WINDOWS服务器安全设置 v1.1
在windows服务器安全方面其实没太多经验,此博文纯为工作相关记录。
一、服务器基本安全
1.WUS补丁安装,这个是最基本的,也是最必要的,要勤快。
2.杀毒软件,这个是一定要安装的,虽然不能解决问题,但能避免很多问题。
3.关闭默认共享,启用防火墙,设置端口保护,关闭GUEST用户。
二、用户管理
1.用户密码长度,复杂度,密码策略要求要符合规范。
2.特定服务采用特定用户维护管理,权责分明。
3.设置迷惑用户等,管理帐户改名,专用维护用户等。
三、服务管理
1.针对特定目的服务器只启用相关联系统服务。如IIS服务器,则只启用IIS相关的服务及系统基本需要的服务,减少服务运行能减少服务器资源占用及漏洞的泄露。
2.用户管理中的第二条,如IIS应用,使用特定用户运行特定应用程序,按最小权限法规划权限。
3.禁用不相关服务,如workstation,remote registry,Secondary Logon,Print Spooler等等,在不影响系统基本运行并正常提供相关服务的情况下,关闭不相关的服务。
四、IIS相关配置
通过权限设置的方法将危害减少在一个站点或者某个虚拟目录下。
权限设置的思路及方法
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系 统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
在系统中设置一个专门用于IIS匿名用户访问的用户组,在所有的分区禁止这个用户组访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超级组和SYSTEM组)。
五、Servv-U设置
这个用得不是很多,主要还是要选一个BUG少稳定一点的版本,另外按之前提到的一些规则,采用特定用户运行,根据应用类型对此服务访问的专用目录也采用特定用户进行相关文件权限设置等。
六、SQL数据库
有条件的建议SQL与应用程序应尽量分开,由单独服务器提供服务,对系统作安全优化,另外sql授权方面也应该采用最小权限应用法,在保证应用正常运营的情况下提供最小权限。(具体细则待补充)
七、备份
数据备份原则是不影响应用效率的情况下备份,保证数据完整性,不可被侵入修改破坏。就算条件不够,也不应该将备份放在本机,不然在服务器被黑的情况下很难保证备份数据的完整性,可靠性。(具体细则待补充)
八、网络安全
很大的一个话题,浅谈。之上所谈到的都只是一些关于服务器系统本身一些安全概述,所以还需要设计一个比较安全的网络架构,采用合适的防火墙策略对服务器进行保护。(具体细则待补充)
九、审计
很重要的一个措施,对服务器操作进行日志记录,网络数据连接进行分析统计,对违反审计规则的操作或者数据进行报警等。对被入侵的服务器进行侦测都能提供很好的帮助。
十、入侵检测
上面作了这么多的措施来进行安全防护,当然就不能认为是万事大吉了,得需要用事实来检测我们的成果。更显然的是,我们不可能等黑客上门来服务的,需要自己采用相关安全工具对自己的服务器进行模拟入侵,检测是不是哪些做得不够,哪些需要调整等。(具体细则待补充)
十一、总结
1. 没有千日作贼,只有千日防贼。所以安全工作并不是指某一个程序安全,系统安全,安全是整体的安全,涵盖了整个方方面面,需要平日谨小慎微,仔细审核对服务器所作的操作,是不是对安全有影响,需要持之以恒,让安全有生存之地。
2.安全与易用性,对计算机稍微有一点了解的都知道,一个操作若要求得太严格,肯定是感觉不爽的,所 以在安全性与易用性肯定是要有所抉择的,需要根据环境要求来进行相关设置。
3.一个程序不管再智能,现阶段也是由人来创造及设计,人有弱点所以程序肯定是有漏洞的,而黑客也只是一群追求理想,根源极致,利用规则漏洞来完成各种事情的人罢了。其实在很久之前就有了除对程序漏洞本身进行攻击的技术了,如社会工程学等。一切归根结底,以“人”为本。
所以“居安思危,防微杜渐”是安全的基础。
阅读(1405) | 评论(0) | 转发(2) |