服务器主机安全规范
启用防火墙阿里云windowsServer2008R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查!
补丁更新启用windows更新服务,设置为自动更新状态,以便及时打补丁。
阿里云
1
2、确保
3、买阿里云时,管理员账户名称不要用administrator
备注
?
口令策略操作目的
增强口令的复杂度及锁定策略等,降低被暴力破解的可能性
加固方法
“Win+R”键调出“运行”->secpol.msc(本地安全策略)->安全设置1、账户策略->密码策略
密码必须符合复杂性要求:启用
2
备注
网络服务优化服务(1)操作目的
关闭不需要的服务,减小风险
加固方法
“Win+R”键调出“运行”->services.msc,以下服务改为禁用:
Application?LayerGatewayService(为应用程序级协议插件提供支持并启用网络/协议连接)
Background?IntelligentTransferService(利用空闲的网络带宽在后台传输文件。如果服务被停用,例如WindowsUpdate?和?MSNExplorer的功能将无法自动下载程序和其他信息)
Server
个页面就不存在了)
ShellHardwareDetection
TCP/IPNetBIOSHelper(提供?TCP/IP(NetBT)?服务上的NetBIOS?和网络上客户端的NetBIOS?名称解析的支持,从而使用户能够共享文件、打印和登录到网络)TaskScheduler(使用户能在此计算机上配置和计划自动任务)
WindowsRemoteManagement(47001端口,Windows远程管理服务,用于配合IIS管理硬件,一般用不到)
Workstation(创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用)
备注
除
2?去掉
2??关闭
禁用TCP/IP
2?Microsoft网络的文件和打印机共享
网络连接->本地连接->属性,把除了“Internet协议版本4”以外的东西都勾掉。2?ipv6协议
先关闭网络连接->本地连接->属性->Internet协议版本6(TCP/IPv6)
然后再修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位的8个f)重启服务器即可关闭ipv6
2?microsoft网络客户端(主要是为了访问微软的网站)
445
LAN
修:
,则什么是
->
网络限制操作目的
网络访问限制
加固方法
“Win+R”键调出“运行”->secpol.msc->安全设置->本地策略->安全选项
网络访问:不允许SAM帐户的匿名枚举:已启用
网络访问:不允许SAM帐户和共享的匿名枚举:已启用
网络访问:将Everyone权限应用于匿名用户:已禁用
帐户:使用空密码的本地帐户只允许进行控制台登录:已启用
备注
1.
1.
理者ip
2.行regedit2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalSe rver\Wds\rdpwd\Tds\tcp]和[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinS tations\RDP-TCP],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如13688
3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\Wi nStations\RDP\Tcp],将PortNumber的值(默认是3389)修改成端口13688(自定义)。
4.重新启动电脑,以后远程登录的时候使用端口13688就可以了。
文件系统检查Everyone权限操作目的
增强
删除
备注
?
NTFS
1、
有控制权限。2、注册表同的项也是这样,所有者为TrustedInstaller。3、如果要修改文件权限时应该先设置管理员组administrators为所有者,再设置其它权限。
4、如果要删除或改名注册表,同样也需先设置管理员组为所有者,同时还要应该到子项,直接删除当前项还是删除不掉时可以先删除子项后再删除此项。
步骤:
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置(web目录权限依具体情况而定)这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行(如果你使用IIS的话,要引用windows下的dll文件)。c:/user/只给
备注
?
增强审核操作目的
对系统事件进行审核,在日后出现故障时用于排查故障
加固方法
“Win+R”键调出“运行”->secpol.msc->安全设置->本地策略->审核策略
建议设置:
审核策略更改:成功
审核登录事件:成功,失败
审核对象访问:成功
备注
派”:
把“关闭系统”设置为“只指派给Administrators组”
把?“从远端系统强制关机”设置为“只指派Administrators组”
?设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组
攻击保护关闭ICMP也就是平时说的PING,让别人PING不到服务器,减少不必要的软件扫描麻烦。
在服务器的控制面板中打开?windows防火墙?,点击?高级设置:
?
点击?入站规则?——找到?文件和打印机共享(回显请求-ICMPv4-In)?,启用此规则
等连
接。
?
在IIS
中心机房安全管理操作规程 一、机房安保规程 1.出入机房应注意关闭机房门。对于有客人进出机房,机房相关的工作人员应负责该客人的安全防范工作,最后离开机房的人员必须自觉检查和关闭所有机房门窗、锁定门禁系统,拒绝陌生人进出机房。 2.工作人员离开工作区域前,应保证工作区域内保存的重要文件、资料、设备、数据处于安全保护状态(如检查并锁上自己工作柜、锁定工作电脑、并将桌面重要资料和数据妥善保存等等)。 3.工作人员和到访人员需填写《机房出入管理登记表》,外来人员进入必须有专门的工作人员全面负责其行为安全,禁止带领与机房工作无关的人员进出机房。 4.未经主管领导批准,禁止将机房相关的钥匙、密码透露给其它人员,同时有责任对信息保密;对于遗失物品的情况要即时上报,并积极主动采取措施保证机房安全。 5.机房人员对机房安全制度上的漏洞和不完善的地方应及时提出改善建议,绝不允许与机房工作无关的人员直接或间接操纵机房任何设备。 6.出现机房盗窃、破门、水浸等严重事件时,机房工作人员有义务以最快的速度和最短的时间到达现场,协助处理相关
的事件。 二、机房用电安全操作规程 1.机房人员应学习常规的用电安全操作和知识,掌握机房用电应急处理步骤、措施和要领,了解机房内部的供电、用电设施的操作规程。 2.机房应安排专业人员定期检查供电、用电设备,如发现用电安全隐患,应采取措施解决,不能解决的必须及时联系相关负责人解决;严禁随意对设备断电、更改设备线路。 3.外来人员需要用电,必须得到机房管理人员允许,并使用安全和不对机房设备影响的供电方式。 4.在使用功率超过特定瓦数的用电设备前,必须得到上级主管批准,并在保证线路安全的基础上使用。 5.在危险性高的位置应张贴相应的安全操作方法、警示以及指引,实际操作时应严格执行。 6.在外部供电系统停电时,机房工作人员应全力配合完成停电应急工作。 三、机房消防安全操作规程 1.机房工作人员应熟悉机房内部消防安全操作,了解消防设备操作原理、掌握消防应急处理步骤、措施和要领。
AD域控服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于公司域服务器、网络系统的运行、维护和管理。 1.2、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、各部门工作相关的网络应用软件等。 3.域服务器网络系统配置包括在网络上的名称、IP地址分配,用户登录名称、用户密码、DNS地址设置及Internet的配置等。 4.软件是指操作系统(如Windows server2008等)系统软件。也包括病毒防范相关的应用软件。 1.3、职责 1.网络管理员为域服务器安全运行的工作人员,负责域服务器系统的日常维护和管理 2.负责系统软件的调研、采购、安装、升级、保管工作。 3.网络管理员负责域服务器的安全运行和数据备份;Ineternet对外接口安全以及计算机系统病毒防范管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 4.网络管理员和其他公司员工执行公司保密制度,严守企业商业机密;
5.服务器系统管理员密码及相关保密事项必须由网络管理相关人员掌握。1.4、管理 1.网络管理员每日定时对域服务器进行日常巡视,并填写《域服务器运行日志》。 2.对于系统和网络出现的异常现象,网络管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《服务器运行日志》。针对未能及时解决的异常现象应将异常现象描述、分析原因、处理方案、处理结果、预防措施等内容及时形成书面形式告知相关工作人员,并跟踪检查处理结果。 3.定时维护域服务器,及时组织清理磁盘(如:系统垃圾文件、各类文档临时储存文件等),保证服务器有充足空间,保障网络系统能够正常运行。 4.制定域服务器的病毒防范措施,及时下载、更新最新的病毒库,防止服务器受病毒的侵害。 1.5、使用 1.帐号管理:所有网络管理员在使用或维护完域控服务器后,应正常将帐号退出。 2.网络管理员不得随意使用其他工作人员的身份登录域控服务器或其他应用系统,确因工作需要需征得本人同意。 3.网络管理应保管好管理员密码,并定期更换密码,以保证密码安全。 4.其他拥有管理员权限用户不得随意更换域控服务器的名称、IP地址、DNS 等相关设置。因特殊原因确需更改时,应由网络管理员统一调整,并及时修改。
Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重,以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。 作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务,所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有,则禁用
Print Spooler Remote Registry 因为我们使用的是云主机,跟单机又不一样,所以有些服务并不能一概而论,如上面的Server服务。例如天翼云的主机,上海1和内蒙池的主机就不一样,内蒙池的主机需要依赖Server服务,而上海1的不需要依赖此服务,所以上海1的可以禁用,内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性,删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。
管理制度编号:LX-FS-A64088 服务器机房安全管理制度标准范本 In The Daily Work Environment, The Operation Standards Are Restricted, And Relevant Personnel Are Required To Abide By The Corresponding Procedures And Codes Of Conduct, So That The Overall Behavior Can Reach The Specified Standards 编写:_________________________ 审批:_________________________ 时间:________年_____月_____日 A4打印/ 新修订/ 完整/ 内容可编辑
服务器机房安全管理制度标准范本 使用说明:本管理制度资料适用于日常工作环境中对既定操作标准、规范进行约束,并要求相关人员共同遵守对应的办事规程与行动准则,使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整,套用时请仔细阅读。 为科学、有效地管理服务器机房,促进网络系统安全的应用、高效运行,特制定本规章制度,请遵照执行。 一、机房管理 1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置服务器机房内,不得自行配置或更换,更不能挪作它用。 2、服务器房要保持清洁、卫生,并由专人7×24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。 6、做好操作系统的补丁修正工作。 7、网管人员统一管理服务器及其相关设备,完整保存服务器及其相关设备的驱动程序、保修卡及重要随机文件。 8、服务器及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。 二、服务器病毒防范制度
XXX系统 管理平台 --服务器管理规范--
目录 第一章总则 (3) 第二章指导原则 (3) 第三章服务器管理规范 (3) 第四章服务器保密制度 (4) 第五章相关记录 (5) 第六章相关文件 (5) 第七章附则 (5)
第一章总则 第一条为科学有效地管理服务器,保障XXX系统平台安全的应用、高效运行,特制定本规章制度,请遵照执行。 第二条本细则适用于XXX系统平台。 第二章指导原则 第三条严格落实安全责任有效增强防范措施 积极完善应急机制确保可靠稳定运行 第四条机房管理人员依据此规范进行对服务器操作,并记录好相应记录。 第三章服务器管理规范 第五条服务器、路由器和交换机以及通信设备是网络的关键设备,须放置在机房内,不得自行配置或更换,更不能挪作它用。 第六条服务器机房要保持清洁、卫生,并由专人负责管理和维护(包括温度、湿度、电力系统、网络设备等),除系统维护时间外,要保障服务器24小时正常运行。 第七条依据《机房管理制度》,严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 第八条不得在服务器上使用带有病毒和木马的软件、光盘和可移动存贮设备,使用上述设备前一定要先做好病毒检测;不得利用服务器从事工作以外的事情,无工作需 要不得擅自拆卸服务器零部件,严禁更换服务器配套设备。不得擅自删除、移动、 更改服务器数据;不得故意破坏服务器系统;不得擅自修改服务器系统时间。第九条服务器系统必须及时升级安装安全补丁,弥补系统漏洞;必须为服务器系统做好病毒及木马的实时监测,及时升级病毒库。 第十条管理员对超级账户口令应严格保密、定期修改,以保证系统安全,防止对系统的非法入侵。同时可对服务器上的管理权限、进行更新设置,防止恶意破译。 第十一条建立机房登记制度,对本地局域网的运行建立档案。未发生故障或故障隐患时当
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
文件编号:RHD-QB-K1372 (管理制度范本系列) 编辑:XXXXXX 查核:XXXXXX 时间:XXXXXX 服务器机房安全管理制 度标准版本
服务器机房安全管理制度标准版本操作指导:该管理制度文件为日常单位或公司为保证的工作、生产能够安全稳定地有效运转而制定的,并由相关人员在办理业务或操作时必须遵循的程序或步骤。,其中条款可根据自己现实基础上调整,请仔细浏览后进行编辑与保存。 为科学、有效地管理服务器机房,促进网络系统安全的应用、高效运行,特制定本规章制度,请遵照执行。 一、机房管理 1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置服务器机房内,不得自行配置或更换,更不能挪作它用。 2、服务器房要保持清洁、卫生,并由专人7×24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。 4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。 6、做好操作系统的补丁修正工作。 7、网管人员统一管理服务器及其相关设备,完整保存服务器及其相关设备的驱动程序、保修卡及重要随机文件。 8、服务器及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。 二、服务器病毒防范制度
1、网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知管理部门或专职人员。 2、采用国家许可的正版防病毒软件并及时更新软件版本。 3、未经上级管理人员许可,当班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。 4、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 三、机房安全保密制度 1. 机房所有人员必须严格遵守单位各项安全保密制度,高度重视信息系统的安全保密工作,积极参加各种形式的安全保密工作的学习培训活动,接受安全检查。机房信息系统涉及全单位的管理、业务等企
文件服务器管理规范 第一章总则 第一条本文件服务器承担共享和存储服务,有严格的权限配置来保证数据安全 第二条设立文件服务器,主要是为各部门提供一个资源共享的平台,有利于加强公司内部的交流与学习,便于经理、主管主任直观地了解、检查督促每位工作人员的工作。 第二章文档管理内容 第三条各部门文档管理员都应及时将与业务工作有关的各类材料上存文件服务器,与工作无关的各类资料一律不得上传。 第四条各部门负责人可以在各自主目录下设立子文件夹,并设置相应文档管理人员权限,以便于文件的管理、查阅和存档。根据工作需要,可以在子文件下,再设立子文件夹。 第五条全体职员要树立保密意识,切实加强对文字材料的管理,坚决杜绝诸如将办公室文件贴在互联网上等泄露秘密事件的发生。一旦出现问题,视情节轻重,追究责任人的相关责任。 第六条 IT部负责文件服务器的维护。各部门在使用文件服务器的过程中,出现问题,要及时通知IT部,由IT部负责解决。若因未及时通知而出现问题,责任自负。 第七条只允许存放工作文件,严禁与工作无关文件存储在
服务器上,部门文档管理员有权利协助删除不符合要求的文件。 第八条重要文件必须存放在服务器上,本地保留副本,否则出现文件丢失或损坏由其本人负责。 第九条为减轻服务器压力,不允许在服务器上直接运行文件,需要提取文件时,应先复制到本地再运行。 第十条上传文件前,需要先检查病毒,确保上传的文件是安全的。 第十一条部门负责人应按照项目名称建立总目录,每个目录下根据用途再建立子目录,各部门负责人可以根据自身情况设计自己的存储方式,尽量整理整齐,易于查找。 第十二条目录创建和权限分配因需求变化,默认创建的目录和权限是最基本的。 第十三条各部门分别整理自己的文档,存放到各自相应的目录,对于不同阶段的文档要有区分的存放到不同目录。 第十五条所有电子文档,除非工作需要,原则上不允许跨部门传播,更不允许外借或者向第三方散播,否则发生纠纷,则
网络服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 口令策略
网络服务 优化服务(1)
优化服务(2) ?在"网络连接"里,把不需要的协议和服务都移除 2去掉Qos数据包计划程序 2关闭Netbios服务(关闭139端口) 网络连接->本地连接->属性->Internet协议版本4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。 说明:关闭此功能,你服务器上所有共享服务功能都将关闭,别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。 2Microsoft网络的文件和打印机共享 网络连接->本地连接->属性,把除了“Internet协议版本4”以外的东西都勾掉。 2ipv6协议 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位的8个f) 重启服务器即可关闭ipv6 2microsoft网络客户端(主要是为了访问微软的网站) ?关闭445端口
6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。(具体见本文附件1) 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份
修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )
服务器安全使用指引规范 撰写:杨胜灵 日期:2007/01/22 为了确保服务器安全、服务器性能以及服务器连接带宽,提高机房资源使用效率,提升客户满意度,特制定此服务器使用指引规范。 1,服务器范围 机房服务器是指公司所需要提供服务的所有客户的网络设备,不仅包括公司电信机房的服务器、交换机、带宽等,还包括部署有公司产品的客户自建机房的服务器。 2,服务器管理 服务器由专人管理,负责服务器的日常安全、数据备份、例行检查、域名解析、项目部署(研发人员指导支撑)、网络分析、带宽管理、设备扩容等,需要两名责任人,每个责任人负责制定各自负责领域的详细执行细则; 第一名责任人由客服中心王元超承担,负责服务器数据备份、日常运行情况监控、例行检查、域名解析、网络分析、带宽管理、设备扩容等; 第二名责任人由研发人员承担,负责服务器的系统配置、日常项目的发布部署等;目前暂定由王嵛田同志整理具体执行细则; 3,服务器使用 3.1,使用原则: 1)责任人统一管理服务器账号密码;除责任人授权外,其它任何人不允许拥有服务器账号 密码信息。 2)中小企业网站,逐步迁移到阿里云服务器等专业托管商;带宽分流,减少使用成本; 3)政府类项目根据情况,需要独享服务器的尽量推荐使用独享服务器;后续根据访问流量, 该收费的需要收费;避免公司买单,客户无偿、无限制使用,影响其它付费优质客户的使用。 4)研发测试类、临时演示类项目使用单独服务器,不允许放到正式服务器,避免运营商封 闭IP。责任人可以给每个技术部门负责人创建账号,并对账号进行管理和监控; 5)数据库服务器,如果条件可行,单独配置专用服务器,同其它应用服务分开;避免性能 问题。
服务器维护管理规范 公司内部网络服务器的安全是关系到公司数据保密和安全的一件大事,是保证各个业务系统正常工作的前提条件,因此必须进行科学、有效地管理。为了保证网络系统安全、高效运行,结合现有网络结构情况,特制定如下制度,请遵照执行: 1.服务器的管理和维护 ●维护目标是保证中心机房设备与信息的安全,保障机房具有良好的运行环境和工作 环境。 ●安排专人负责服务器的日常操作维护工作,其它人不得私自操作服务器;如果确实 需要操作服务器,应征得管理人员许可,并报部门主管同意后方可进行。 ●服务器必须建立完整的技术文档和维护方案。 ●服务器必须定期进行双机热备份。 ●每次更新服务器网站程序前,必须把相关内容备份到移动硬盘中,再进行操作,防 止造成不可挽回的损失。 ●服务器管理员应每周对服务器及外围设备进行1次例行检查和维护。 ●如发现服务器故障应及时向部门主管报告,并负责计算机及外设的日常维护与排除 故障,在遇到电脑公司三包范围内的故障时,应及时催促电脑公司上门或将机器送 至供应商处维修。 2.环境要求 ●服务器机房内必须保持整洁,不得放置无关的设备、物品。 ●每日检查服务器机房的温度和湿度,一般情况下必须保持恒温、恒湿。 ●服务器机房不能放置食品和水,不得在服务器机房内就餐。 ●一般情况下,无关人员不得进入服务器机房。 3.软件环境 为了保证服务器的最大优化,除了安装解压缩、杀毒软件等必要的应用软件外,一般不安装其他非必要的软件,包括OFFICE等,平时最好不设置壁纸、屏幕保护等。严禁安装游戏、聊天工具。 4.杀毒和系统安全 ●需要拷贝到服务器上的程序和数据,必须经过检测确认无病毒后方可进行传入。
服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号 口令策略
网络服务 优化服务(1) 操作目的关闭不需要的服务,减小风险 加固方法“Win+R”键调出“运行”->services.msc,以下服务改为禁用: Application Layer Gateway Service(为应用程序级协议插件提供支持并启用网 络/协议连接) Background Intelligent Transfer Service(利用空闲的网络带宽在后台传输文 件。如果服务被停用,例如Windows Update 和 MSN Explorer的功能将无法自动 下载程序和其他信息) Computer Browser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏 览) DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry(使远程用户能修改此计算机上的注册表设置) Print Spooler(管理所有本地和网络打印队列及控制所有打印工作) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个 页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络 上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网 络)
服务器使用管理规定 Document number:WTWYT-WYWY-BTGTT-YTTYU-2018GT
服务器管理规范 北京恒华伟业科技股份有限公司 2011年04月 版本历史 审批人员 目录
1.目的 为加强公司内部服务器管理,确保公司各业务系统的正常运行,并及时掌握公司服务器资源闲置或紧张状况,使公司内部服务器在良好的运行环境下,其资源得到安全、科学、有效的利用和调配,特制定本规范。 2.适用范围 本规范适用于软件事业一部、软件事业二部、产品设计部、技术支持部、质量保证部等软件部门使用的服务器,不包括公司OA、外网及配置服务器。服务器硬件、运行及维护管理由公司网管负责,其管理办法不在此之列。 3.服务器资源使用流程 公司服务器的使用整体划分为数据库服务器和应用服务器两大类。数据库服务器的使用采取大集中共享的原则,采用分配数据库用户资源和访问控制方式;应用服务器的使用一般采取统一资源调配原则,采用分配虚拟机资源和访问控制的方式。 服务器资源使用以项目用途为单位进行服务器资源的申请、分配、使用、回收。项目服务器资源使用必须明确负责人。流程图如下所示:
3.1使用申请与分配 项目立项后,项目经理(或经过项目经理授权的项目组成员)可以向质量保证部申请服务器资源,其申请项目主要包括项目名称、用途、需要安装的服务器软件、资源需求等(内存、硬盘空间)。质量保证部管理人员经与产品设计部技术人员协商后,确定分配的资源额及方式,分配相应的资源和权限。质量保证部将资源分配好并做验证后,通知项目相关人员开始使用。项目验收,管理人员应及时落实该项目使用的服务器资源,进行回收注销。 3.2责权分配 ?软件产品设计部是服务器使用技术的主管部门,负责服务器使用的资源规划设计、技术规范、资源监控、性能调优等技术性工作;
WebSphere Web服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权 (5) 2.1帐号 (5) 2.1.1应用程序角色 (5) 2.1.2控制台帐号安全 (5) 2.1.3口令管理 (6) 2.1.4密码复杂度 (6) 2.2认证授权 (7) 2.2.1控制台安全 (7) 2.2.2全局安全性与Java2安全 (7) 第3章日志配置操作 (9) 3.1日志配置 (9) 3.1.1日志与记录 (9) 第4章备份容错 (10) 4.1备份容错 (10) 第5章设备其他配置操作 (11) 5.1安全管理 (11) 5.1.1控制台超时设置 (11) 5.1.2示例程序删除 (11) 5.1.3错误页面处理 (12) 5.1.4文件访问限制 (12) 5.1.5目录列出访问限制 (13) 5.1.6控制目录权限 (13) 5.1.7补丁管理* (13) 第6章评审与修订 (15)
第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web 服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。 1.2适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。 1.3适用版本 6.x版本的WebSphere Web服务器。 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
Apache服务器配置安全规范以及其缺陷!正如我们前言所说尽管Apache服务器应用最为广泛,设计上非常安全的程序。但是同其它应用程序一样,Apache也存在安全缺陷。毕竟它是完全源代码,Apache服务器的安全缺陷主要是使用HTTP 协议进行的拒绝服务攻击(denial of service)、缓冲区溢出攻击以及被攻击者获得root权限三缺陷和最新的恶意的攻击者进行拒绝服务(DoS)攻击。合理的网络配置能够保护Apache服务器免遭多种攻击。我们来介绍一下主要的安全缺陷。主要安全缺陷(1)使用HTTP协议进行的拒绝服务攻击(denial of service)的安全缺陷这种方法攻击者会通过某些手段使服务器拒绝对HTTP应答。这样会使Apache对系统资源(CPU时间和内存)需求的剧增,最终造成Apache系统变慢甚至完全瘫痪。(2)缓冲区溢出的安全缺陷该方法攻击者利用程序编写的一些缺陷,使程序偏离正常的流程。程序使用静态分配的内存保存请求数据,攻击者就可以发送一个超长请求使缓冲区溢出。(3)被攻击者获得root权限的安全缺陷该安全缺陷主要是因为Apache服务器一般以root权限运行(父进程),攻击者会通过它获得root权限,进而控制整个Apache系统。(4)恶意的攻击者进行拒绝服务(DoS)攻击的安全缺陷这个最新在6月17日发现的漏洞,它主要是存在于Apache的chunk encoding中,这是一个HTTP协议定义的用于接受web用户所提交数据的功能。所有说使用最高和最新安全版本对于加强Apache Web服务器的安全是至关重要的。正确维护和配置Apache服务器虽然Apache服务器的开发者非常注重安全性,由于Apache服务器其庞大的项目,难免会存在安全隐患。正确维护和配置Apache WEB服务器就很重要了。我们应注意的一些问题:(1)Apache服务器配置文件Apache Web服务器主要有三个配置文件,位于 /usr/local/apache/conf目录下。这三个文件是:httpd.conf-----主配置文件srm.conf------填加资源文件access.conf---设置文件的访问权限(2)Apache服务器的目录安全认证在Apache Server中是允许使用 .htaccess做目录安全保护的,欲读取这保护的目录需要先键入正确用户帐号与密码。这样可做为专门管理网页存放的目录或做为会员区等。在保护的目录放置一个档案,档名为.htaccss。AuthName 会员专区 AuthType BasicAuthUserFile /var/tmp/xxx.pw -----把password放在网站外 require valid-user 到apache/bin目录,建password档 % ./htpasswd -c /var/tmp/xxx.pw username1 -----第一次建档要用参数-c % /htpasswd /var/tmp/xxx.pw username2 这样就可以保护目录内的内容,进入要用合法的用户。注:采用了Apache内附的模组。也可以采用在httpd.conf中加入:options indexes followsymlinks allowoverride authconfig order allow,deny allow from all (3)Apache服务器访问控制我们就要看三个配置文件中的第三个文件了,即access.conf文件,它包含一些指令控制允许什么用户访问Apache目录。应该把deny from all设为初始化指令,再使用allow from指令打开访问权限。order deny,allowdeny from allallow from https://www.doczj.com/doc/df6786685.html, 设置允许来自某个域、IP地址或者IP段的访问。(4)Apache服务器的密码保护问题我们再使 用.htaccess文件把某个目录的访问权限赋予某个用户。系统管理员需要在httpd.conf或者rm.conf文件中使用 AccessFileName指令打开目录的访问控制。如:AuthName PrivateFilesAuthType BasicAuthUserFile /path/to/httpd/usersrequire Phoenix# htpasswd -c /path/to/httpd/users Phoenix设置Apache服务器的WEB和文件服务器我们在Apache服务器上存放WEB 服务器的文件,供用户访问,并设置/home/ftp/pub目录为文件存放区域,用
服务器管理规范 Document number【980KGB-6898YT-769T8CB-246UT-18GG08】
服务器管理制度 v1.0 编写人: 审核人: 批准人: 修订记录:
目录
公司内部服务器的安全是关系到公司数据保密和安全的一件大事,是保证各个业务系统正常工作的前提条件,因此必须进行科学、有效地管理。为了保证网络系统安全、高效运行,结合现有网络结构情况,特制定如下制度,请遵照执行: 服务器的管理和维护 1.维护目标是保证中心机房设备与信息的安全,保障机房具有良好的运行环境和工作环境。 2.安排专人负责服务器的日常操作维护工作,其它人不得私自操作服务器;如果确实需要操作服务器,应征得管理人员许可,并报部门主管同意后方可进行。 3.服务器必须建立完整的技术文档和维护方案。 4.服务器必须定期进行双机热备份。 5.每次更新服务器网站程序前,必须把相关内容备份到移动硬盘中,再进行操作,防止造成不可挽回的损失。 6.服务器管理员应每周对服务器及外围设备进行1次例行检查和维护。 7.如发现服务器故障应及时向部门主管报告,并负责计算机及外设的日常维护与排除故障,在遇到电脑公司三包范围内的故障时,应及时催促电脑公司上门或将机器送至供应商处维修。 机房安全管理制度 1.机房应防尘、防静电,保持清洁、整齐,设备无尘、排列正规、工具就位、资料齐全。
2.机房门内外、通道、设备前后和窗口附近,均不得堆放物品和杂物,做到无垃圾、无污水,以免妨碍通行和工作。 3.机房内严禁烟火,严禁存放和使用易燃易爆物品,严禁使用大功率电器、严禁从事危险性高的工作。如需施工,必须取得领导、消防、安保等相关部门的许可方可施工。 4.外来人员进入机房应严格遵照机房进出管理制度规定,填写人员进出机房登记表,在相关部门及领导核准后,在值班人员陪同下进出,机房进出应换穿拖鞋或鞋套。 5.进入机房人员服装必须整洁,保持机房设备和环境清洁。外来人员不得随意进行拍照,严禁将水及食物带入机房。 6.进入机房人员只能在授权区域与其工作内容相关的设备上工作,不得随意进入和触动未经授权以外的区域及设备。 7.任何设备出入机房,经办人必须填写设备出入机房登记表,经相关部门及领导批准后方可进入或搬出。 云服务器管理制度 为了加强公司云服务器的安全管理工作,保障信息系统安全、稳定运行,充分发挥系统效用,特制定本管理制度。本制度规定了公司云服务器维护管理和故障处理办法。适用于公司云服务器日常管理工作。 系统管理员负责服务器的日常操作维护,登录权限的管理。 具体内容如下: 1用户管理
WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案
备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.doczj.com/doc/df6786685.html,(可选) |——启用网络COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除
集团AD域服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于对公司域服务器、网络系统的运行维护和管理。 1.2 、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3.域控服务器网络系统配置包括在网络上的名称,IP地址分配,用户登录名称、用户密码、DNS地址设 置及Internet的配置等。 4.软件是指操作系统(如 Windows server 2008等)系统软件。也包括防病毒这样的应用软件。 1.3. 职责 1.信息管理部门为域服务器安全运行的部门,负责域服务器系统的日常维护和管理。 2.负责系统软件的调研、采购、安装、升级、保管工作; 3.负责操作系统软件有效版本的管理。 4.信息管理人员负责域控制服务器的安全运行和数据备份;internet对外接口安全以及计算机系统防病 毒管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 5.信息管理人员执行企业保密制度,严守企业商业机密; 6.其他员工执行服务器安装管理制度,遵守企业保密制度。 7.服务器系统管理员的密码必须由信息管理部门相关人员掌握。 1.4.管理 1.系统管理员每日定时对域控服务器进行日常巡视,并填写《网络运行日志》。
2.对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极 措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 3.定时维护域控服务器,及时组织清理磁盘,保证服务器有充足空间,网络系统能够正常运行。 4.制定域控服务器的防病毒措施,及时下载最新的防病毒补丁,防止服务器受病毒的侵害。 5.公司新IT员工(或外包人员)需使用域控服务器须向部门主管提出申请,经批准后由信息部门负责分 配帐号。 1.5、使用 1.帐号注销:所有IT员工(或外包人员)在使用或维护完域控服务器后,应正常将帐号注销退出。 2.IT人员不得盗用其他人的身份登陆服务器或进入应用系统,确因工作需要需征得本人的同意。 3.系统管理员应保管好自己的密码,并三个月更换一次密码,以保证安全。 4.有权限网络用户不得随意更改域控服务器的名称、IP地址、DNS设置。因特殊原因的确需更改时,应 由计算机管理人员统一调整,并及时修改。 5.对于网络用户传播、复制、制造计算机病毒或采用黑客技术而致使域控服务器瘫痪造成重大损失的情 况,将给予严肃处理。 1.6 域控服务器软件的管理 1.信息管理人员负责软件的安装。 2.信息管理部门保存和使用软件的复制盘片,也可根据需要从档案借出原始盘片,复制相关资料留存使 用。 3.信息管理人员应及时检查系统更新平台的相关补丁程序的下载,并与原系统进行配套管理和使用。 4.信息管理员负责将软件商信息记录在《软件信息表》,就软件技术问题与软件商联系,并负责软件的 升级,升级程序执行。 1.7、系统保密制度