文档介绍:服务器安全策略SOP
版本:
目 录
1安装 Win 200x安全概览 2
L1硬盘分区的文件系统选择 2
组件的定制 2
接入网络时间 2
14账户安全管理 2
安全审核 2
L6卸载无用的组件模块 2
2基本系统设置 3
安装补丁 3
分区容规划 3
协议管理 3
关闭所有以下不需要的服务 3
删除OS/2和POSIX子系统 4
帐号和密码策略 4
设置文件和目录权限 4
8注册表•些条目的修改 5
启用TCP/IP过滤 5
移动部分重要文件并加访问控制 5
6
服务器上其他工具程序的替代 6
设置陷阱脚本 6
取消部分危险文件扩展名 6
3IIS安全设置 6
关闭并删除默认站点 6
建立自己的站点,与系统不在一个分区 6
删除IIS的部分目录 6
删除不必要的IIS映射和扩展 7
禁用父路径 7
在虚拟目录上设置访问控制权限 7
启用日志记录 8
备份IIS配置 8
修改IIS标志 8
4数据及备份管理 9
页脚
备份 9
设置文件共享权限 9
防止文件名欺骗 9
Access数据库的安全概要 9
MSSQL注入攻击的防 11
页脚
5其他辅助安全措施 11
6简单设置防御小流量DDOS攻击 12
7日常安全检查 15
1安装Win 200x安全概览
在安装Win 200x时,如条件许可,应至少建立两个逻辑分区,•个用作系统分区,另一个用作 应用程序分区。尽量修改“我的文档”及uOutlook Express"等应用程序的默认文件夹位置,使 其位置不在系统分区。对提供服务的机器,可按如下设置分区:
分区L系统分区,安装系统和重要日志文件。
分区2:提供给IIS使用。
分区3:提供给FTP使用。
分区4:放置其他一些资料文件。(以上为示例,可灵活把握)
组件的定制
不要按Win 200x的默认安装组件,根据安全原则“最少的服务+最小的权限;最大的安全”,只 选择确实需要的服务安装即可。
典型Web服务器需要的最小组件是:
公用文件、Internet服务管理器、WWW服务器。
接入网络时间
在安装完成Win 200x操作系统时,不要立即把服务器接入网络,因为这时的服务帮还没有打上 各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。
补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如 果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改 IIS的配置时都需耍重新安装。
账户安全管理
1)账户要尽可能少,并且要经常用•些扫描工具检查系统账户、账户权限及密码。删除已经不
再使用的账户。
2)停用Guest账号,并给Guest加•个复杂的密码。
3)把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。
4)不让系统显示上次登录的用户名,具体操作如下:
修改注册表 “HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont
Display Last User Name” 的键值,把 REG_SZ 的键值改成 1。
安全审核
在“管理工具一远程控制服务配置一连接”处,右键点击“RPD-TCP”连接,选择“属性”,在 其窗口选中“权限”,点击右下角的“高级”,选择“审核”,增加•个“everyone”组,审核它 的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具~日记查看一安全日记” 可看到该审核记录。
卸载无用的组件模块
将\Winnt\inf下的sysocinf文件中的所有hide用替换法蒯除;然后在控制面板的添加删除程序 中就可以卸载所有不需要的组件。
页脚
2基本系统设置
安装补丁
安装Service Pack和最新的hottix;安装SQL和IIS系列补丁。
分区容规划
1)操作系统、Web主目录、日志分别安装在不同的分区。
2)关闭任何分区的自动运行特性:
可以使用TweakUI等工具进行修改。以防万•有人放入Autorun程序实现恶意代码自动加载。
协议管理
卸载不需要的协议,比如IPX/SPX, NetBIOS:
在连接属性对话框的TCP)/IP属性的高级选项卡中,选择“WINS”,选定“禁用TCP/IP上的 NETBIOS”。
关闭所有以下不需要的服务
以下仅供参考,具体还要看服务器上运行的应用来确定!要特