信息中心--服务器维护安全策略方案
                                    ----windows平台
我们所用的服务器大多是windows平台的windows server 2000windows server 2003 windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是20032000默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003 win2000进行全面安全配置。安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被******,做为管理员,要结合我们真实使用的情况与所应用的程序来设置相应安全的策略,确保服务器永久安全运行。
以下是对我们现在服务器情况所做出的一些安全策略:
一、windows系统帐号
1.将administrator改名,如改为别名,如:boco_ofm;或者取中文名这样可以为******增加一层障碍
2.将guest改名为administrator作为陷阱帐户,并且设置一个个高强度的密码,或直接禁用;(有的***工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。
3.除了管理员帐户、以及服务必须要用到的用户外,禁用或删除其他一切用户。
1)网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多 一份被攻破的危险。
 (2)除过Administrator外,有必要再增加一个属于管理员组的帐号;(两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐 ;另方面,一旦***攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。)
(3)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同 时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(boco)、熟悉的键盘顺 (qwert)、熟悉的数字(2008)等。(口令是******的重点,口令一旦被突破也就无任何系统安全可言了,通过在网络上查资料显示,仅字母加数字的5位口令在几分钟内就会被攻破)
二、密码与用户策略
1.开启密码策略  
    注意应用密码策略,启用密码复杂性要求,设置密码长度最小值为8 ,设置强制密码历史为5次,时间为31天。
2.开启用户策略  
    使用用户策略,分别设置复位用户锁定计数器时间为30分钟,用户锁定时间为30分钟,用户锁定阈值为3次。
 
三、Windows防火墙
Windows 2000默认不带防火墙,需要我们自己安装一个安全的软件防火墙;
1.开启前要先看看3389端口有没有加到例外里去,因为我们的服务器都放在机房,维护人员一般都是在远程维护,没有的话勾上远程桌面,然后再开启。
2.在例外中加入80143321端口,总之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墙“高级”本地连接“设置”服务,勾上所要服务,如:远程桌面、httpftpsmtp)。
3.允许ping服务器:windows防火墙高级本地连接“设置”ICMP,勾上第一个:允许传入响应请求。
4.在防火墙策略中在添加一个允许远程桌面的的IP地址通过。
四、本地策略
1.本地策略——>安全选项
  交互式登陆:不显示上次的用户名        启用
  网络访问:不允许SAM帐户和共享的匿名枚举   启用
  网络访问:不允许为网络身份验证储存凭证      启用
  网络访问:可匿名访问的共享         全部删除
  网络访问:可匿名访问的命名管道       全部删除
  网络访问:可远程访问的注册表路径      全部删除
网络访问:可远程访问的注册表路径和子路径  全部删除
网络访问:限制匿名访问命名管道和共享
2.本地策略——>审核策略
  审核策略更改   成功 失败  
  审核登录事件   成功 失败
  审核对象访问        失败
  审核过程跟踪   无审核
  审核目录服务访问    失败
  审核特权使用      失败
  审核系统事件   成功 失败
  审核账户登录事件 成功 失败
  审核账户管理   成功 失败
3.本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
从网络访问些计算机:只有系统管理员与指定帐号。
4.使用NTFS格式分区 
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。
5.设置屏幕保护密码 
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。 
6.把共享文件的权限从”everyone”组改成授权用户” 
“everyone” win2000win3003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的。
7.保障备份盘的安全  
  一旦系统资料被破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份放在安全的地方。千万别把资料备份在同一台服务器上,我们在3001房间已经部署了备份服务器。
五、关闭无用的服务
     1.我们一般关闭如下服务:
        Computer Browser  (浏览器更新)
        Help and Support  (计算机帮助)
        Messenger  (客户端与服务器之间的netsendalerter服务消息)
        Print Spooler  (内存中便迟打印)
        Remote Registry (远程用户修改注册表)
        TCP/IP NetBIOS Helper  netbios名称解析)
        Workstation  (创建和维护远程计算机的客户端网络连接)
        Telnet  (允许远程用户登录到些计算机)
        把不必要的服务都禁止掉,尽管这些不一定能被***者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
        2.在"网络连接"里,把不需要的协议和服务都删掉,只保留基本的Internet协议(TCP/IP),在高级tcp/ip设置--"NetBIOS"设置"禁用tcp/IP上的NetBIOSS"
        3.禁用空会话
检查是否禁用了空会话,避免与服务器创建匿名(不进行身份验证的)会话。要进行检查,请运行 Regedt32.exe,确认RestrictAnonymous项已设置 1,如下所示。
HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1
        4.要审查共享和相关的权限,运行计算机管理”MMC 管理单元,然后选择共享文件夹下的共享。检查所有共享是否是需要的共享。删除所有不必要的共享。
删除默认共享bat脚本:
Net share / del ete C$
Net share / del ete D$
Net share / del ete E$
Net share / del ete IPC$
Net share / del ete ADMIN$
或者通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersAutoShareServer类型是REG_DWORD把值改为0即可
        5.不要在服务器上安装与应用程序无关的应用。
6 IISIIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,微软的IIS默认安装的配置是重点,我们现在用IIS服务的就公司一些网站。
    首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub
    
其次,IIS安装时默认虚拟目录一概删除,虽然已经把Inetpub从系统盘挪出来了,但是还是小心,如果需要什么权限的目录可以自己慢慢建,需要什么权限开什么.(注意写权限和执行程序的权限)
六、修改端口号
1. 更改远程桌面端口
依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
        
右边键值中 PortNumber 改为想用的端口号.使用十进制( 40228 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
       
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制( 40228 )

        注意:在WINDOWS2003自带的防火墙给+40228 端口
        修改完毕.重新启动服务器.设置生效.
2一般禁用以下端口
135 138 139 443 445 4000 4899 7626
3.更改TTL
***可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127
128( xp);
TTL=240
241(linux);
TTL=252(solaris);
TTL=240(Irix);
更改端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,悟道一般的***侵入。
     以下是服务器日常维护策略:
1.  系统帐号密码一个月更换一次满足复杂性;
2.  每星期清理一次系统日志文件,并查看做记录;
3.  每半个月全面杀毒一次,杀毒软件打开自动更新并半个月手动更新一次;
4.  系统更新设置为自动,并半个月检查更新一次;
5.  服务器硬件状况每月检查一次,CPU、内存、硬盘使用率每月做一次统计;
6.  安装补丁、安装杀毒软件。