服务器安全设置的规范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
服务器安全设置的规范
一、服务器安装
1. 安装系统最少需要两个逻辑分区,主分区和逻辑分区格式都采用NTFS格式。windows2003操作系统系统分区不得低于60G,windows2008操作系统系统分区不得低于80G。
2•硬盘及文件夹权限:
⑴系统盘及其他逻辑磁盘只给Administrators组和System账户
完全控制权限:
⑵系统盘\lnetpub\目录下所有目录、文件只给Administrtors和
System账户完全控制权限:
⑶C:\Documents and Settings 目录只给Administrtors 禾口System
账户完全控制权限:
⑷C:\Docume nts and Sett in gs\All Users 目录只给Admi ni strtors
和System账户完全控制权限:
Admi
完全控制
nistrators
其他权限部分:
3. 账户安全设置
(1)账户要尽可能少,并且要经常检查系统账户、账户权限及密
码。删除已经不再使用的账户。
(2)停用Guest账号,并给Guest加一个复杂的密码。
(3)把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。
(4)不让系统显示上次登录的用户名,具体操作如下:
修改注册表“HKLM\Software\Microsoft\ WindowsNT'Current
Versio n\Win logo n\Dont Display Last User Name ”的键值,把
REG_SZ的键值改成1。
(5)应用密码策略,启用密码复杂性要求,设置密码长度最小值。
4. 本地安全策略设置
打开“本地安全策略”(开始菜单T>管理工具一>本地安全策略)
A、本地策略一一>审核策略(可选用)
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
B、本地策略一一>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略一一>安全选项
交互式登陆:不显示上次的用户名启用
网络访问:可匿名访问的共享全部删除
网络访问:可匿名访问的命名管道全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除5•系统防火墙设置:开启系统防火墙功能,添加业务系统相关端口访问权限。
6. 修改系统默认远程桌面端口号3389为其他端口,并在防火墙允许
通过(如不修改的话,务必将3389映射到外网的其他端口,不允许外网通过3389来远程服务器)
7. 操作系统安装完成,不要立即把服务器接入网络,因为这时的
服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。补丁的安装应该在所有应用程序安装完之后(具体顺序如:IIS、.Net环境、数据库、应用系统),因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁
不能起到应有的效果。在安装补丁时有些补丁不要盲目安装例如.Net 的相关补丁尽量不要安装。
8. 操作系统除安装以下工具软件:Office办公软件、解压缩软件、杀毒软件之外,禁止安装QQ、迅雷等与使用此系统无关的软件,工具软件中对操作系统自动更新的功能需要关闭。
9. 规划好各逻辑分区的功能分类,如:应用程序&数据库、文件备份等;办公软件、数据库安装文件、.NET安装文件、补丁文件等。统一存放到命名为tools的文件夹中。
10. 操作系统桌面上禁止存放程序安装包、程序升级脚本以及其他文件,可在规划的非系统分区建立文件夹并快键方式到桌面存储此类文件。
二、数据库设置
1. 各版本Sql数据库服务器必须安装相应的service pack。
2. 禁止Mssql数据库sa帐号的密码设置为空。保证sa的密码足够复杂。
3. 尽量每个数据库使用一个帐号和密码,比如建立了一个数据库,只给PUBLIC和DB_OWNER权限,不使用sa帐号。
4. 数据库访问端口1433如需外网访问,务必将1433映射成其他端口
或更改数据库访问端口1433为其他端口
5. 禁用xp_cmdshell,在外围应用配置里