服务器安全策略

服务器安全策略

服务器安装

针对我们公司的服务器Windows server 2008 Enterprise版。将系统格式设置为NTFS，装完系统后立刻安装正版的服务器专用杀毒软件和防火墙并升级到最高版本。将由微软公司根据最新的安全要求提供的系统漏洞补丁及时安装，安装这些漏洞补丁可将由于这些系统漏洞所引起的安全隐患扼杀在萌芽中。

管理员默认的账号administrator需要更改名称，按照当前的暴力破解密码软件的能力，管理员密码复杂度一定要高，最好是字符、数字、字母、特殊符号等组合的十三位以上的字符串。其中最好包括一些“*”、“$”、“#”特殊字符。以增强服务器登录账号的安全性。将一些不必要使用的账号“guest”停用。方法：运行compmgmt.msc打开计算机管理，用户里面把Guest账号改名并禁用，为了保险起见，给Guest加一个复杂的密码。并定期更改密码防止破解。

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用。

另外，如需访问远程桌面3389端口的，管理员可以将其更改端口号以提高安全性。方法：

1.修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] PortNumber值，默认是3389，修改成所希望的端口，改成6565

2.修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] PortNumber值，默认是3389，修改成所希望的端口，改成6565。

防火墙

防火墙是隔离校园内网络与校外网络的一道防御闸门。一般用于校园局域网与外部广域网之间，通过在防火墙的安全设置有效的限制外部网络用户以各种非法的手段来访问校内

web系统资源，来达到保护服务器的安全。根据防火墙的安全规则，防火墙对任何外部网络访问校园内部网络的行为进行管理，一般将有安全隐患的服务端口进行屏蔽，有限的开放需要使用的服务器端口。例如8080端口，并在防火墙记录外部网络访问web服务器的安全日志。使用的入站规则和出站规则。

SQL数据库

安装好Windows SQL server 2008数据库后，设置数据库管理员账号的密码，密码的复杂程度与系统管理一致。将数据库的访问端口1433更改为其他端口，提高数据库的安全性。

数据库备份分为手动备份和自动备份。

自动备份的方法：

1.打开数据库，点击“管理”下的“维护计划”右击，

选择“维护计划向导”

取一个名字，并设定计划，点击“更改”。按照需要进行设定。

点击“确定”，

按照我们的需要，一般选择上面这三项。

点击“下一步”

选择需要备份的数据库，并选择备份路径。

可以为每个数据库创建子目录，并验证备份完整性。

以此类推，完成三个文件的存储，最终即可完成自动备份。

FTP

目前，朝阳云系统使用文件服务器，采用的端口是默认的21，由于这是客户端可以从正常渠道上传文件到服务器的手段，一旦给黑客软件利用了，获取了文件上传的用户和密码，把病毒文件或者代码上传到服务器将会影响web服务器系统和网站的正常运行。因此安装FTP首先要更改端口号。设置ftp账号和密码时密码的复杂程度与系统管理员账号密码一致。

网络服务安全管理

1.禁止C$、D$、ADMIN$一类的缺省共享

打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0。

2.解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS。

关闭不需要的服务，以下为建议选项（不要全部修改，按需修改）

Computer Browser：维护网络计算机更新，禁用

Distributed File System：局域网管理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

3.安全策略自动更新命令

GPUpdate /force

4.隐藏重要文件/目录

可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0。

IP 隔离

打开：控制面版--管理工具-本地安全设置。点左边的IP安全策略，在本地计算机。

然后在右边点右键--创建IP安全策略，打开IP安全策略向导。

下一步，出现IP安全策略名称，随便起个就行。比如叫阻止192.168.1.163

下一步，出现激活默认响应规则，不要选中，把钩去掉。

下一步，选中编辑属性，完成。

然后出现了IP安全策略属性，点下边的添加，出现规则属性，点击添加，出现IP策略器列表。把使用添加向导去掉，点右边的添加，出现筛选器属性。

寻址栏原地址选一个特定的IP 192.168.1.163。目标IP是我的IP地址。然后点击确定。

现在回到IP 筛选器列表，点击确定，在规则属性里应该多了个列表，选中它。然后切换到筛选器操作选项卡，把使用添加向导去掉，点击添加。在出现的筛选器操作属性里的安全措施选项卡中，选择阻止，点击确定。在筛选器操作选项卡中会多出一个阻止的选项，选中它。

总之，在IP筛选器列表中你要选中你建的那个列表，筛选器操作中要选中阻止。然后

点击应用以后关闭。

现在回到IP安全策略属性这里，把你建的IP筛选器列表钩上，点击关闭。

这时，在你最开始打开的本地安全设置里会多出一个策略，就是你建立的“阻止192.168.1.163”。在它身上点右键，选择指派，就OK了。

Web服务器日常的运行和维护

做到基本的安全防御需求后，接下来就是服务器的日常运行与维护，发现问题及时处理，确保网站正常的运行。日常维护包括，定期检查web服务器硬件的运行状态。打开进程管理器，查看服务器性能，观察cpu、内存和进程运行状况。是否有cpu和内存占用过高或者出现不正常的进程等异常情况，检查用户和组是否出现不知名的账号并获取管理员的权限，