服務器安全配置方案

效勞器平安配置方案效勞器硬件配置教務軟件與數(shù)據(jù)庫分別安裝在兩臺效勞器上。教務軟件效勞器〔windowsserver2003系統(tǒng)〕，開放內(nèi)網(wǎng)、外網(wǎng)。同時只開放80、1433端口。數(shù)據(jù)庫效勞器〔sqlserver2008數(shù)據(jù)庫〕，不開放外網(wǎng)，只允許教務軟件效勞器訪問。同時只開放1433端口。WindowsServer2003效勞器平安。安裝網(wǎng)絡殺毒軟件和網(wǎng)絡防火墻〔建議：卡巴斯基〕將<systemroot>\System32\cmd.exe轉移到其他書目或更名；系統(tǒng)帳號盡量少，更改默認帳戶名〔如Administrator〕和描述，密碼盡量困難；拒絕通過網(wǎng)絡訪問該計算機〔匿名登錄；內(nèi)置管理員帳戶；Support_388945a0；Guest；全部非操作系統(tǒng)效勞帳戶〕建議對一般用戶只賜予讀取權限，而只給管理員和System以完全限制權限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些須要寫的操作不能完成，這時須要對這些文件所在的文件夾權限進展更改，建議在做更改前先在測試機器上作測試，然后慎重更改。制止C$、D$一類的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareServer、REG_DWORD、0x0制止ADMIN$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareWks、REG_DWORD、0x0限制IPC$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsarestrictanonymousREG_DWORD0x0缺省0x1匿名用戶無法列舉本機用戶列表0x2匿名用戶無法連接本機IPC$共享說明:不建議運用2，否那么可能會造成你的一些效勞無法啟動，如SQLServer僅給用戶真正須要的權限，權限的最小化原那么是平安的重要保障在網(wǎng)絡連接的協(xié)議里啟用TCP/IP篩選，僅開放必要的端口〔如80〕通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1來制止139空連接修改數(shù)據(jù)包的生存時間(TTL)值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDefaultTTLREG_DWORD0-0xff(0-255十進制,默認值128)防止SYN洪水攻擊HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersSynAttackProtectREG_DWORD0x2(默認值為0x0)制止響應ICMP路由通告報文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interfacePerformRouterDiscoveryREG_DWORD0x0(默認值為0x2)防止ICMP重定向報文的攻擊HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirectsREG_DWORD0x0(默認值為0x1)不支持IGMP協(xié)議HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersIGMPLevelREG_DWORD0x0(默認值為0x2)設置arp緩存老化時間設置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersArpCacheLifeREG_DWORD0-0xFFFFFFFF(秒數(shù),默認值為120秒)ArpCacheMinReferencedLifeREG_DWORD0-0xFFFFFFFF(秒數(shù),默認值為600)制止死網(wǎng)關監(jiān)測技術HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersEnableDeadGWDetectREG_DWORD0x0(默認值為ox1)安裝和配置IIS效勞：1.僅安裝必要的IIS組件?！步貌豁氁娜鏔TP和SMTP效勞〕2.僅啟用必要的效勞和WebService擴展，引薦配置:UI中的組件名稱設置設置邏輯后臺智能傳輸效勞(BITS)效勞器擴展啟用BITS是WindowsUpdates和“自動更新”所運用的后臺文件傳輸機制。假如運用WindowsUpdates或“自動更新”在IIS效勞器中自動應用ServicePack和熱修補程序，那么必需有該組件。公用文件啟用IIS須要這些文件，必需要在IIS效勞器中啟用它們。文件傳輸協(xié)議(FTP)效勞禁用允許IIS效勞器供應FTP效勞。專用IIS效勞器不須要該效勞。FrontPage2002ServerExtensions禁用為管理和發(fā)布Web站點供應FrontPage支持。假如沒有運用FrontPage擴展的Web站點，請在專用IIS效勞器中禁用該組件。Internet信息效勞管理器啟用IIS的管理界面。Internet打印禁用供應基于Web的打印機管理，允許通過HTTP共享打印機。專用IIS效勞器不須要該組件。NNTP效勞禁用在Internet中分發(fā)、查詢、檢索和投遞Usenet新聞文章。專用IIS效勞器不須要該組件。SMTP效勞禁用在Internet中分發(fā)、查詢、檢索和投遞Usenet新聞文章。專用IIS效勞器不須要該組件。SMTP效勞禁用支持傳輸電子郵件。專用IIS效勞器不須要該組件。萬維網(wǎng)效勞啟用為客戶端供應Web效勞、靜態(tài)和動態(tài)內(nèi)容。專用IIS效勞器須要該組件。萬維網(wǎng)效勞子組件UI中的組件名稱安裝選項設置邏輯ActiveServerPage啟用供應ASP支持。假如IIS效勞器中的Web站點和應用程序都不運用ASP，請禁用該組件；或運用Web效勞擴展禁用它。Internet數(shù)據(jù)連接器禁用通過擴展名為.idc的文件供應動態(tài)內(nèi)容支持。假如IIS效勞器中的Web站點和應用程序都不包括.idc擴展文件，請禁用該組件；或運用Web效勞擴展禁用它。遠程管理(HTML)禁用通過擴展名為.idc的文件供應動態(tài)內(nèi)容支持。假如IIS效勞器中的Web站點和應用程序都不包括.idc擴展文件，請禁用該組件；或運用Web效勞擴展禁用它。遠程桌面Web連接禁用包括了管理終端效勞客戶端連接的MicrosoftActiveX?控件和范例頁面。改用IIS管理器可使管理更簡潔，并削減了IIS效勞器的攻擊面。專用IIS效勞器不須要該組件。效勞器端包括禁用供應.shtm、.shtml和.stm文件的支持。假如在IIS效勞器中運行的Web站點和應用程序都不運用上述擴展的包括文件，請禁用該組件。WebDAV禁用WebDAV擴展了HTTP/1.1協(xié)議，允許客戶端發(fā)布、鎖定和管理Web中的資源。專用IIS效勞器禁用該組件；或運用Web效勞擴展禁用該組件。萬維網(wǎng)效勞啟用為客戶端供應Web效勞、靜態(tài)和動態(tài)內(nèi)容。專用IIS效勞器須要該組件3.將IIS書目＆數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。4.在IIS管理器中刪除必需之外的任何沒有用到的映射〔保存asp等必要映射即可〕5.在IIS中將HTTP404ObjectNotFound出錯頁面通過URL重定向到一個定制HTM文件6.Web站點權限設定〔建議〕Web站點權限：授予的權限：讀允許寫不允許腳根源訪問不允許書目閱讀建議關閉日志訪問建議關閉索引資源建議關閉執(zhí)行引薦選擇“僅限于腳本”7.建議運用W3C擴大日志文件格式，每天記錄客戶IP地址，用戶名，效勞器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志?！沧詈貌灰\用缺省的書目，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和system為FullControl〕。

SQLSERVER2008數(shù)據(jù)庫效勞器平安步驟說明MDAC升級安裝最新的MDAC密碼策略由于SQLServer不能更改sa用戶名稱，也不能刪除這個超級用戶，所以，我們必需對這個帳號進展最強的愛惜，當然，包括運用一個特殊強壯的密碼，最好不要在數(shù)據(jù)庫應用中運用sa帳號。新建立一個擁有與sa一樣權限的超級用戶來管理數(shù)據(jù)庫。同時養(yǎng)成定期修改密碼的好習慣。數(shù)據(jù)庫管理員應當定期查看是否有不符合密碼要求的帳號。比方運用下面的SQL語句：

Usemaster

Selectname,Passwordfromsysloginswherepasswordisnull數(shù)據(jù)庫日志的記錄核數(shù)據(jù)庫登錄事務的“失敗和成功”，在實例屬性中選擇“平安性”，將其中的審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細記錄了全部帳號的登錄事務。管理擴展存儲過程xp_cmdshell是進入操作系統(tǒng)的最正確捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。請把它去掉。運用這個SQL語句：usemastersp_dropextendedproc'xp_cmdshell'假如你須要這個存儲過程，請用這個語句也可以復原過來。sp_addextendedproc'xp_cmdshell','xpsql70.dll'OLE自動存儲過程〔會造成管理器中的某些特征不能運用〕，這些過程包括如下〔不須要可以全部去掉：Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop去掉不須要的注冊表訪問的存儲過程，注冊表存儲過程甚至能夠讀出操作系統(tǒng)管理員的密碼來，如下：Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regremovemultistringXp_regwrite防TCP/IP端口探測在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏SQLServer實例。

請在上一步配置的根底上，更改原默認的1433端口。

在IPSec過濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQLServer。對網(wǎng)絡連接進展IP限制運用操作系統(tǒng)自己的IPSec可以實現(xiàn)IP數(shù)據(jù)包的平安性。請對IP連接進展限制，保證只有自己的IP能夠訪問，拒絕其他IP進展的端口連接。

附：Win2003系統(tǒng)建議禁用效勞列表名稱效勞名建議設置自動更新wuauserv禁用BackgroundIntelligentTransferServiceBITS禁用ComputerBrowserBrowser禁用DHCPClientDhcp禁用NTLMSecuritySupportProviderNtLmSsp禁用NetworkLocationAwarenessNLA禁用PerformanceLogsandAlertsSysmonLog禁用RemoteAdministrationServiceSrvcSurg禁用RemoteRegistryServiceRemoteRegistry禁用Serverlanmanser