服务器安全加固手册.pdf
10页
1/10服务器安全加固手册作者:张砾君 集团信息技术部 摘要为提升服务器安全性,减少信息资产的泄漏风险,我们需要对服务器进行安全加固,从系统策略、应用程序、帐号密码等各方面进行加强,避免一些低级安全问题的出现本文基于集团信息化安全规定,针对服务器安全配置的方法进行详细描述并提供了服务器加固检查表模板,方便系统管理员对加固的步骤及结果进行检查服务器安全加固检查表注意:请先将如下工具包复制到本地:网络安全服务器安全工具包;对于操作熟练的管理员,可以按照如下表格进行加固:服务器加固检查表服务器 IP:加固日期:加固人:服务器用途:应用数据库其他类型加固内容影响对策1 服务器加固更改系统管理员(Administrator)帐号及密码使用管理员帐号的服务将会受到影响检查服务及DTS看所有者是否为管理员2 禁用 guest 用户使用 guest 将无法登陆3 禁用远程桌面连接,并更改3389 端口将无法使用mstsc 进行访问使用 DameWare连接4 启用 windows 防火墙,打开1433、80、6129、3500 将无法 PING通该机器,并且无法通过网络直接访问;应用没有没有打开的端口的服务将关闭检查 IIS 中的应用;通知应用管理员5 将服务器加入域需要重启。
域管理员可以访问,并默认应用域安全策略,自动打补丁6 安装安全卫士360,安装所有补丁需要重启7 加固服务器(禁止空连接和远程操作注册表/取消上次登陆名显示)无影响8 关闭所有共享目录将无法通过共享目录访问服务器文件使用 DameWare连接9 检查影子帐号无影响10 数据库加固禁用 sa 帐号使用 sa 验证的数据库连接将失败修改所有数据库连接,创建新的登录帐号11 删除不安全存储过程未知12 IIS 加固关闭上传文件的文件夹执行权限未知13 关闭目录浏览权限未知14 关闭目录写入权限未知15 更改 IIS默认主目录未知名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 10 页 -2/101.加固步骤详解1.1 加固服务器使用工具“安全加固工具.exe”(两个SQL文件是其专用文件),重启计算机1.1.1修改管理员帐号与密码在“我的电脑”右键,点击“管理”,进入“本地用户和组”,点击“用户”,在“Administrator”用户上右键点击“重命名”和“设置密码”然后点击“确认”按钮完成该步骤1.1.2修改远程访问端口一般建议把服务器的远程桌面访问功能禁用,并且修改默认端口号。
注意,第二步设置了新的远程访问端口号后要将新的终端号(如8190)在防火墙中的例外中加入,再次远程时请使用 IP 加新端口号登录(例子:192.168.8.123:8190)如果运行失败,可通过注册表进行修改,包括两个地方:名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 10 页 -3/101.1.3修改注册表访问点击“开始”执行该操作名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 10 页 -4/101.2 打开 windows 防火墙:“开始”-“控制面板”-“windows 防火墙”,选择启用,这时不要点击确认,需要做如下操作:1.2.1添加例外端口进入“例外”标签,把需要的端口好加上1.2.2设置安全日志进入“高级”标签,点击安全日志记录的设置按钮名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 10 页 -5/101.2.3设置 ICMP 如果需要PING 通服务器,点击ICMP 的“设置”按钮选择“允许传入回显请求”最后点击“确定”按钮名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 10 页 -6/101.3 开启防护软件1.运行“服务器安全工具包”中的“360setup.exe”,开启所有防护。
2.退出 360,安装 360 病毒码升级,文件位置在“网络安全 360 补丁 补丁20090618.exe”3.安装后请点击“实时保护”,将其中选项全部启用,然后点击首页的“全面检测”按钮,进行一次全面的检测,找出安全漏洞4.根据检查结果,安装所有补丁并解决所有不安全项1.4 更改安全策略更改本地安全策略,修改“审核帐户登录事件”和“审核帐户管理”,打开“成功”和“失败”的操作审核1.5 定期检查影子帐号定期运行“检查影子帐号.exe”,防止有人攻击建立隐藏的帐号,如有发现请速上报名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 10 页 -7/101.6 加固数据库1.6.1禁用 xp_cmdshell功能对于 SQLServer2000,请运行“sql.sql”,对于 SQLServer2000,请运行“sql05.sql”,注意:删除以下代码后执行REVOKE EXECUTE ON xp_getfiledetails TO public;GO RECONFIGURE;GO 1.6.2禁用 sa帐号注意:禁用sa 之前,先去“用户映射”中查看其关联的数据库,并建立一个帐号关联到这些数据库以保证数据访问的正常执行。
名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 10 页 -8/101.7 加固 IIS o在 IIS 站点中,取消“脚本资源访问”、“写入”和“目录浏览”o在上传目录中,将执行权限设置为“无”名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 10 页 -9/101.8 其他安全提示:1.8.1限制系统执行文件权限尤其是 C:WINDOWSsystem32 下的 cmd.exe等命令文件,建议只打开Administrators组和Service(服务帐户).名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 10 页 -10/101.8.2避免共享文件,尤其是 Everyone权限或完全控制权限1.8.3安装专业防火墙PC Tools Firewall Plus,免费软件,文件名:fwinstall.exe 参考文档【1】苏智:安全加固6 步走.txt 名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 10 页 -。
