Windows Server系统自身安全防护措施 提示: 为慎重操作,可以先在测试机做关闭测试,最好通过与厂方工程师商定后再设置。 一、关闭服务器不必要端口 利用win2003自带防火墙关闭所有端口,如就留一个端口:80 。(设置有两种方法,一个使用windows自带防火墙设,一个实在TCP/IP属性里设。) 设置方法: 1、在“网络连接”属性里设置windows防火墙。 2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。
二、在服务中关闭不必要的服务 以下服务可以关闭: Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序
Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重,以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。 作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务,所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有,则禁用
Print Spooler Remote Registry 因为我们使用的是云主机,跟单机又不一样,所以有些服务并不能一概而论,如上面的Server服务。例如天翼云的主机,上海1和内蒙池的主机就不一样,内蒙池的主机需要依赖Server服务,而上海1的不需要依赖此服务,所以上海1的可以禁用,内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性,删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
A W S服务器配置部署手 册 Company Document number:WTUT-WT88Y-W8BBGB-BWYTT-19998
aws服务器配置部署手册 一、实例的启动(创建) 1.什么是实例 在所有工作之前,我们来看一看什么是AmazonEC2.根据其官方文档的解释如下: 在知道什么是AmazonEC2,之后我们就可以开始我们的工作了。 AmazonEC2提供不同的实例类型,以便可以选择需要的CPU、内存、存储和网络容量来运行应用程序。登录帐号,进入EC2的控制面板,启动实例。 2.实例的相关配置 根据我们的需求选择MicrosoftWindowsServer2012R2Base,。 其他过程直接选择默认配置,点击配置安全组。 默认的安全组只有一个规则,这条规则对应的是远程桌面连接的端口。但是只有这条规则是不够的,为了方便我们之后服务器的配置以及网站的部署,我们得添加其他的规则,下图是我配置帕累托后台所用的安全组。(有关安全组端口作用在附件中有部分说明,详见附件1) 完成相关工作之后,点击审核和启动,会跳出如下页面,这一步很重要!因为在这创建的密钥对,以后都会用到。 在保存好密钥对之后就可以启动实例了。 3.绑定弹性IP 在导航栏中找到弹性IP,点击分配新地址。创建好之后右击,选择关联地址,将其关联到我们的实例上。
二、服务器的配置 1.远程桌面连接 实例在创建完成之后,就要配置服务器了。在配置服务器时,需要通过远程桌面连接进入实例进行配置。 首先查看我们实例的安全组有没有配置远程连接的端口,如果没有进行添加配置(导航栏中找到安全组,点击进入)。 若实例需要添加安全组,在安全组创建之后可以右击实例更改安全组进行安全组的绑定。 在完成端口的开放之后,就可以进行远程桌面连接了。右击我们的实例,点击连接,跳出如下画面。 首先通过之前保存的密钥对获取密码,然后通过下载的远程桌面文件和解密得到的密码进行连接。 2.服务器配置之添加角色和功能 进入后点击开始按钮,选择服务器管理器(实例中默认的服务器只有一个,我们的工作只需要一个,所以暂不做添加修改。) 点击第二项添加角色和功能,一路下一步,直到服务器和角色页面,勾选Web 服务器(IIS)选项(根据个人需求进行相关筛选), 在功能页面同样勾选需要的功能,最后确认并安装。 3.服务器配置之防火墙配置 在服务器配置中还有一个非常重要的步骤——防火墙的配置。之前因为没有对防火墙进行相关配置,导致本人焦头烂额,始终无法从外部网络连接至服务器。
6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。(具体见本文附件1) 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份
修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )
网络安全界有句名言:最少的服务加最小的权限等于最大的安全。 公司服务器配置情况如下: 67、68、69、70的服务器安装的系统是WIN2000 Advance Server版本,采用了IIS5.0作为虚拟主机系统,为保证系统的安全和数据的可靠,特将硬盘划分为系统盘与数据盘,WIN2000安装于系统盘上,数据库系统安装在数据盘上. 服务器上采取的安全防护措施如下: 1. 所有的分区都格式化成NTFS格式,保证对用户权限的控制.给予administrators 和system完全控制的权限,将系统默认的everyone的完全控制权限删除,根据不同用户再分别授予相应的权限。 2. 将硬盘空间分成系统分区(安装操作系统),网站分区(运行虚拟主机和客户网站,后台数据库的分区),备份分区(做数据与程序的备份存储用)。 3. 开启了事件审核功能,对用户登录,策略改动以及程序运行情况进行实时监控,保证在系统被破坏的情况下也能有案可查。 4. 对于后台数据库中的用户数据,在SQLSERVER中进行了设置,每天晚上会自动执行一次所有后台数据库数据的备份工作,即使当天客户的数据库被误删除了,也能找到前天晚上备份的所有数据,保证客户数据的安全可靠。 5. 对于前台网站,我们采用系统自带的备份功能,设置了每周的备份计划,将客户的网站在每周日进行一次完全备份.保证了客户网站的数据完整。 6. 在IIS安装时只安装了WEB服务,其余的FTP、SMTP、NNTP均未安装。 7. FTP服务器采用了Ser-U服务器程序,运行稳定且可靠,并升级到了最新的版本,禁止匿名用户的登陆,给每个用户分配了一个强健的密码,并设定了只能访问其自身的目录。 8. 操作系统安装好以后,及时打好了SP4和系统安全补丁,防止了病毒感染和黑客攻击的可能性,保证了系统的正常安全运行.在微软的漏洞被发现以后,及时升级系统,打好系统补丁。 9. 同时安装了微软自带的终端服务和SYMANTEC公司的pcanywhere远程控制软件,即使一个远程控制服务没能开启,也可以保证采用另一个远程登陆方式能连接上服务器。 10. 防病毒软件采用了SYMANTEC公司的norton防病毒软件,并每周按时升级后杀毒,保证了系统的无毒和安全。 11. 禁用了来宾用户帐号,对系统管理员帐号进行了重命名,最大限度地减少了系统被攻击的可能性。 12. 对系统的用户的密码进行了控制,管理员的密码采用了字母与数字以及特殊字符相结合的办法,防范暴力破解密码的可能性,保证服务器的安全。 13. 对于测试法破解密码的方法,采取了五次密码输错即锁定用户30分钟的做法,防止测试法试探密码。 14. 采用了网络漏洞扫描工具定期对服务器进行网络安全的检查和测试,发现安全漏洞后及时修补,防止安全问题的产生。 15. SQL Server 2000数据库安装以后即升级到SP3的版本,减少数据库漏洞的产生,防止了蠕虫病毒的感染和黑客的破坏。 16. 数据库中的SA超级用户采用了个强健的密码,并对每个用户使用的数据库制定了一个用户名和密码,并设定了相应的权限。每个用户只能对本数据库进行操作,有效地防止了跨库
服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 口令策略
网络服务 优化服务(1) 操作目的关闭不需要的服务,减小风险 加固方法“Win+R”键调出“运行”->services.msc,以下服务改为禁用: Application Layer Gateway Service(为应用程序级协议插件提供支持并启用网 络/协议连接) Background Intelligent Transfer Service(利用空闲的网络带宽在后台传输文 件。如果服务被停用,例如Windows Update 和 MSN Explorer的功能将无法自动 下载程序和其他信息) Computer Browser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏 览) DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry(使远程用户能修改此计算机上的注册表设置) Print Spooler(管理所有本地和网络打印队列及控制所有打印工作) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个 页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络 上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网 络)
文件编号:RHD-QB-K7255 (管理制度范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 网络服务器安全保密制 度标准版本
网络服务器安全保密制度标准版本操作指导:该管理制度文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 为确保公司ERP软件稳定安全的运行,现根据公司的网络运行环境及硬件设施特制定出如下安全保密措施及制度: 一、服务器安全防护措施 1、在两台ERP服务器上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对服务器系统的干扰和破坏。 2、做好生产日志的留存。服务器具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况等。 3、ERP系统软件建立双机热备份机制,一旦主
服务器系统遇到故障或受到攻击导致不能正常运行,保证备用服务器系统能及时替换主系统提供服务。 4、关闭服务器系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,设置定期病毒查杀。 5、服务器平时处于锁定状态,并保管好登录密码;远程桌面连接设置超级用户名及密码,并绑定IP及MAC地址,以防他人登入。 6、服务器提供集中式权限管理,针对不同的应用系统、终端、操作人员,由服务器系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由服务器系统管理员定期检查操作人员权限。
WEB+FTP+Email服务器安全配置手册 作者:阿里西西 2006-8-11
目录第一章:硬件环境 第二章:软件环境 第三章:系统端口安全配置 第四章:系统帐户及安全策略配置 第五章:IIS和WEB站点文件夹权限配置第六章:FTP服务器安全权限配置 第七章:Email服务器安全权限配置 第八章:远程管理软件配置 第九章:其它安全配置建议 第十章:篇后语
一、硬件环境 服务器采用1U规格的机架式托管主机,大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。 二、软件环境 操作系统:Windows Server 2003 Enterprise Edition sp1 WEB系统:Win操作系统自带IIS6,支持.NET 邮件系统:MDaemon 8.02英文版 FTP服务器系统:Serv-U 6.0.2汉化版 防火墙: BlackICE Server Protection,中文名:黑冰 杀毒软件:NOD32 2.5 远程管理控件:Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库:MSSQL2000企业版 相关支持组件:JMail 4.4专业版,带POP3接口;ASPJPEG图片组件 相关软件:X-SCAN安全检测扫描软件;ACCESS;EditPlus [相关说明] *考虑服务器数据安全,把160G*2硬盘做成了阵列,实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区;NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。操作系统安装完后,第一时间安装NOD32杀毒软件,装完后在线更新病毒库,接着在线Update操作系统安全补丁。 *安装完系统更新后,运行X-SCAN进行安全扫描,扫描完后查看安全报告,根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。
WebSphere Web服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权 (5) 2.1帐号 (5) 2.1.1应用程序角色 (5) 2.1.2控制台帐号安全 (5) 2.1.3口令管理 (6) 2.1.4密码复杂度 (6) 2.2认证授权 (7) 2.2.1控制台安全 (7) 2.2.2全局安全性与Java2安全 (7) 第3章日志配置操作 (9) 3.1日志配置 (9) 3.1.1日志与记录 (9) 第4章备份容错 (10) 4.1备份容错 (10) 第5章设备其他配置操作 (11) 5.1安全管理 (11) 5.1.1控制台超时设置 (11) 5.1.2示例程序删除 (11) 5.1.3错误页面处理 (12) 5.1.4文件访问限制 (12) 5.1.5目录列出访问限制 (13) 5.1.6控制目录权限 (13) 5.1.7补丁管理* (13) 第6章评审与修订 (15)
第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web 服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。 1.2适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。 1.3适用版本 6.x版本的WebSphere Web服务器。 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
随着网络技术的发展,服务器面临着越来越多的安全威胁。因此,加强服务器的安全防护成为一项迫切需要解决的问题。那么到底该怎么做才能使服务器更安全呢?今天,我们来谈一谈具体的防护措施,可以从以下五大方面入手: 一、安全设置 1、加强服务器的安全设置 以Linux为操作平台的服务器安全设置策略,能够有效降低服务器的安全隐患,以确保它的安全性。安全设置主要包括:登录用户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置服务器有关目录的权限等。 2、加强内网和外网的安全防范 服务器需要对外提供服务,它既有域名,又有公网IP,显然存在着一些安全隐患。因此,可以给服务器分配私有的IP地址,并且运用防火墙来做NAT (网络地址转换),可将其进行隐藏。 有些攻击来源于内网,如果把内网计算机和服务器放置在相同的局域网之内,则在一定程度上会增加很多安全隐患,所以必须把它划分为不同的虚拟局域网。运用防火墙的“网络地址转换”来提供相互间的访问,这样就能极大提
高服务器的安全性和可靠性。 把服务器连接至防火墙的DMZ(隔离区)端口,将不适宜对外公布的重要信息的服务器,放在内部网络,进而在提供对外服务的同时,可以最大限度地保护好内部网络。 3、网络管理员,要不断加强网络日常安全的维护与管理 要对“管理员用户名与密码”定期修改;要对服务器系统的新增用户情况进行定时核对,并且需要认真仔细了解网络用户的各种功能;要及时更新服务器系统的杀毒软件以及病毒数据库,必要时,可针对比较特殊的病毒,安装专门的杀毒程序,同时要定期查杀服务器的系统病毒,定期查看CPU的正常工作使用状态、后台工作进程以及应用程序等。如若发现异常情况,需要及时给予妥当处理。因为很多“病毒与木马程序”,都是运用系统漏洞来进行攻击的,所以需要不断自动更新服务器系统,以及定期扫描服务器系统的漏洞。 很多服务器已经成为了“病毒、木马程序”感染的重灾区。不但企业的门户网站被篡改、资料被窃取,而且本身还成为了“病毒与木马程序”的传播者。有些服务器管理员采取了一些措施,虽然可以保证门户网站的主页不被篡改,但是却很难避免自己的网站被当作“肉鸡”,来传播“病毒、恶意插件、木马程序”等等。这很大一部分原因是,网络管理员在网站安全的防护上太被动。他们只是被动的防御,而没有进行主动防御和检测。为了彻底提高服务器的安全等级,网站安全需要主动出击。、
WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案
备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.doczj.com/doc/4d16427270.html,(可选) |——启用网络COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除
某世界500强公司的服务器操作系统安全配置标准-Windows 中国××公司 服务器操作系统安全配置标准-Windows V 1.1 2006年03 月30 日 文档控制 拟制: 审核: 标准化: 读者: 版本控制 版本提交日期相关组织和人员版本描述 V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用 8.3 格式文件名的自动生成 8 4.5 禁用 LMHASH 创建 8 4.6 配置 NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11 6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16
8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用NTFS文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 18 1 概述 本文档规定了中国××公司企业围安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用围 本规的使用者包括: 服务器系统管理员、应用管理员、网络安全管理员。 本规适用的围包括: 支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施 本规的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准一经颁布,即为生效。 1.3 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护 根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。 任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制 基本策略:用户被赋予唯一的用户名、用户ID(UID)。 3.1 密码策略 默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。 策略默认设置推荐最低设置 强制执行密码历史记录记住 1 个密码记住 4 个密码 密码最长期限 42 天 42 天 密码最短期限 0 天 0 天 最短密码长度 0 个字符 8 个字符 密码必须符合复杂性要求禁用启用
2003服务器系统安全配置-中级安全配置 08-06-16 05:27 发表于:《玉色主流空间》分类:未分类 [作者:墨鱼来源:互联网时间:2008-6-14QQ书签搜藏]【大中小】 2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般 入侵,需要高级服务器安全维护,请联系我。我们一起交流一下!做为一 个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者 代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的 密码一定要强壮! 服务器安全设置 1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去 除. 3.启用windows自带防火墙,只保留有用的端口,比如远程和 Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.
4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.
5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户. 6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.
7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。) 8.在安全设置里本地策略-安全选项将 网络访问:可匿名访问的共享 ; 网络访问:可匿名访问的命名管道 ; 网络访问:可远程访问的注册表路径 ; 网络访问:可远程访问的注册表路径和子路径 ; 以上四项清空.
服务器的安全与防护 摘要服务器端病毒防护与客户端防护有许多共同之处,二者都试图保护同一基本个人计算机环境。服务器是Web应用的灵魂,服务器端的安全问题较之客户端而言有过之而无不及。两者的主要差异在于,服务器端防护在可靠性和性能方面的预期级别通常高得多。此外,鉴于许多服务器在组织基础结构中起到的特有作用,通常需要制定专门的防护解决方案。本文主要探讨服务器的安全与防护。 【关键词】服务器安全防护 服务器是整个电子商务活动中最关键的一个环节,如果服务器的正常运行遭到破坏,由此而导致的损失应该是最严重的。公司将无法进行WWW展示,以往开展的电子商务活动也都无法进行。如果服务器上的数据也遭到破坏,严重时甚至可能导致法律纠纷。 1 服务器的安全威胁 1.1 对WWW服务器的安全威胁 WWW服务器软件是用来响应HTTP请求进行页面传输的。基于严谨规范的研究程序,在对资料进行大量收集、系统分析和反复检验后得到结果是扎根理论最大的特点。不依赖于既定的理论,而是利用原始数据得到结果的过程能够使
研究者对原始资料进行充分的利用,并给予研究者足够的自由来控制研究中的部分变量,充分发挥研究者的主观能动性,从而提高研究的准确性、科学性、可验证性和信度。 1.2 对数据库的安全威胁 电子商务系统用数据库存储用户数据,并可从WWW服务器所连的数据库中检索产品信息。关联式登录并不是要把范畴联系起来构建一个全面的理论框架,只是要发展主范畴和副范畴。相较于开放式登录发展性质和维度,关联式登录则发展范畴。核心式登录是指选择核心范畴,把它系统地和其他范畴予以联系,验证其间的关系,并把概念尚未发展完备的范畴补充完整的过程。核心式登录的主要任务就是系统分析所有已被发现的概念类属,然后从这些概念类属中选择一个能够统领其他所有范畴的“核心类属”,接着继续分析那些与核心类属相关的目次类别。 2 服务器安全的防护 2.1 防火墙技术 防火墙技术是一种隔离技术,是在两个网络通信时执行的一种访问控制,它能最大限度地阻止网络中的黑客更改、复制、毁坏重要信息。 2.2 数据加密技术和用户授权访问控制技术 为了确保数据不会在设备上或传输过程中被非法窃取,对网络传输数据加密是一个十分重要的安全措施。数据加密
Apache服务器配置安全规范以及其缺陷!正如我们前言所说尽管Apache服务器应用最为广泛,设计上非常安全的程序。但是同其它应用程序一样,Apache也存在安全缺陷。毕竟它是完全源代码,Apache服务器的安全缺陷主要是使用HTTP 协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行拒绝服务(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷。主要安全缺陷(1)使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增,最终造成Apache系统变慢甚至完全瘫痪。(2)缓冲区溢出的安全缺陷该方法攻击者利用程序编写的一些缺陷,使程序偏离正常的流程。程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。(3)被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程),攻击者会通过它获得root权限,进而控制整个Apache系统。(4)恶意的攻击者进行拒绝服务(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞,它主要是存在于Apache的chunk encoding中,这是一个HTTP协议定义的用于接受web用户所提交数据的功能。所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性,由于Apache服务器其庞大的项目,难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题:(1)Apache服务器配置文件Apache Web服务器主要有三个配置文件,位于 /usr/local/apache/conf目录下。这三个文件是:httpd.conf-----主配置文件srm.conf------填加资源文件access.conf---设置文件的访问权限(2)Apache服务器的目录安全认证在Apache Server中是允许使用 .htaccess做目录安全保护的,欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案,档名为.htaccss。AuthName 会员专区 AuthType BasicAuthUserFile /var/tmp/xxx.pw -----把password放在网站外 require valid-user 到apache/bin目录,建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 -----第一次建档要用参数-c % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容,进入要用合法的用户。注:采用了Apache内附的模组。也可以采用在httpd.conf中加入:options indexes followsymlinks allowoverride authconfig order allow,deny allow from all (3)Apache服务器访问控制我们就要看三个配置文件中的第三个文件了,即access.conf文件,它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令,再使用allow from指令打开访问权限。order deny,allowdeny from allallow from https://www.doczj.com/doc/4d16427270.html, 设置允许来自某个域、IP地址或者IP段的访问。(4)Apache服务器的密码保护问题我们再使 用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打开目录的访问控制。如:AuthName PrivateFilesAuthType BasicAuthUserFile /path/to/httpd/usersrequire Phoenix# htpasswd -c /path/to/httpd/users Phoenix设置Apache服务器的WEB和文件服务器我们在Apache服务器上存放WEB 服务器的文件,供用户访问,并设置/home/ftp/pub目录为文件存放区域,用
中国××公司 服务器操作系统安全配置标准-Windows 2006年03 月30 日 文档控制 拟制: 审核: 标准化: 读者: 版本控制 版本提交日期相关组织和人员版本描述V1.0 2005-12-08 V1.1 2006-03-30 1 概述 1 1.1 适用范围 1 1.2 实施 1 1.3 例外条款 1 1.4 检查和维护 1 2 适用版本 2 3 用户账号控制 2 3.1 密码策略 2 3.2 复杂性要求 2 3.3 账户锁定策略 3 3.4 内置默认账户安全 3 3.5 安全选项策略 4 4 注册表安全配置 6 4.1 注册表访问授权 6 4.2 禁止匿名访问注册表 7 4.3 针对网络攻击的安全考虑事项 7 4.4 禁用8.3 格式文件名的自动生成 8 4.5 禁用LMHASH 创建 8 4.6 配置NTLMSSP 安全 8 4.7 禁用自动运行功能 8 4.8 附加的注册表安全配置 9 5 服务管理 9 5.1 成员服务器 9 5.2 域控制器 10 6 文件/目录控制 11
6.1 目录保护 11 6.2 文件保护 12 7 服务器操作系统补丁管理 16 7.1 确定修补程序当前版本状态 16 7.2 部署修补程序 16 8 系统审计日志 16 9 其它配置安全 17 9.1 确保所有的磁盘卷使用NTFS文件系统 17 9.2 系统启动设置 17 9.3 屏幕保护设置 17 9.4 远程管理访问要求 18 10 防病毒管理 18 11 附则 18 11.1 文档信息 18 11.2 其他信息 18 1 概述 本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Windows操作系统的安全配置。 1.1 适用范围 本规范的使用者包括: 服务器系统管理员、应用管理员、网络安全管理员。 本规范适用的范围包括: 支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。 1.2 实施 本规范的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准一经颁布,即为生效。 1.3 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。 1.4 检查和维护 根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。 任何变更草案将由中国××公司信息系统管理部门进行审核批准。各相关部门经理有责任与其下属的组织和员工沟通变更的内容。 2 适用版本 Windows 2000 Server; Windows 2003. 3 用户账号控制 基本策略:用户被赋予唯一的用户名、用户ID(UID)。 3.1 密码策略 默认情况下,将对域中的所有服务器强制执行一个标准密码策略。下表列出了一个标准密码
目录 防火墙配置一:SNAT配置 (3) 防火墙配置二:DNAT配置 (5) 防火墙配置三:透明模式配置 (10) 防火墙配置四:混合模式配置 (13) 防火墙配置五:DHCP配置 (16) 防火墙配置六:DNS代理配置 (17) 防火墙配置七:DDNS配置 (19) 防火墙配置八:负载均衡配置 (21) 防火墙配置九:源路由配置 (23) 防火墙配置十:双机热备配置 (24) 防火墙配置十一:IP-QoS配置 (27) 防火墙配置十二:应用QoS配置 (30) 防火墙配置十三:Web认证配置 (33) 防火墙配置十四:会话控制配置 (39) 防火墙配置十五:IP-MAC绑定配置 (40) 防火墙配置十六:禁用IM配置 (42) 防火墙配置十七:URL过滤配置 (44) 防火墙配置十八:网页内容过滤配置 (48) 防火墙配置十九:基于路由静态IPSEC配置 (50) 防火墙配置二十:基于路由动态IPSEC配置 (55) 防火墙配置二十一:基于策略静态IPSEC配置 (64) 防火墙配置二十二:SSLVPN配置 (72) 防火墙配置二十三:防病毒配置 (77) 防火墙配置二十四:IPS配置 (81) 防火墙配置二十五:日志服务器配置 (84) 防火墙配置二十六:邮件形式输出日志信息 (86) 防火墙配置二十七:记录上网URL日志配置 (88)
防火墙配置二十八:Web外发信息控制 (89) 防火墙配置二十九:配置管理及恢复出厂 (92)
防火墙配置一:SNAT配置 一、网络拓扑 二、需求描述 配置防火墙使内网192.168.1.0/24网段可以访问internet 三、配置步骤 第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置,通过Webui登录防火墙界面如下: 输入缺省用户名admin,密码adminadmin后点击登录,配置外网接口地址