服务器维护安全策略方案

信息中心 -- 服务器维护安全策略方案

                                    ----windows 平台

我们所用的服务器大多是 windows 平台的 windows server 2000 与 windows server 2003 windows ， server2003 是目前最为成熟的网络服务器平台，安全性相对于 windows 2000 有大大的提高 , 但是 2003 与 2000 默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对 win2003 与 win2000 进行全面安全配置。安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为管理员，要结合我们真实使用的情况与所应用的程序来设置相应安全的策略，确保服务器永久安全运行。

★ 以下是对我们现在服务器情况所做出的一些安全策略：

一、 windows 系统帐号

1 ．将 administrator 改名 , 如改为 别名，如： boco_ofm ；或者 取中文名 （ 这样可以为黑客攻击增加一层障碍 ）

2 ．将 guest 改名为 administrator 作为陷阱帐户，并且设置一个个高强度的密码，或直接禁用；（ 有的黑客工具正是利用了 guest 的弱点，可以将帐号从一般用户提升到管理员组。 ）

3 ．除了管理员帐户、以及服务必须要用到的用户外，禁用或删除其他一切用户。

（ 1 ）网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多 一份被攻破的危险。

　 (2) 除过 Administrator 外，有必要再增加一个属于管理员组的帐号 ; （两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐 号 ; 另方面，一旦黑客攻破一个帐号并更改口令，我们还有机会重新在短期内取得控制权。）

(3) 给所有用户帐号一个复杂的口令 ( 系统帐号出外 ) ，长度最少在 8 位以上， 且必须同 时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词 ( 如 boco) 、熟悉的键盘顺 序 ( 如 qwert) 、熟悉的数字 ( 如 2008) 等。 ( 口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了 , 通过在网络上查资料显示，仅字母加数字的 5 位口令在几分钟内就会被攻破 )

二、 密码与用户策略

1 ．开启密码策略   

     注意应用密码策略，启用密码复杂性要求，设置密码长度最小值为 8 位 ，设置强制密码历史为 5 次，时间为 31 天。

2 ．开启用户策略   

     使用用户策略，分别设置复位用户锁定计数器时间为 30 分钟，用户锁定时间为 30 分钟，用户锁定阈值为 3 次。

 

三、 Windows 防火墙

Windows 2000 默认不带防火墙，需要我们自己安装一个安全的软件防火墙；

1 ．开启前要先看看 3389 端口有没有加到例外里去，因为我们的服务器都放在机房，维护人员一般都是在远程维护，没有的话勾上“远程桌面”，然后再开启。

2 ．在例外中加入 80 、 1433 、 21 端口，总之，要什么端口才添加什么端口，不要的端口一律不加。（也可以： windows 防火墙“高级”本地连接“设置”服务，勾上所要服务，如：远程桌面、 http 、 ftp 、 smtp ）。

3 ．允许 ping 服务器： windows 防火墙―高级―本地连接“设置” ICMP ，勾上第一个：允许传入响应请求。

4 ．在防火墙策略中在添加一个允许远程桌面的的IP地址通过。

四、 本地策略

1 ．本地策略―― > 安全选项

　　交互式登陆：不显示上次的用户名　　　　　　  启用

　　网络访问：不允许 SAM 帐户和共享的匿名枚举　  启用

　　网络访问：不允许为网络身份验证储存凭证　　     启用

　　网络访问：可匿名访问的共享　　　　　　　　　全部删除

　　网络访问：可匿名访问的命名管道　　　　　　　全部删除

　　网络访问：可远程访问的注册表路径　　　　　　全部删除

网络访问：可远程访问的注册表路径和子路径　　全部删除

网络访问：限制匿名访问命名管道和共享

2 ．本地策略―― > 审核策略

　　审核策略更改　　　成功　失败　　

　　审核登录事件　　　成功　失败

　　审核对象访问　　　    　失败

　　审核过程跟踪　　　无审核

　　审核目录服务访问　　　　失败

　　审核特权使用　　　　　　失败

　　审核系统事件　　　成功　失败

　　审核账户登录事件　成功　失败

　　审核账户管理　　　成功　失败

3 ．本地策略―― > 用户权限分配

关闭系统：只有 Administrators 组、其它全部删除。

从网络访问些计算机：只有系统管理员与指定帐号。

4 ．使用 NTFS 格式分区  

把服务器的所有分区都改成 NTFS 格式。 NTFS 文件系统要比 FAT,FAT32 的文件系统安全得多。

5 ．设置屏幕保护密码  

很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。  

6 ．把共享文件的权限从 ”everyone” 组改成 “ 授权用户 ” 

“everyone”  在 win2000 与 win3003 中意味着任何有权进入你的 网络 的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成 ”everyone” 组。包括打印共享，默认的属性就是 ”everyone” 组的。

7 ．保障备份盘的安全  
　　一旦系统资料被破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份放在安全的地方。千万别把资料备份在同一台服务器上，我们在 3001 房间已经部署了备份服务器。

五、 关闭无用的服务

     1 ．我们一般关闭如下服务：

        Computer Browser  （浏览器更新）

        Help and Support  （计算机帮助）

        Messenger  （客户端与服务器之间的 netsend 和 alerter 服务消息）

        Print Spooler  （内存中便迟打印）

        Remote Registry （远程用户修改注册表）

        TCP/IP NetBIOS Helper  （ netbios 名称解析）

        Workstation  （创建和维护远程计算机的客户端网络连接）

        Telnet  （允许远程用户登录到些计算机）

        把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。

        2 ．在 " 网络连接 " 里，把不需要的协议和服务都删掉，只保留基本的 Internet 协议（ TCP/IP ），在高级 tcp/ip 设置 里 --"NetBIOS" 设置 " 禁用 tcp/IP 上的 NetBIOS （ S ） " 。

        3 ．禁用空会话

检查是否禁用了空会话，避免与服务器创建匿名（不进行身份验证的）会话。要进行检查，请运行 Regedt32.exe ，确认“ RestrictAnonymous ” 项已 设置 为 1 ，如下所示。

HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

        4 ．要审查共享和相关的权限，运行 “ 计算机管理 ”MMC 管理单元，然后选择 “ 共享文件夹 ” 下的 “ 共享 ” 。检查所有共享是否是需要的共享。删除所有不必要的共享。

删除默认共享bat脚本：

Net share / del ete C$

Net share / del ete D$

Net share / del ete E$

Net share / del ete IPC$

Net share / del ete ADMIN$

或者通过修改注册表的方式取消它： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters ： AutoShareServer 类型是 REG_DWORD 把值改为 0 即可

        5 ．不要在服务器上安装与应用程序无关的应用。

6 ． IIS ： IIS 是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，微软的 IIS 默认安装的配置是重点，我们现在用 IIS 服务的就公司一些网站。

    首先，把 C 盘那个什么 Inetpub 目录彻底删掉，在 D 盘建一个 Inetpub （要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在 IIS 管理器中将主目录指向 D:\Inetpub ；
     其次， IIS 安装时默认虚拟目录一概删除，虽然已经把 Inetpub 从系统盘挪出来了，但是还是小心，如果需要什么权限的目录可以自己慢慢建，需要什么权限开什么 . （注意写权限和执行程序的权限）

六、 修改端口号

1. 更改远程桌面端口

依次展开

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
         右边键值中 PortNumber 改为想用的端口号 . 使用十进制 ( 例 40228 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
        右边键值中 PortNumber 改为你想用的端口号 . 注意使用十进制 ( 例 40228 )
        注意：在 WINDOWS2003 自带的防火墙给 + 上 40228 端口
        修改完毕 . 重新启动服务器 . 设置 生效 .

2 ． 一般禁用以下端口
135 138 139 443 445 4000 4899 7626

3 ．更改 TTL 值
黑客可以根据 ping 回的 TTL 值来大致判断你的操作系统，如：
TTL=107(WINNT);
TTL=108(win2000);
TTL=127 或 128( xp);
TTL=240 或 241(linux);
TTL=252(solaris);
TTL=240(Irix);
更改端口号： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters ： DefaultTTL REG_DWORD 0-0xff(0-255 十进制 , 默认值 128) 改成一个莫名其妙的数字如 258 ，悟道一般的黑客侵入。

★     以下是服务器日常维护策略：

1．  系统帐号密码一个月更换一次满足复杂性；

2．  每星期清理一次系统日志文件，并查看做记录；

3．  每半个月全面杀毒一次，杀毒软件打开自动更新并半个月手动更新一次；

4．  系统更新设置为自动，并半个月检查更新一次；

5．  服务器硬件状况每月检查一次， CPU 、内存、硬盘使用率每月做一次统计；

6．  安装补丁、安装杀毒软件。