服务器安全策略SOP

服务器安全策略SOP

版本: V1.0

华拓数码科技有限公司

2016.02.22

目录

1安装Win 200x 安全概览 (2)

1.1硬盘分区的文件系统选择 (2)

1.2组件的定制 (2)

1.3接入网络时间 (2)

1.4账户安全管理 (2)

1.5安全审核 (2)

1.6卸载无用的组件模块 (2)

2基本系统设置 (3)

2.1安装补丁 (3)

2.2分区内容规划 (3)

2.3协议管理 (3)

2.4关闭所有以下不需要的服务 (3)

2.5删除OS/2 和POSIX 子系统 (4)

2.6帐号和密码策略 (4)

2.7设置文件和目录权限 (4)

2.8注册表一些条目的修改 (5)

2.9启用TCP/IP过滤 (5)

2.10移动部分重要文件并加访问控制 (5)

2.11下载Hisecweb.inf安全模板来配置系统 (6)

2.12 服务器上其他工具程序的替代 (6)

2.13设置陷阱脚本 (6)

2.14取消部分危险文件扩展名 (6)

3 IIS 安全设置 (6)

3.1关闭并删除默认站点 (6)

3.2建立自己的站点，与系统不在一个分区 (6)

3.3删除IIS的部分目录 (6)

3.4删除不必要的IIS映射和扩展 (7)

3.5禁用父路径 (7)

3.6在虚拟目录上设置访问控制权限 (7)

3.7启用日志记录 (8)

3.8备份IIS配置 (8)

3.9修改IIS标志 (8)

4 数据及备份管理 (9)

4.1备份 (9)

4.2设置文件共享权限 (9)

4.3防止文件名欺骗 (9)

4.4 Access数据库的安全概要 (9)

4.5 MSSQL 注入攻击的防范 (11)

5其他辅助安全措施 (11)

6简单设置防御小流量DDOS攻击 (12)

7日常安全检查 (15)

1安装Win 200x 安全概览

1.1硬盘分区的文件系统选择

在安装Win 200x时，如条件许可，应至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置，使其位置不在系统分区。对提供服务的机器，可按如下设置分区:

分区1：系统分区，安装系统和重要日志文件。

分区2：提供给IIS使用。

分区3：提供给FTP使用。

分区4：放置其他一些资料文件。（以上为示例，可灵活把握）

1.2组件的定制

不要按Win 200x的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。

典型Web服务器需要的最小组件是：

公用文件、Internet 服务管理器、WWW服务器。

1.3接入网络时间

在安装完成Win 200x操作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。

补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。

1.4账户安全管理

1）账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。

2）停用Guest账号，并给Guest 加一个复杂的密码。

3）把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。4）不让系统显示上次登录的用户名，具体操作如下：

修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值，把REG_SZ 的键值改成1。

1.5安全审核

在“管理工具→远程控制服务配置→连接”处，右键点击“RPD-TCP”连接，选择“属性”，在其窗口选中“权限”，点击右下角的“高级”，选择“审核”，增加一个“everyone”组，审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。

1.6卸载无用的组件模块

将\Winnt\inf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。

2基本系统设置

2.1安装补丁

安装Service Pack 和最新的hotfix；安装SQL和IIS系列补丁。

2.2分区内容规划

1）操作系统、Web主目录、日志分别安装在不同的分区。

2）关闭任何分区的自动运行特性：

可以使用TweakUI 等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。

2.3协议管理

卸载不需要的协议，比如IPX/SPX, NetBIOS；

在连接属性对话框的TCP)/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。

2.4关闭所有以下不需要的服务

以下仅供参考，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的依赖关系，设置不当可能导致某些功能的异常，甚至服务器不能工作！建议每次只设置两三个项目，重启测试无误后再设置其他项目！

* Alerter (disable)

* ClipBook Server (disable)

* Computer Browser (disable)

* DHCP Client (disable)

* Directory Replicator (disable)

* FTP publishing service (disable)

* License Logging Service (disable)

* Messenger (disable)

* Netlogon (disable)

* Network DDE (disable)

* Network DDE DSDM (disable)

* Network Monitor (disable)

* Plug and Play (disable after all hardware configuration)

* Remote Access Server (disable)

* Remote Procedure Call (RPC) locater (disable)

* Schedule (disable)

* Server (disable)

* Simple Services (disable)

* Spooler (disable)

* TCP/IP Netbios Helper (disable)

*Telephone Service (disable)

在必要时禁止如下服务：

* SNMP service (optional)

* SNMP trap (optional)