總結(jié)了一下關(guān)于怎樣保證Web服務(wù)器安全的措施����,希望能給那些服務(wù)器尚存在漏洞的用戶提供一些幫助���。
隨著數(shù)據(jù)安全事件的頻繁出現(xiàn)���,網(wǎng)站安全成為業(yè)界關(guān)注的焦點。網(wǎng)站被黑的現(xiàn)象在國內(nèi)外時有發(fā)生����,可檢索到:2011年下半年,北郵網(wǎng)站被黑���,“校長變豬頭”,上演憤怒的鞋子鬧劇�����。2011年11月21日�����,我國著名CSDN網(wǎng)站600萬用戶信息泄露�����,于是掀起了一波網(wǎng)站數(shù)據(jù)泄漏被紕漏的浪潮�,之后接二連三的紕漏泄漏事件真假難辨��,但是重新引起人們對Web服務(wù)器安全方面的重視��。
被攻擊網(wǎng)站的問題著實令人氣憤��,但在惱怒之時也要遵守網(wǎng)絡(luò)上的道德規(guī)范�,入侵黑其網(wǎng)站的行徑還是應(yīng)該受到各方譴責(zé)。Web服務(wù)器安全方面一直重視程度不夠�,是各種網(wǎng)站常被黑的主要原因。下面筆者總結(jié)了一下關(guān)于怎樣保證Web服務(wù)器安全的措施��,希望能給那些服務(wù)器尚存在漏洞的用戶提供一些幫助����。
本文主要以Windows server 操作系統(tǒng)的服務(wù)器作為目標對象,因基于IIS的Web網(wǎng)站服務(wù)器較多��,受攻擊情況較嚴重��。
1.物理安全
服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)����,并且監(jiān)視器要保留15天以上的攝像記錄。另外�,機箱��,鍵盤��,電腦桌抽屜要上鎖�����,以確保旁人即使進入房間也無法使用電腦�����,鑰匙要放在另外的安全的地方�����。
2.賬戶安全
把管理員adminstrator用戶改名�,啟用密碼安全策略�,保證密碼長度,啟用密碼鎖定策略�����,防止暴力破解�,創(chuàng)建新的用戶,加入到administrators組����,防止唯一的管理員用戶被鎖��,停用guest用戶。
3.停止不需要的服務(wù)���,建議關(guān)閉選項:
- Computer Browser:維護網(wǎng)絡(luò)計算機更新����,禁用
- Distributed File System: 局域網(wǎng)管理共享文件���,不需要禁用
- Distributed linktracking client:用于局域網(wǎng)更新連接信息�����,不需要禁用
- Error reporting service:禁止發(fā)送錯誤報告
- Microsoft Serch:提供快速的單詞搜索���,不需要可禁用
- NTLMSecuritysupportprovide:telnet服務(wù)和Microsoft Serch用的,不需要禁用
- PrintSpooler:如果沒有打印機可禁用
- Remote Registry:禁止遠程修改注冊表
- Remote Desktop Help Session Manager:禁止遠程協(xié)助
4.關(guān)閉不必要的端口
關(guān)閉端口意味著減少功能��,在安全和功能上面需要你作一點決策��。如果服務(wù)器安裝在防火墻的后面���,冒的險就會少些��,但是���,永遠不要認為你可以高枕無憂了����。用端口掃描器掃描系統(tǒng)所開放的端口����,確定開放了哪些服務(wù)是防止黑客入侵你的系統(tǒng)的第一步。
以下所說的端口是指TCP端口:
- WEB服務(wù):HTTP端口:80,HTTPS端口:443, 提供服務(wù)的軟件 IIS
- Windows終端(遠程桌面)服務(wù):端口:3389.
- SSH服務(wù):端口:22.
- Telnet服務(wù):端口:23.
- Mysql數(shù)據(jù)庫:端口3306.
5.審核策略
在運行中輸入gpedit.msc回車���,打開組策略編輯器����,選擇計算機配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多���,生成的事件也就越多����,那么要想發(fā)現(xiàn)嚴重的事件也越難當然如果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件,你需要根據(jù)情況在這二者之間做出選擇��。
推薦的要審核的項目是:
- 登錄事件 成功 失敗
- 賬戶登錄事件 成功 失敗
- 系統(tǒng)事件 成功 失敗
- 策略更改 成功 失敗
- 對象訪問 失敗
- 目錄服務(wù)訪問 失敗
- 特權(quán)使用 失敗
6.開啟密碼策略
策略 設(shè)置
- 密碼復(fù)雜性要求 啟用
- 密碼長度最小值 6位
- 強制密碼歷史 5 次
- 強制密碼歷史 42 天
7.開啟帳戶策略
策略 設(shè)置
- 復(fù)位帳戶鎖定計數(shù)器 20分鐘
- 帳戶鎖定時間 20分鐘
- 帳戶鎖定閾值 3次
8.設(shè)定安全記錄的訪問權(quán)限
安全記錄在默認情況下是沒有保護的�����,把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問����。
9.把敏感文件存放在另外的文件服務(wù)器中
雖然現(xiàn)在服務(wù)器的硬盤容量都很大�,但是你還是應(yīng)該考慮是否有必要把一些重要的用戶數(shù)據(jù)(文件,數(shù)據(jù)表����,項目文件等)存放在另外一個安全的服務(wù)器中,并且經(jīng)常備份它們��。
10.不讓系統(tǒng)顯示上次登陸的用戶名
默認情況下���,終端服務(wù)接入服務(wù)器時���,登陸對話框中會顯示上次登陸的帳戶明,本地的登陸對話框也是一樣�。這使得別人可以很容易的得到系統(tǒng)的一些用戶名,進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名
11.到微軟網(wǎng)站下載最新的補丁程序
很多網(wǎng)絡(luò)管理員沒有訪問安全站點的習(xí)慣���,以至于一些漏洞都出了很久了�����,還放著服務(wù)器的漏洞不補給人家當靶子用����。誰也不敢保證數(shù)百萬行以上代碼的系統(tǒng)不出一點安全漏洞�����,經(jīng)常訪問微軟和一些安全站點�����,下載最新的service pack和漏洞補丁�,是保障服務(wù)器長久安全的唯一方法。
12.殺毒軟件的安裝
瑞星�����、江民���、金山�、諾頓、卡巴斯基總有一款殺毒軟件是你需要的�。
13.防止SQL注入
SQL數(shù)據(jù)庫服務(wù)盡量只允許本機連接、在服務(wù)器端對交互數(shù)據(jù)作嚴格的檢查���,過濾非法字符���、安裝IIS安全工具。
QQ:1613285598
本文出自:億恩科技【1tcdy.com】
本文出自:億恩科技【1tcdy.com】
-->
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
