windowsserver2013服务器加固解析.ppt

6.1用户设置 6.2IIS用户设置 在IIS中，站点最好不要使用默认的c:\inetpub\wwwroot目录,应放在其他盘，有利于备份和恢复 对网站目录的用户设置 根据实际需要设置IIS访问用户的权限 6.3身份验证 有效防止黑客飞到网站权限后跨目录访问 6.4目录执行权限 对黑客容易利用的目录进行权限设置(比如文件上传目录) 总结 如果不是远程对服务器进行安全配置，那么请在安装系统前就应该把网线拔掉 尽量安装和运行越少的应用程序和服务，安装时且不要使用默认的路径安装 安装完程序并对服务器设置完后，请将当前服务器的进程抓图或记录下来，将其保存，方便以后对照查看是否有不明的程序 将当前开放的端口抓图或记录下来，保存，方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程，和端口这一步可以省略 及时升级和更新最近的补丁文件 可以适量采用第三方软件或硬件对服务器进行加固 登录远程使用完后一定记得注销 Windows Server 2003 服务器加固 前言 在网络日益发展的今天，网络作为我们日常生活获取信息不可分缺的一部分，针对网络的攻击也无时不刻的在我们身边,除了要注意个人PC的安全之外，还应该注重服务器安全，安全问题频发的网站服务器安全也就成了管理员们的最头疼的事。 WEB服务器所面临的威胁和安全问题 威胁 安全 问题 黑客的频繁攻击(DDOS攻击、CC攻击、跨站、注入) 程序的漏洞(敏感信息泄漏、应用程序BUG) 系统漏洞(溢出) 弱口令(简单密码、默认密码、常用密码) 数据库(列目录、差异备份、LOG备份、存储过程) 系统权限配置(运行、上传、写入) IIS设置(脚本执行权限) FTP ARP 广泛的用户和组权限 启用不必要的数据库功能 失效的配置管理 特权升级 数据库未打补丁 敏感数据未加密 所带来的危害和损失 网站程序被破坏或篡改 内部文件或信息泄漏 服务器被入侵导致恶意利用 ARP嗅探致使用户或管理员信息泄漏 网站被植入木马、黑链接或广告 发布恶意内容并陷害 网站程序、作品或劳动成果被窃取 网站和数据库数据被恶意下载和利用 社会影响和公众影响 服务器和网站安全一直都是大家所关注的内容，我们今天以Windows Server 2003 Enterprise Edition Service Pack 1为例，为大家演示服务器的加固措施。 一、硬盘的分区 一般比较常用的是FAT32和NTFS格式分区 1.1FAT32格式缺点 采用FAT32格式对硬盘进行分区是无法设置访问权限的 ，如果要搭建网站或对某个文件夹、文件设置单独的访问权限是不行的，一旦网站建立起来对服务器以及网站就非常危险。这是一大禁忌，因此目前已被性能更优异的NTFS分区格式所取代 1.2NTFS格式权限设置 系统盘和站点放置盘必须设置为NTFS格式,方便设置权限 针对系统盘和站点放置盘，将除administrators 和system的用户权限全部去除 1.3设置方法 二、防火墙设置 启用windows自带的防火墙可以满足我们平常的需要 只保留我们需要的端口,比如远程和Web,Ftp(3389,80,21)等等 ，不使用的端口全部关闭掉,防止被恶意攻击者利用导致服务器沦陷 如果还有需要的端口，可以自行添加 三、系统账户安全 某些服务器管理员密码使用弱口令,而且默认的登录账户没有修改，许多无聊的攻击者会采用扫描终端的弱口令进行入侵 改名系统默认帐户名，并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并让这个帐号不属于任何用户组。改名并禁用掉Guest用户 3.1本地安全策略设置 配置帐户锁定策略(在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间30分钟”，“复位锁定计数设为30分钟”。) 在安全设置里“本地策略-安全选项”将 以上四项清空 1 2 3 4 网络访问 : 可匿名访 问的共享 ; 网络访问:可匿名访 问的命名 管道 ; 网络访问:可远程访 问的注册 表路径 ; 网络访问:可远程访 问的注册 表路径和 子路径 ; 在安全设置里“本地策略-安全选项”通过终端服务拒绝登陆加入： ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger (****表示你的机器名,具体查找可以点击“添加用户或组”选“高级”选“立即查找”在列出的用户列表里选择.注意，不要添加进user组和administrators组。如果添加进去以后，就不能远程登陆了) 更改本地安全策略的审核策略 账户登录事件 成功 失败