UI中的組件名稱安裝選項(xiàng)設(shè)置邏輯Active Server Page啟用提供ASP支持。如果IIS服務(wù)器中的Web站點(diǎn)和應(yīng)用程序都不使用ASP,請禁用該組件；或使用 Web服務(wù)擴(kuò)展禁用它。Internet數(shù)據(jù)連接器禁用通過擴(kuò)展名為.idc的文件提供動(dòng)態(tài)內(nèi)容支 持。如果IIS服務(wù)器中的 Web站點(diǎn)和應(yīng) 用程序都不包括.idc擴(kuò)展文件，請禁用該 組件；或使用 Web服務(wù)擴(kuò)展禁用它。遠(yuǎn)程管理（HTML）禁用通過擴(kuò)展名為.idc的文件提供動(dòng)態(tài)內(nèi)容支 持。如果IIS服務(wù)器中的 Web站點(diǎn)和應(yīng) 用程序都不包括.idc擴(kuò)展文件，請禁

11、用該 組件；或使用 Web服務(wù)擴(kuò)展禁用它。遠(yuǎn)程桌面Web連接禁用包括了管理終端服務(wù)客戶端連接的Microsoft ActiveX?控件和范例頁面。改用IIS管理器可使管理更容易，并減少了IIS服務(wù)器的攻擊面。專用IIS服務(wù)器不需 要該組件。服務(wù)器端包括禁用提供.shtm、.shtml 和.stm 文件的支持。如果在IIS服務(wù)器中運(yùn)行的 Web站點(diǎn)和應(yīng)用程序都不使用上述擴(kuò)展的包括文件，請禁用該組件。WebDAV禁用WebDAV 擴(kuò)展了 HTTP/1.1 協(xié)議，允許客戶端發(fā)布、鎖定和管理Web中的資源。專 用IIS服務(wù)器禁用該組件；或使用 Web 服務(wù)擴(kuò)展禁用該組件。萬維網(wǎng)服務(wù)啟用為客戶端提供 W

12、eb服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用IIS服務(wù)器需要該組件3. 將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。4. 在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）5. 在IIS中將HTTP404 Object Not Found 出錯(cuò)頁面通過 URL重定向到一個(gè)定制 HTM文件6. Web站點(diǎn)權(quán)限設(shè)定（建議）Web站點(diǎn)權(quán)限：授予的權(quán)限：讀允許寫不允許腳本源訪問不允許目錄瀏覽建議關(guān)閉日志訪問建議關(guān)閉索引資源建議關(guān)閉執(zhí)行推薦選擇僅限于腳本”7.建議使用 W3C擴(kuò)充日志文件格式，每天記錄客戶 IP地址，用戶名，服務(wù)器端口，方法， URI字根，HTTP狀態(tài)，用

13、戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問權(quán)限，只允許管理員和system為FullControl）。3 SQL SERVER2008數(shù)據(jù)庫服務(wù)器安全步驟說明MDAC升級安裝最新的MDAC密碼策略由于SQL Server不能更改sa用戶名稱，也不能刪除這個(gè)超級用戶，所以，我們必須對這個(gè)帳號進(jìn)行最強(qiáng)的保護(hù)，當(dāng)然，包括使用一個(gè)非常強(qiáng)壯的密碼，最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號。新建立一個(gè)擁有與 sa一樣權(quán)限的超級用戶來管 理數(shù)據(jù)庫。同時(shí)養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號。比如使用下面的SQL語句：U

14、se masterSelect name,Password from syslogins where password is null數(shù)據(jù)庫日志的記錄核數(shù)據(jù)庫登錄事件的“失敗和成功”，在實(shí)例屬性中選擇“安全性”，將其中的審核級別選定為全部， 這樣在數(shù)據(jù)庫 系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號的登錄事 件。管理擴(kuò)展存儲(chǔ)過程xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個(gè)大后門。請把它去掉。使用這個(gè)SQL語句：use mastersp_dropextendedproc 'xp_cmdshell'如果你需要這個(gè)存儲(chǔ)過程，請用這個(gè)語句也可以恢復(fù)過來。s

15、p_addextendedproc 'xp_cmdshell', 'xpsql70.dll'OLE自動(dòng)存儲(chǔ)過程（會(huì)造成管理器中的某些特征不能使用），這些過程包括如下（不需要可以全部去掉：Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfoSp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注冊表訪問的存儲(chǔ)過程，注冊表存儲(chǔ)過程甚至能夠讀出操作系統(tǒng)管理員的密碼來，如下：Xp_regaddmultistring Xp_regdeletekeyXp_regdeleteva

16、lue Xp_regenumvaluesXp_regreadXp_regremovemultistringXp_regwrite防TCP/IP端口探測在實(shí)例屬fiE中選擇 TCP/IP協(xié)議的屬性。選擇Et藏SQL Server實(shí)例。請?jiān)谏弦徊脚渲玫幕A(chǔ)上，更改原默認(rèn)的1433端口。在IPSec過濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQL Server。對網(wǎng)絡(luò)連才進(jìn)行IP限制使用操作系統(tǒng)自己的IPSec可以實(shí)現(xiàn)IP數(shù)據(jù)包的安全性。請對IP連接進(jìn)行限制，保證只有自己的IP能夠訪問，拒絕其他IP進(jìn)行的端口連接。附：Win2003系統(tǒng)建議禁用服務(wù)列表名稱服務(wù)名建議設(shè)置自動(dòng)更新wuauserv禁用Background Intelligent TransferServiceBITS禁用Computer BrowserBrowser禁用DHCP ClientDhcp禁用NTLM Security Support ProviderNtLmSsp禁用Network Location AwarenessNLA禁用Performance Logs and AlertsSysmonLog禁用Remote Administration ServiceSrvcSurg禁用Remote Registry ServiceRemoteRegistry禁用Serverlanmanse