手把手教你如何加固你的服務(wù)器

摘要為提升效勞器平安性，減少信息資產(chǎn)的泄漏風(fēng)險(xiǎn)，我們需要對效勞器進(jìn)行平安加固，從系統(tǒng)策略、應(yīng)用程序、帳號(hào)密碼等各方面進(jìn)行加強(qiáng)，防止一些低級平安問題的出現(xiàn)。本文基于集團(tuán)信息化平安規(guī)定，針對效勞器平安配置的方法進(jìn)行詳細(xì)描述。并提供了效勞器加固檢查表模板，方便系統(tǒng)管理員對加固的步驟及結(jié)果進(jìn)行檢查。效勞器平安加固檢查表注意：請先將如下工具包復(fù)制到本地：\\ufnas1\網(wǎng)絡(luò)平安\效勞器平安工具包；對于操作熟練的管理員，可以按照如下表格進(jìn)行加固：效勞器加固檢查表效勞器IP：加固日期：加固人：效勞器用途：□應(yīng)用□數(shù)據(jù)庫□其他類型加固內(nèi)容影響對策1效勞器加固更改系統(tǒng)管理員(Administrator)帳號(hào)及密碼使用管理員帳號(hào)的效勞將會(huì)受到影響檢查效勞及DTS看所有者是否為管理員2禁用guest用戶使用guest將無法登陸3禁用遠(yuǎn)程桌面連接，并更改3389端口將無法使用mstsc進(jìn)行訪問使用DameWare連接4啟用windows防火墻，翻開1433、80、6129、3500將無法PING通該機(jī)器，并且無法通過網(wǎng)絡(luò)直接訪問；應(yīng)用沒有沒有翻開的端口的效勞將關(guān)閉檢查IIS中的應(yīng)用；通知應(yīng)用管理員5將效勞器參加域需要重啟。域管理員可以訪問，并默認(rèn)應(yīng)用域平安策略，自動(dòng)打補(bǔ)丁6安裝平安衛(wèi)士360，安裝所有補(bǔ)丁需要重啟7加固效勞器〔禁止空連接和遠(yuǎn)程操作注冊表/取消上次登陸名顯示〕無影響8關(guān)閉所有共享目錄將無法通過共享目錄訪問效勞器文件使用DameWare連接9檢查影子帳號(hào)無影響10數(shù)據(jù)庫加固禁用sa帳號(hào)使用sa驗(yàn)證的數(shù)據(jù)庫連接將失敗修改所有數(shù)據(jù)庫連接，創(chuàng)立新的登錄帳號(hào)11刪除不平安存儲(chǔ)過程未知12IIS加固關(guān)閉上傳文件的文件夾執(zhí)行權(quán)限未知13關(guān)閉目錄瀏覽權(quán)限未知14關(guān)閉目錄寫入權(quán)限未知15更改IIS默認(rèn)主目錄未知加固步驟詳解加固效勞器使用工具“”〔兩個(gè)SQL文件是其專用文件〕，重啟計(jì)算機(jī)。修改管理員帳號(hào)與密碼在“我的電腦”右鍵，點(diǎn)擊“管理”，進(jìn)入“本地用戶和組”，點(diǎn)擊“用戶”，在“Administrator”用戶上右鍵點(diǎn)擊“重命名”和“設(shè)置密碼”。然后點(diǎn)擊“確認(rèn)”按鈕完成該步驟。修改遠(yuǎn)程訪問端口一般建議把效勞器的遠(yuǎn)程桌面訪問功能禁用，并且修改默認(rèn)端口號(hào)。注意，第二步設(shè)置了新的遠(yuǎn)程訪問端口號(hào)后要將新的終端號(hào)〔如8190〕在防火墻中的例外中參加，再次遠(yuǎn)程時(shí)請使用IP加新端口號(hào)登錄〔例子：192.168.8.123:8190〕如果運(yùn)行失敗，可通過注冊表進(jìn)行修改，包括兩個(gè)地方：

修改注冊表訪問點(diǎn)擊“開始”執(zhí)行該操作

翻開windows防火墻：“開始”-“控制面板”-“windows防火墻”，選擇啟用，這時(shí)不要點(diǎn)擊確認(rèn)，需要做如下操作：

添加例外端口進(jìn)入“例外”標(biāo)簽，把需要的端口好加上設(shè)置平安日志進(jìn)入“高級”標(biāo)簽，點(diǎn)擊平安日志記錄的設(shè)置按鈕。

設(shè)置ICMP如果需要PING通效勞器，點(diǎn)擊ICMP的“設(shè)置”按鈕選擇“允許傳入回顯請求”。最后點(diǎn)擊“確定”按鈕。

開啟防護(hù)軟件運(yùn)行“效勞器平安工具包”中的“”，開啟所有防護(hù)。退出360，安裝360病毒碼升級，文件位置在“\\ufnas1\網(wǎng)絡(luò)平安\360補(bǔ)丁\補(bǔ)丁”安裝后請點(diǎn)擊“實(shí)時(shí)保護(hù)”，將其中選項(xiàng)全部啟用，然后點(diǎn)擊首頁的“全面檢測”按鈕，進(jìn)行一次全面的檢測，找出平安漏洞根據(jù)檢查結(jié)果，安裝所有補(bǔ)丁并解決所有不平安項(xiàng)。

更改平安策略更改本地平安策略，修改“審核帳戶登錄事件”和“審核帳戶管理”，翻開“成功”和“失敗”的操作審核。

定期檢查影子帳號(hào)定期運(yùn)行“”，防止有人攻擊建立隱藏的帳號(hào)，如有發(fā)現(xiàn)請速上報(bào)

加固數(shù)據(jù)庫禁用xp_cmdshell功能對于SQLServer2000,請運(yùn)行“”，對于SQLServer2000,請運(yùn)行“”，注意：刪除以下代碼后執(zhí)行REVOKEEXECUTEONxp_getfiledetailsTOpublic;GORECONFIGURE;GO

禁用sa帳號(hào)注意：禁用sa之前，先去“用戶映射”中查看其關(guān)聯(lián)的數(shù)據(jù)庫，并建立一個(gè)帳號(hào)關(guān)聯(lián)到這些數(shù)據(jù)庫以保證數(shù)據(jù)訪問的正常執(zhí)行。加固IIS在IIS站點(diǎn)中，取消“腳本資源訪問”、“寫入”和“目錄瀏覽”。

在上傳目錄中，將執(zhí)行權(quán)限設(shè)置為“無”。

其他平安提示：限制系統(tǒng)執(zhí)行文件權(quán)限尤其是C:\WINDOWS