信息中心
--
服务器维护安全策略方案
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

                                    ----windows
平台

我们所用的服务器大多是
windows
平台的
windows server 2000
windows server 2003 windows
server2003
是目前最为成熟的网络服务器平台,安全性相对于
windows 2000
有大大的提高
,
但是
2003
2000
默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对
win2003
win2000
进行全面安全配置。安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被******,做为管理员,要结合我们真实使用的情况与所应用的程序来设置相应安全的策略,确保服务器永久安全运行。
以下是对我们现在服务器情况所做出的一些安全策略:

一、
windows
系统帐号

1
.将
administrator
改名
,
如改为
别名,如:
boco_ofm
;或者
取中文名
这样可以为******增加一层障碍

2
.将
guest
改名为
administrator
作为陷阱帐户,并且设置一个个高强度的密码,或直接禁用;(
有的***工具正是利用了
guest
的弱点,可以将帐号从一般用户提升到管理员组。

3
.除了管理员帐户、以及服务必须要用到的用户外,禁用或删除其他一切用户。

1
)网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多
一份被攻破的危险。

 
(2)
除过
Administrator
外,有必要再增加一个属于管理员组的帐号
;
(两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐
;
另方面,一旦***攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。)
(3)
给所有用户帐号一个复杂的口令
(
系统帐号出外
)
,长度最少在
8
位以上,
且必须同
时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词
(
boco)
、熟悉的键盘顺
(
qwert)
、熟悉的数字
(
2008)
等。
(
口令是******的重点,口令一旦被突破也就无任何系统安全可言了
,
通过在网络上查资料显示,仅字母加数字的
5
位口令在几分钟内就会被攻破
)

二、
密码与用户策略

1
.开启密码策略
  

    
注意应用密码策略,启用密码复杂性要求,设置密码长度最小值为
8
,设置强制密码历史为
5
次,时间为
31
天。

2
.开启用户策略
  

    
使用用户策略,分别设置复位用户锁定计数器时间为
30
分钟,用户锁定时间为
30
分钟,用户锁定阈值为
3
次。

 

三、
Windows
防火墙

Windows 2000
默认不带防火墙,需要我们自己安装一个安全的软件防火墙;

1
.开启前要先看看
3389
端口有没有加到例外里去,因为我们的服务器都放在机房,维护人员一般都是在远程维护,没有的话勾上远程桌面,然后再开启。

2
.在例外中加入
80
1433
21
端口,总之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:
windows
防火墙“高级”本地连接“设置”服务,勾上所要服务,如:远程桌面、
http
ftp
smtp
)。

3
.允许
ping
服务器:
windows
防火墙高级本地连接“设置”
ICMP
,勾上第一个:允许传入响应请求。

4
.在防火墙策略中在添加一个允许远程桌面的的IP地址通过。

四、
本地策略

1
.本地策略——
>
安全选项

  交互式登陆:不显示上次的用户名        启用

  网络访问:不允许
SAM
帐户和共享的匿名枚举   启用

  网络访问:不允许为网络身份验证储存凭证   
  
启用

  网络访问:可匿名访问的共享         全部删除

  网络访问:可匿名访问的命名管道       全部删除

  网络访问:可远程访问的注册表路径      全部删除

网络访问:可远程访问的注册表路径和子路径  全部删除

网络访问:限制匿名访问命名管道和共享

2
.本地策略——
>
审核策略

  审核策略更改   成功 失败  

  审核登录事件   成功 失败

  审核对象访问        失败

  审核过程跟踪   无审核

  审核目录服务访问    失败

  审核特权使用      失败

  审核系统事件   成功 失败

  审核账户登录事件 成功 失败

  审核账户管理   成功 失败

3
.本地策略——
>
用户权限分配

关闭系统:只有
Administrators
组、其它全部删除。

从网络访问些计算机:只有系统管理员与指定帐号。

4
.使用
NTFS
格式分区
 

把服务器的所有分区都改成
NTFS
格式。
NTFS
文件系统要比
FAT,FAT32
的文件系统安全得多。

5
.设置屏幕保护密码
 

很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。
 

6
.把共享文件的权限从
”everyone”
组改成
授权用户
” 

“everyone” 
win2000
win3003
中意味着任何有权进入你的
的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成
”everyone”
组。包括打印共享,默认的属性就是
”everyone”
组的。

7
.保障备份盘的安全
 
  一旦系统资料被破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份放在安全的地方。千万别把资料备份在同一台服务器上,我们在
3001
房间已经部署了备份服务器。

五、
关闭无用的服务

    
1
.我们一般关闭如下服务:

        Computer Browser 
(浏览器更新)

        Help and Support 
(计算机帮助)

        Messenger 
(客户端与服务器之间的
netsend
alerter
服务消息)

        Print Spooler 
(内存中便迟打印)

        Remote Registry
(远程用户修改注册表)

        TCP/IP NetBIOS Helper 
netbios
名称解析)

        Workstation 
(创建和维护远程计算机的客户端网络连接)

        Telnet 
(允许远程用户登录到些计算机)

       
把不必要的服务都禁止掉,尽管这些不一定能被***者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

        2
.在
"
网络连接
"
里,把不需要的协议和服务都删掉,只保留基本的
Internet
协议(
TCP/IP
),在高级
tcp/ip
设置
--"NetBIOS"
设置
"
禁用
tcp/IP
上的
NetBIOS
S
"

        3
.禁用空会话

检查是否禁用了空会话,避免与服务器创建匿名(不进行身份验证的)会话。要进行检查,请运行
Regedt32.exe
,确认
RestrictAnonymous
项已
设置
1
,如下所示。

HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1

        4
.要审查共享和相关的权限,运行
计算机管理
”MMC
管理单元,然后选择
共享文件夹
下的
共享
。检查所有共享是否是需要的共享。删除所有不必要的共享。

删除默认共享bat脚本:

Net share /<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />delete C$

Net share /delete D$

Net share /delete E$

Net share /delete IPC$

Net share /delete ADMIN$

或者通过修改注册表的方式取消它:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
AutoShareServer
类型是
REG_DWORD
把值改为
0
即可

        5
.不要在服务器上安装与应用程序无关的应用。

6
IIS
IIS
是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,微软的
IIS
默认安装的配置是重点,我们现在用
IIS
服务的就公司一些网站。
   
首先,把
C
盘那个什么
Inetpub
目录彻底删掉,在
D
盘建一个
Inetpub
(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在
IIS
管理器中将主目录指向
D:\Inetpub
    
其次,
IIS
安装时默认虚拟目录一概删除,虽然已经把
Inetpub
从系统盘挪出来了,但是还是小心,如果需要什么权限的目录可以自己慢慢建,需要什么权限开什么
.
(注意写权限和执行程序的权限)
六、
修改端口号

1.
更改远程桌面端口

依次展开

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
        
右边键值中
PortNumber
改为想用的端口号
.
使用十进制
(
40228 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
       
右边键值中
PortNumber
改为你想用的端口号
.
注意使用十进制
(
40228 )
       
注意:在
WINDOWS2003
自带的防火墙给
+
40228
端口
       
修改完毕
.
重新启动服务器
.
设置
生效
.

2
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
3
.更改
TTL
***可以根据
ping
回的
TTL
值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127
128( xp);
TTL=240
241(linux);
TTL=252(solaris);
TTL=240(Irix);
更改端口号:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255
十进制
,
默认值
128)
改成一个莫名其妙的数字如
258
,悟道一般的***侵入。

★    
以下是服务器日常维护策略:

1. 
系统帐号密码一个月更换一次满足复杂性;
2. 
每星期清理一次系统日志文件,并查看做记录;
3. 
每半个月全面杀毒一次,杀毒软件打开自动更新并半个月手动更新一次;
4. 
系统更新设置为自动,并半个月检查更新一次;
5. 
服务器硬件状况每月检查一次,
CPU
、内存、硬盘使用率每月做一次统计;
6. 
安装补丁、安装杀毒软件。