蒙牛官網截圖

 

　　網站被黑的現象在國內外時有發(fā)生，可檢索到：2011年下半年，北郵網站被黑，“校長變豬頭”，上演憤怒的鞋子鬧劇。2011年11月21日，我國著名CSDN網站600萬用戶信息泄露，于是掀起了一波網站數據泄漏被紕漏的浪潮，之后接二連三的紕漏泄漏事件真假難辨，但是重新引起人們對Web服務器安全方面的重視。而“一波未平一波又起”，蒙牛公司又因“乳品質量門”，使憤怒者黑其網站，并被稱為“名族的恥辱”，引來業(yè)界一片嘩然!

 

去年境內3.5萬個網站被黑

 

　　被攻擊網站的問題著實令人氣憤，但在惱怒之時也要遵守網絡上的道德規(guī)范，入侵黑其網站的行徑還是應該受到各方譴責。Web服務器安全方面一直重視程度不夠，是各種網站經常被黑的主要原因。下面筆者總結了一下關于怎樣保證Web服務器安全的措施，希望能給那些服務器尚存在漏洞的用戶提供一些幫助。

 

    本文主要以Windows server 操作系統的服務器作為目標對象，因基于IIS的Web網站服務器較多，受攻擊情況較嚴重。

 

　　1.物理安全

 

　　服務器應該安放在安裝了監(jiān)視器的隔離房間內，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的安全的地方。

 

　　2.賬戶安全

 

 

　　把管理員adminstrator用戶改名，啟用密碼安全策略，保證密碼長度，啟用密碼鎖定策略，防止暴力破解，創(chuàng)建新的用戶，加入到administrators組，防止唯一的管理員用戶被鎖，停用guest用戶。

 

　　3.停止不需要的服務，建議關閉選項：

 

 

　　●Computer Browser：維護網絡計算機更新，禁用

 

　　●Distributed File System： 局域網管理共享文件，不需要禁用

 

　　●Distributed linktracking client：用于局域網更新連接信息，不需要禁用

 

　　●Error reporting service：禁止發(fā)送錯誤報告

 

　　●Microsoft Serch：提供快速的單詞搜索，不需要可禁用

 

　　●NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用

 

　　●PrintSpooler：如果沒有打印機可禁用

 

　　●Remote Registry：禁止遠程修改注冊表

 

　　●Remote Desktop Help Session Manager：禁止遠程協助

 

    3.關閉不必要的端口

 

　　關閉端口意味著減少功能，在安全和功能上面需要你作一點決策。如果服務器安裝在防火墻的后面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統所開放的端口，確定開放了哪些服務是防止黑客入侵你的系統的第一步。

 

 

　　以下所說的端口是指TCP端口：

 

　　●WEB服務：HTTP端口：80，HTTPS端口：443， 提供服務的軟件 IIS

 

　　●Windows終端(遠程桌面)服務：端口：3389。

 

　　●SSH服務：端口：22。

 

　　●Telnet服務：端口：23。

 

　　●Mysql數據庫：端口3306。

 

　　4.審核策略

 

　　在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發(fā)現嚴重的事件也越難當然如果審核的太少也會影響你發(fā)現嚴重的事件，你需要根據情況在這二者之間做出選擇。

 

 

　　推薦的要審核的項目是：

 

　　●登錄事件 成功 失敗

 

　　●賬戶登錄事件 成功 失敗

 

　　●系統事件 成功 失敗

 

　　●策略更改 成功 失敗

 

　　●對象訪問 失敗

 

　　●目錄服務訪問 失敗

 

　　●特權使用 失敗

 

    5.開啟密碼策略

 

　　策略 設置

 

　　●密碼復雜性要求 啟用

 

　　●密碼長度最小值 6位

 

　　●強制密碼歷史 5 次

 

　　●強制密碼歷史 42 天

 

　　6.開啟帳戶策略

 

　　策略 設置

 

　　●復位帳戶鎖定計數器 20分鐘

 

　　●帳戶鎖定時間 20分鐘

 

　　●帳戶鎖定閾值 3次

 

　　7.設定安全記錄的訪問權限

 

　　安全記錄在默認情況下是沒有保護的，把他設置成只有Administrator和系統帳戶才有權訪問。

 

　　8.把敏感文件存放在另外的文件服務器中

 

　　雖然現在服務器的硬盤容量都很大，但是你還是應該考慮是否有必要把一些重要的用戶數據(文件，數據表，項目文件等)存放在另外一個安全的服務器中，并且經常備份它們。

 

　　9.不讓系統顯示上次登陸的用戶名

 

　　默認情況下，終端服務接入服務器時，登陸對話框中會顯示上次登陸的帳戶明，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名，進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名

 

　　10.到微軟網站下載最新的補丁程序

 

　　很多網絡管理員沒有訪問安全站點的習慣，以至于一些漏洞都出了很久了，還放著服務器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的系統不出一點安全漏洞，經常訪問微軟和一些安全站點，下載最新的service pack和漏洞補丁，是保障服務器長久安全的唯一方法。

 

　　11.殺毒軟件的安裝

 

　　瑞星、江民、金山、諾頓、卡巴斯基總有一款殺毒軟件是你需要的。

 

　　12.防止SQL注入

 

　　SQL數據庫服務盡量只允許本機連接、在服務器端對交互數據作嚴格的檢查，過濾非法字符、安裝IIS安全工具。

提供最全面的IDC資訊：
提供服務器托管租用方案；
業(yè)務代表：億恩柯南
QQ：965171276
電話：0371-63322201

文章摘自：IDC評述。