服务器安全加固操作指南
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络通信安全管理员培训
WEB安全加固
操
作
指
南
邮电职业技术学院培训中心
二零一二年五月
1、Windows server 2003系统加固 (4)
1.1采集系统信息 (4)
1.2账号 (5)
1.2.1优化账号 (5)
1.2.2检测隐藏 (6)
1.2.3更改默认管理员用户名 (7)
1.3口令策略 (7)
1.4授权 (9)
1.5补丁管理 (10)
1.6安全配置 (11)
1.6.1IP协议安全配置 (11)
1.6.2屏幕保护 (13)
1.6.3安装防病毒软件 (14)
1.6.4病毒查杀 (15)
1.6.5木马查杀 (16)
1.7日志审核 (18)
1.7.1增强日志 (18)
1.7.2增强审核 (20)
1.8关闭不必要的端口、服务 (21)
1.8.1修改远程桌面端口 (21)
1.8.2关闭高危的数据库端口 (22)
1.8.3优化服务 (22)
1.8.4修改SNMP服务 (24)
1.9启动项 (24)
1.10关闭自动播放功能 (26)
1.11关闭共享 (26)
1.12使用NTFS (27)
1.13网络访问 (28)
1.14会话超时设置 (29)
1.15注册表设置 (29)
1.16其他 (30)
1.16.1网络限制 (30)
1.16.2安全性增强 (31)
1.16.3检查Everyone权限 (31)
1.16.4限制命令操作权限 (32)
1.16.5防病毒软件建立计划任务,每天深夜执行全盘扫描 (33)
1.16.6进行IP-MAC双向绑定 (33)
1.16.7第三方软件升级 (34)
1.16.8开启360safe arp防火墙 (34)
1.17Apache系统加固 (35)
1.17.1 (35)
1.17.2授权 (36)
1.17.3日志 (37)
1.17.4禁止访问外部文件 (38)
1.17.5目录列出 (39)
1.17.6错误页面重定向 (39)
1.17.7拒绝服务防 (40)
1.17.8隐藏Apache 的版本号 (40)
1.17.9关闭trace (41)
1.17.10禁用CGI (42)
1.17.11监听地址绑定 (42)
1.17.12补丁 (43)
1.17.13更改默认端口 (43)
1.17.14删除缺省安装的无用文件 (43)
1.17.15HTTP 加密协议 (44)
1.17.16连接数设置 (44)
1.17.17禁用非法HTTP (45)
1.18其他 (46)
1.18.1禁止SSI (46)
1..18.2上传目录设置 (46)
1.18.3保护敏感目录 (47)
1.18.4限制IP访问rrr (48)
1、Windows server 2003系统加固
1.1采集系统信息
操作名称采集系统的相关信息
检查方法查看系统版本ver
查看SP版本wmic os get ServicePackMajorVersion
查看Hotfix wmic qfe get hotfixid,InstalledOn
查看主机名hostname
查看网络配置ipconfig /all
查看路由表route print
查看开放端口netstat -ano
检查结果通过上述查看方法,采集到的系统信息如下:
加固方法无需加固
1.2账号
1.2.1优化账号
操作目的
了解系统的相关信息 加固结果 无需加固
操
作
名
称
优化账号
检
查
要
求
应按照不同的用户分配不同的账号,避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享;查看是否有不用的账号,系统账号所属组是否正确以及guest 账号是否锁定;按照用户分配账号。对于管理员,要求更改缺省名称;禁用guest (来宾)。 检
查
方
法
开始->运行->compmgmt.msc (计算机管理)->本地用户和组, 检
查
结
果
使用net user 查看到的账号:
在计算机管理中看到的账号:
1.2.2检测隐藏
加
固
方
法
删除或锁定与设备运行、维护等无关的账号。 使用“net user 用户名 /del ”命令删除账号 使用“net user 用户名 /active:no ”命令锁定账号。 操
作
目
的
减少系统无用账号,降低风险 加
固
结
果 下图中蓝色标记的账号为本次禁用的无关账号。
操作名称 检测隐藏
检查要求 通过查看计算机管理-本地用户和组-用户,注册表中的SAM ,查找是否有类
似admin$之类的隐藏。
检查方法 开始->运行->compmgmt.msc (计算机管理)->本地用户和组;
开始->运行-> regedit -> HKEY_LOCAL_MACHINE\SAM\SAM ,右键点击SAM ,点
击权限,允许Administrators 组完全控制和读取SAM ,刷新后查看
SAM\Domains\Accout\Users\Names 。
检查结果 开始->运行->compmgmt.msc (计算机管理)->本地用户和组:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names :