浦东教育专网学校服务器安全配置建议.docVIP

浦东教育专网学校服务器安全配置建议 一、引言 目前，浦东新区多数中小学都已建立了学校门户网站，有些学校还建立了基于 Web的应用平台。随着应用的拓展和深化，学校门户网站功能逐渐完善，使用率越来越高，重要性越来越强，其安全性问题也日益凸显。 学校门户网站服务器的安全、稳定是学校门户网站正常运行的基础保障。在浦东新区学校门户网站普遍采用自主维护方式的情况下，保障服务器的安全成为学校信息化中的一项重要工作。针对学校网络管理员大多由信息科技学科教师兼职担任、并非网络和操作系统方面专业人员的现状，特制定本建议，为学校网络管理员提供参考，设置服务器关键参数，提高学校门户网站服务器的安全性和稳定性。 二、应用范围 本建议中操作部分，适用于操作系统为Windows Server 2000和Windows Server 2003的学校门户网站（Web）服务器，其他版本的服务器与该操作稍有不同，操作部分仅供参考。 三、服务器安全配置建议 1．网络安全 （1）划分单独的服务器VLAN 建议为服务器划分单独的VLAN，与普通用户终端电脑进行网段的隔离，以保护服务器、抑制网络风暴。可在交换机中设置网络访问控制策略。 了解网站服务器处置网络拓扑的位置，以及网络基本配置，发现网络故障易于及时进行故障排查。 有条件的学校可为服务器区域单独配置网络防火墙进行网络隔离，防止非授权访问并抵御网络攻击。 （2）服务器网络配置（不适用WINDOWS SERVER 2008） 通过对TCP/IP协议设置，指定并开发学校网站应用需要的端口，将其余端口关闭。设置方法如下： “本地连接”→“常规” →“属性” →“Internet协议(TCP/IP) ” →“属性” →“高级” →“选项” →“TCP/IP筛选” →“属性”，出现如下窗口，然后按图1操作，仅开放80, 135, 139, 445 等TCP端口，然后根据服务器其他需要增加如：3389, 8080, 88等TCP端口。 图1 TCP/IP端口配置 备注：WINDOWS SERVER 2008在防火墙中可配置详细的安全策略。也可安装个人版防火墙进行访问控制。 （3）启用防火墙 安装防火墙软件或启用Windows Server 2003自带的防火墙，并进行正确的配置，开放学校网站应用的必要服务。设置方法如图2： 图2 Windows防火墙配置 （4）启用必要服务 选择“高级” →“本地连接” →“设置”，默认选择“Web服务器”，然后再根据服务器应用情况，启用或者增加其他相关应用，见图3。 图3 服务配置 2．系统安全 （1）定期更新系统补丁 经常关注系统补丁发布情况，并及时更新。开启自动更新， 具体操作： 控制面板-自动更新（Windows Upadate） 查看更新： 控制面板-添加/删除程序，查看安装的SP补丁； （2）安装防病毒软件 服务器上必须安装杀毒软件，开启病毒实施监控和报警，定时更新病毒库，查杀病毒，及时处理病毒报警。 （3）提高帐户安全性 启用密码安全策略,设置如下策略： 1、密码必须符合复杂性要求 2、密码长度最小值 3、密码最长存留期 4、密码最短存留期 5、强制密码历史 控制面板－管理工具－本地安全策略－帐户策略－密码策略 图4 设置密码安全策略 在用户账号安全方面，禁用Guest帐号，更改系统管理员(administrator)的用户名，并将系统管理员的密码设置符合复杂性要求（包含大小写和数字，长度大于8位）。 图5 禁用Guest账号配 图6 administrator改名（如wjzxweb） （4）禁用系统不必要的服务 通过“开始”→“运行”→“services.msc”或“开始”→“控制面板”→“管理工具”→“服务”启动服务管理工具，禁用表1服务（默认为禁用）： 表1 建议禁用的服务列表 服务名称 描述与建议 TCP/IP NetBIOS Helper 提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络Server支持此计算机通过网络的文件、打印、和命名管道共享 Computer Browser 维护网络上计算机的必威体育精装版列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的NET SEND和警报器服务消息 Distributed File System 局域网管理共享文件，不需要的可禁用 Distributed linktracking client 用于局域网更新连接信息，不需要的可禁用 Error reporting service 禁止发送错误报告 （仅限Windows Server 2003） Microsoft Sea