下载文档原格式
服务器基本安全配置服务器基本安全配置一、服务器硬件安全⑴安装服务器在物理安全可控的机房内⑵检查服务器外壳是否完好,无损坏或被篡改的痕迹⑶设置服务器所在机房的合理门禁控制措施,如磁卡、指纹等⑷监控服务器机房出入口,并保证仅授权人员可以进入⑸安装UPS(不间断电源)以防止突发停电导致服务器数据丢失⑹安装温度和湿度监视器,保证服务器在正常的工作环境下运行二、操作系统安全配置⑴及时安装操作系统的安全补丁程序⑵禁用不必要的服务和端口⑶配置防火墙,限制对服务器的访问⑷设置强密码策略,包括密码长度和复杂性要求⑸定期更新密码并禁止将默认密码用于服务器⑹限制服务器上的用户权限,仅赋予必需的权限⑺禁止远程登录root账户⑻启用安全日志记录,并定期审查日志内容⑼安装杀毒软件,并及时更新库⑴0 定期备份服务器数据,并存储在安全的位置三、网络安全配置⑴配置安全的网络拓扑结构,使用防火墙和路由器进行划分⑵网络规划时,将服务器与公共网络隔离⑶禁用所有不必要的网络服务和协议⑷对外网访问服务器的服务进行限制,只开放必需的端口⑸使用VPN(虚拟专用网络)提供远程访问,确保传输的安全性⑹定期监测网络流量和连接状态,检测潜在的入侵行为四、应用安全配置⑴安装最新的应用程序补丁和更新⑵禁用或删除不必要的默认应用⑶配置应用程序的安全设置,包括访问控制和认证方式⑷定期审查应用程序日志,发现异常行为并及时处理⑸对用户的文件进行安全扫描⑹强制用户使用强密码,并定期更换密码⑺定期备份应用程序数据,并存储在安全的位置五、监控和响应⑴安装入侵检测系统(IDS)和入侵防御系统(IPS)⑵设置警报机制,并配置自动化响应系统⑶建立事件响应计划,包括处理各类安全事件的流程和责任人⑷对安全事件进行记录和归档,作为后续调查和分析的依据⑸定期进行安全演练与渗透测试,发现潜在的漏洞和问题本文档涉及附件:无本文所涉及的法律名词及注释:⒈物理安全:指对服务器硬件设备的保护,防止非法入侵和破坏。
服务器基本安全配置1.介绍本文档旨在提供服务器基本安全配置的详细说明,以确保服务器系统的安全性和防护措施的合规性。
以下是一系列有效的安全设置,以供参考。
请按照本指南中的步骤逐一进行配置,并根据实际情况进行修改。
2.基本系统安全配置2.1 硬件安全●确保服务器放置在安全的物理的位置,远离潜在的物理危险。
●使用最新的硬件设备,如防火墙、入侵检测系统以及物理访问控制设备。
●设置物理访问权限和安全层级。
2.2 操作系统安全●安装最新的操作系统补丁和更新,并定期更新。
●禁用不必要的服务和服务端口。
●配置操作系统访问控制,限制对关键系统文件和目录的访问权限。
●配置强密码策略,包括复杂度和定期更改密码等。
2.3 登录安全●禁止使用默认的管理员账号和密码。
●根据需要创建安全的用户账号,并配置合适的访问权限。
●启用登录尝试失败锁定以防止暴力。
●配置远程访问安全,如通过SSH使用密钥认证。
2.4 日志和监控●启用系统日志记录,并将其定期备份。
●设置合适的日志记录级别以及日志的存储位置。
●设置入侵检测系统和入侵防御系统,实时监控服务器活动。
●配置警报和通知机制,以便及时发现并响应安全事件。
3.网络安全配置3.1 防火墙配置●使用防火墙软件,限制对服务器的网络访问。
●配置过滤规则,只允许安全的网络通信。
●定期审查和更新防火墙规则,以适应不断变化的威胁。
3.2 网络服务安全●关闭不必要的网络服务和端口。
●启用网络服务的安全选项,如SSL或TLS加密。
●配置访问控制列表(ACL),限制对网络服务的访问。
3.3 网络通信安全●使用加密协议,如HTTPS或SFTP,保护敏感数据的传输。
●配置网络通信的身份验证和授权机制,限制非授权访问。
●定期检查网络通信安全性,确保安全协议的有效性。
4.附件本文档附带以下文件:●服务器基本安全配置表格:包含各项配置的详细指导和记录。
5.法律名词及注释以下是在本文档中涉及的法律名词及其注释:●GDPR:《通用数据保护条例》,是欧盟为增强个人数据保护而制定的一项法规。
服务器安全配置手册服务器安全配置手册1、引言服务器安全配置是保护服务器及其上的敏感数据不受未经授权的访问和攻击的重要措施。
本手册旨在提供一个综合的服务器安全配置指南,帮助管理员确保服务器的安全性。
2、服务器操作系统安全配置2.1 启用防火墙2.2 定期更新操作系统和补丁2.3 禁用不必要的服务和端口2.4 管理账户访问权限2.5 锁定敏感文件和目录的权限2.6 限制远程访问2.7 配置安全审计和日志记录2.8实施恶意软件检测和防止攻击的工具2.9定期备份数据3、网络安全配置3.1 使用强密码和账户锁定策略3.2 启用网络加密协议3.3 使用安全的远程访问协议3.4 使用虚拟专用网络(VPN)进行远程访问3.5 网络隔离和分段3.6 监控网络流量和入侵检测系统4、应用程序安全配置4.1 管理应用程序访问权限4.2 使用强密码和多因素身份验证4.3 配置安全的默认设置和权限4.4 定期更新和测试应用程序5、数据库安全配置5.1 定期备份数据库5.2 使用强密码和身份验证5.3 限制数据库访问权限5.4 定期更新数据库软件和补丁6、附件本文档附带以下附件供参考:- 服务器配置审计检查表- 网络安全检查表- 应用程序安全检查表- 数据库安全检查表7、法律名词及注释- 数据保护法:一种根据特定法律法规保护个人数据隐私的法律框架。
- 网络安全法:一种保护网络安全并维护网络秩序的法律法规。
- 信息安全管理系统(ISMS):一套规定、管理和保护组织信息资产的综合体系。
服务器基本安全配置1.介绍在互联网时代,服务器的安全性至关重要。
恶意攻击者可能会利用漏洞入侵您的服务器,并窃取敏感信息或者破坏系统稳定性。
为了保护您的数据和服务,进行适当的基本安全配置是必不可少的。
2.硬件与网络设置2.1使用防火墙:确保在服务器上启用并正确配置防火墙以过滤非法访问。
2.2更新硬件设备固件:及时更新路由器、交换机等硬件设备固件来修复已知漏洞。
2.3安装最新补丁程序:应该时常检查操作系统供应商发布是否有任何新版本或者补丁程序,并立即将其部署到服务器上。
3.操作系统级别设置3.1创建强密码策略:设置一个包含大小写字母、数字和特殊字符组合长度大于8位数以上作为用户登录密码规则;3.1.12关闭不需要使用端口:根据实际需求关闭未被使用到但开放状态下监听外界请求连接(如FTP,Telnet);4.软体层面加密传输通道:4.1配置SSL证书:对所有通过HTTP升级HTTPS方式访间的网站启用SSL证书;5.2禁止不安全协议:例如SSLV2、SSLv3和TLSLO等已知存在漏洞或者被攻破过的加密传输通道,应该禁用掉。
5.数据库设置5.1定期备份数据库:定期将服务器上重要数据进行备份,并存储在另一个位置以防灾难发生。
5.1.12使用强密码保护数据库:设置复杂且长于8位数以上作为用户登录密码规则;6.日志和监测配置6.1启动日志记录功能:确保所有关键事件都有相应的日志记录。
这些包括成功/失败的登录尝试、文件系统更改等。
6.2实时监测工具:使用实时监视工具来检查潜在入侵行为并即将采取适当措施。
7.附件:-防火墙配置示例文档(见附件A)-操作系统补丁程序更新指南(见附件B)法律名词及注释:-防火墙(Firewall):一种网络安全设备,可根据预先定义好策略对进出网络流量进行管理与审计。
-补丁程序(Patch):软件供货商发布修正错误或者增强性能的更新版本。
web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。
为了确保网站的安全,正确的服务器安全配置是至关重要的。
本文将介绍一些重要的方法和步骤,以帮助您合理地配置和保护您的Web服务器。
1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。
这样可以确保您的服务器是基于最新安全补丁和修复程序运行的,以减少黑客和恶意软件的攻击风险。
2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。
黑客经常利用这些默认配置的弱点,因此应该定制和修改这些配置。
将默认的管理员账户名称和密码更改为强密码,并禁用不必要的服务和插件。
3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输,应该始终使用安全的传输协议,如HTTPS。
HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性,防止数据在传输过程中被黑客窃取或篡改。
4. 创建强大的访问控制使用防火墙和访问控制列表(ACL)来限制对服务器的访问。
只允许必要的IP地址访问您的服务器,并阻止来自已知恶意IP地址的访问。
使用强大的密码策略来保护登录凭证,并定期更改密码。
5. 防御举措采取一些额外的防御措施,例如使用Web应用程序防火墙(WAF)来检测和阻止恶意的HTTP请求。
WAF可以识别和封锁潜在的攻击,如跨站点脚本攻击(XSS)和SQL注入攻击。
6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。
通过监控服务器访问日志和相关指标,可以及时发现潜在的安全问题。
使用入侵检测系统(IDS)和入侵防御系统(IPS)来检测和阻止未经授权的访问和活动。
7. 数据备份和恢复计划及时备份服务器上的所有数据,并设置定期的备份计划。
这样,在服务器遭受攻击或数据丢失时,可以及时恢复数据并最小化损失。
8. 网络分割将Web服务器与其他敏感数据和系统隔离开来,建立网络分割可以减少攻击面,确保一次攻击不会导致整个网络或系统的崩溃。
服务器基本安全配置服务器基本安全配置一、服务器安全策略⑴定义服务器安全策略的目标和要求⑵建立服务器安全团队,并划定责任范围和角色⑶制定服务器访问控制策略,包括授权和身份验证⑷建立服务器监控和日志审计机制⑸订立灾难恢复和应急响应计划二、操作系统安全配置⑴安装最新的操作系统补丁和更新⑵禁用不必要的服务和开放端口⑶配置强密码策略,并定期更换密码⑷限制用户权限,仅授予最小必要权限⑸加密敏感数据和通信⑹启用防火墙,并配置合适的防火墙规则三、网络安全配置⑴配置安全的网络拓扑结构,包括分离公网和内网⑵加密网络通信,采用SSL/TLS协议⑶使用虚拟专用网络(VPN)进行远程访问⑷配置入侵检测和防御系统⑸监测网络流量和异常活动,及时发现和应对安全事件四、应用程序安全配置⑴更新和维护应用程序的最新版本⑵配置合适的访问控制,仅授权合法用户访问⑶设置安全的用户会话管理机制,包括会话过期和注销功能⑷进行应用程序安全测试,包括漏洞扫描和安全代码审查⑸对重要的应用程序数据进行备份和恢复策略五、数据库安全配置⑴定期进行数据库安全审计和评估⑵配置合适的数据库访问控制,授予最小必要权限⑶加密敏感数据和备份文件⑷设置数据库日志和审计跟踪机制⑸定期备份数据库,并进行灾难恢复测试六、物理安全配置⑴选择安全的机房和服务器机架⑵控制物理访问权限,限制不必要人员进入机房⑶监控服务器环境,包括温度、湿度和电力供应等⑷定期检查服务器硬件和设备,及时发现和处理问题七、员工安全培训⑴开展定期的安全培训,提高员工对服务器安全的意识⑵教育员工如何正确处理敏感信息和应对安全事件⑶建立安全意识奖励机制,激励员工积极参与安全工作附件:⒈服务器安全检查表⒉应急响应计划范本法律名词及注释:⒈服务器安全:指在服务器硬件、操作系统、网络和应用程序等方面采取安全措施,保护服务器免受未经授权的访问、数据泄露和破坏等威胁。
⒉身份验证:通过验证用户的身份信息,确认其是否合法访问服务器的过程。
服务器网络安全配置指南如何设置服务器以保障网络安全随着互联网的快速发展,服务器网络安全问题变得愈发重要。
在当今信息时代,服务器承载着大量的重要数据和信息,一旦服务器遭受到攻击或者数据泄露,将会给个人和企业带来巨大的损失。
因此,如何设置服务器以保障网络安全成为了每个网络管理员和系统运维人员都需要重视的问题。
本文将介绍一份服务器网络安全配置指南,帮助您更好地设置服务器,提升网络安全防护能力。
一、更新操作系统和软件首先,保持操作系统和软件的及时更新是确保服务器网络安全的基础。
及时安装操作系统和软件的补丁和更新,可以修复已知的漏洞和安全问题,提升系统的稳定性和安全性。
定期检查系统更新,并确保自动更新功能处于开启状态,以免错过重要的安全更新。
二、配置防火墙其次,配置防火墙是保障服务器网络安全的重要措施。
防火墙可以监控和控制网络流量,阻止恶意攻击和未经授权的访问。
根据实际需求,设置防火墙规则,限制特定端口和协议的访问,提高服务器的安全性。
同时,定期审查和更新防火墙规则,确保防火墙的有效性和及时性。
三、加强访问控制加强访问控制是保障服务器网络安全的重要手段之一。
设置复杂的密码策略,包括密码长度、复杂度和定期更改要求,限制用户对服务器的访问权限,避免弱密码和未授权访问。
另外,采用多因素认证方式,如短信验证码、硬件密钥等,提高身份验证的安全性,防止恶意登录和数据泄露。
四、加密通信数据在服务器配置中加密通信数据是保障网络安全的重要环节。
使用SSL/TLS等加密协议保护数据在网络传输过程中的安全性,防止数据被窃取和篡改。
配置HTTPS协议,对网站和应用程序进行加密传输,保护用户的隐私信息和敏感数据不被泄露。
同时,定期更新SSL证书,确保通信数据的安全性和可靠性。
五、备份和恢复定期备份数据并建立完善的数据恢复机制是保障服务器网络安全的重要保障措施。
制定备份策略,包括全量备份和增量备份,将备份数据存储在安全可靠的地方,避免数据丢失和损坏。
服务器网络安全配置与防护策略服务器网络安全是保障网络系统正常运转和信息安全的重要环节。
本文将介绍服务器网络安全配置的一些基本原则和有效的防护策略,以帮助保护服务器系统免受恶意攻击和数据泄露的风险。
一、网络安全配置原则1. 将服务器放置在安全的网络区域:服务器应该置于安全可控的网络位置,与外部网络相隔离,只通过必要的通信端口与外界沟通。
可以考虑使用防火墙和网络隔离设备实现这一目标。
2. 及时更新操作系统和应用程序:及时安装最新的操作系统和应用程序补丁,及时修复系统漏洞可以有效减少被黑客攻击的风险。
3. 建立用户访问控制机制: 仅允许授权用户访问服务器,使用强密码策略和定期密码更改来增加账户安全性。
4. 配置安全审计:启用安全审计功能可以对服务器的操作进行记录和监控,及时发现可疑活动,并采取相应的防御措施。
二、服务器网络安全的防护策略1. 启用防火墙:设置防火墙以过滤和阻止来自外部网络的未经授权的访问请求,只允许通过授权的端口和协议访问服务器。
2. 数据加密传输:对敏感数据的传输进行加密,如使用HTTPS协议来保护Web应用程序的数据传输,使用VPN等安全通道来保护敏感信息的传送。
3. 定期备份和恢复策略:定期备份服务器数据,确保在遭受攻击或数据丢失时能够快速恢复正常运行。
备份数据应存储在纸质或离线介质上,以防数据泄露。
4. 强化服务器访问权限:限制服务器访问权限只给予必要的用户和程序,并定期审查和更新访问权限。
5. 安装和配置入侵检测系统:使用入侵检测软件或硬件设备来监控服务器活动,及时发现异常行为或攻击企图。
6. 定期进行网络漏洞扫描:定期使用网络安全扫描工具来扫描服务器系统,发现漏洞并及时做出补丁更新和修复。
7. 使用安全的密码策略:要求用户使用强密码,并定期更改密码,防止密码泄露和被猜测。
结语综上所述,服务器网络安全配置和防护策略对于保护服务器系统和信息安全至关重要。
在实施服务器网络安全时,我们应遵循原则,采取有效的防护策略,并定期进行安全审计和漏洞扫描来确保服务器系统的安全性。
服务器系统安全配置服务器是一个网络环境下承载重要数据和应用的计算设备。
保障服务器的系统安全是确保数据和服务不受到恶意攻击和未经授权的访问的重要一环。
本文将介绍一些常见的服务器系统安全配置措施,以帮助管理员加固服务器的安全性。
安全漏洞修复在服务器系统安全配置中,修复已知的安全漏洞是非常重要的。
管理员应定期检查和应用操作系统和软件的安全补丁,以修补已知漏洞。
此外,杜绝使用非官方或未经验证的软件包,以避免因软件漏洞导致的系统安全问题。
访问控制服务器系统应设置严格的访问控制措施。
只有经过授权的用户才能访问服务器。
管理员可以通过使用防火墙、访问控制列表(ACL)和安全组等工具来限制对服务器的访问。
为每个用户设置独立的账户和口令,并定期更换口令是有效的访问控制措施。
备份和恢复定期备份服务器的数据和配置文件,以便在数据丢失或服务器故障时快速恢复。
备份的数据应存储在安全的地方,并进行加密保护。
管理员还可以配置自动备份和恢复系统,以减少人为错误,并提高数据的可用性和完整性。
日志和监控服务器应启用详细的日志记录和监控功能。
管理员应定期检查服务器日志,以及时发现异常活动和潜在的安全威胁。
监控工具可以帮助管理员实时监视服务器的状态和性能,并提供基于行为分析的入侵检测和防御功能。
加密和认证服务器系统应使用合适的加密和认证机制来保护敏感数据和用户身份。
管理员可以使用SSL/TLS协议来加密服务器和客户端之间的通信。
为服务器和管理员账户启用双因素身份验证,可以有效防止未经授权的访问。
强化操作系统安全服务器的操作系统是系统安全的重中之重。
管理员应对操作系统进行正确的安全配置,包括关闭不必要的服务和端口,限制访问控制权限,使用强密码策略等。
另外,定期更新操作系统内核和驱动程序,以修复已知的安全漏洞和缺陷。
应用安全服务器上的应用程序也是安全的关键点。
管理员应确保所有的应用程序都是最新版本,并及时应用软件供应商发布的安全补丁。
此外,管理员还应控制和限制应用程序的权限,并使用强密码和访问控制措施来保护应用程序数据和配置文件。
服务器基本安全配置1.定期更新和升级操作系统和应用程序:确保服务器上运行的操作系统和应用程序及时更新和升级到最新版本,以修复已知的安全漏洞和弱点。
2.配置防火墙:设置防火墙以过滤入站和出站的网络流量。
只允许必要的端口和协议通过,禁止不必要的访问。
3.使用强密码和账号策略:设置强密码策略,要求用户使用包含大小写字母、数字和特殊字符的复杂密码,并定期更换密码。
此外,禁止使用默认用户名和密码。
4.限制登录尝试次数:配置登录尝试限制,例如限制登录失败次数,并在达到一定次数后暂时锁定账户,以防止暴力破解密码。
5.配置安全认证和授权:启用双因素认证,通过使用独立设备或手机应用程序提供额外的身份验证层。
为每个用户和服务设置独立的访问权限,避免使用高权限账户进行常规操作。
6.禁用不必要的服务和端口:关闭不必要的服务和端口,减少攻击面。
只开放必要的服务和端口,并限制从外部访问。
7.定期备份和数据恢复:定期备份重要的服务器数据,并将备份文件存储在安全的地方。
测试并验证数据恢复过程,确保备份文件的完整性和可用性。
8.监控和日志记录:配置系统监控和日志记录,监测服务器的活动和事件,及时发现异常行为和安全威胁。
9.安全固件和软件更新:确保服务器上安装的硬件和固件都是最新版本,并定期检查供应商的安全漏洞公告。
10.网络隔离和分段:将服务器进行网络隔离和分段,以减少局域网内的攻击面,防止攻击者从一个服务器访问到其他服务器。
11.加密通信和数据传输:使用加密协议和算法保护数据传输过程中的机密性和完整性。
配置并启用SSL/TLS协议,为网站和其他网络服务提供安全的通信。
12.安全审计和评估:定期进行安全审计和评估,检查系统的安全配置和漏洞,及时修复发现的问题和漏洞。
13.员工培训和意识教育:提供员工培训和意识教育,加强他们对服务器安全的认识和理解,推广信息安全最佳实践。
总之,服务器基本安全配置涉及多个方面,包括系统和应用程序的更新、访问控制和身份验证、防火墙和网络隔离、数据备份和恢复、加密通信等。
安全配置服务器(推荐)1.NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。
2.建议最好一次性全部安装成NTFS分区,而不要先安装成FAT分区再转化为NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。
3.安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTF S分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。
4.分区和逻辑盘的分配推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。
要知道,IIS和FTP是对外服务的,比较容易出问题。
而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
5.安装顺序的选择:win2000在安装中有几个顺序是一定要注意的:首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过A DMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装6.端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。
7.IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来:首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。
(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP,ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。
在IIS管理器中右击主机->属性->WWW服务编辑->主目录配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。
接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。
点击确定退出时别忘了让虚拟站点继承你设定的属性。
安装新的Service Pack后,IIS的应用程序映射应重新设置。
(说明:安装新的Service Pack后,某些应用程序映射又会出现,导致出现安全漏洞。
这是管理员较易忽视的一点。
)为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Obje ct Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。
其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手,不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。
还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。
8.帐号尽可能少,且尽可能少用来登录;说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。
除过Administrator外,有必要再增加一个属于管理员组的帐号;说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有有机会重新在短期内取得控制权。
所有帐号权限需严格控制,轻易不要给帐号以特殊权限;将Administrator重命名,改为一个不易猜的名字。
其他一般帐号也应尊循这一原则。
说明:这样可以为黑客攻击增加一层障碍。
将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从Guest组删掉;说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。
给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上,且必须同时包含字母、数字、特殊字符。
同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如q wert)、熟悉的数字(如2000)等。
说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。
口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。
这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。
9.Win2000的默认安装是不开任何安全审核的!你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
与之相关的是:在账户策略->密码策略中设定:密码复杂性要求启用密码长度最小值6位强制密码历史5次最长存留期30天在账户策略->账户锁定策略中设定:账户锁定3次错误登录锁定时间20分钟复位锁定计数20分钟同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Confi gration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
10.为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。
在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;3>文件权限比文件夹权限高4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;11.只安装一种操作系统;说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。
12.安装成独立的域控制器(Stand Alone),选择工作组成员,不选择域;说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。
13.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\WINNT改为其他目录;说明:黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏。
同时如果采用IIS的话你应该在其设置中删除掉所有的无用的映射,同时不要安装索引服务,远程站点管理与服务器扩展最好也不要要,然后删掉默认路径下的www,整个删,不要手软,然后再硬盘的另一个硬盘建立存放你网站的文件夹,同时一定记得打开w3c日志纪录,切记(不过本人建议采用apache 1.3.24)系统安装过程中一定本着最小服务原则,无用的服务一概不选择,达到系统的最小安装,多一个服务,多一份风险,呵呵,所以无用组件千万不要安装!14.关于补丁:在NT下,如果安装了补丁程序,以后如果要从NT光盘上安装新的Windows 程序,都要重新安装一次补丁程序,2000下不需要这样做。
说明:最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。
这是一部分管理员较易忽视的一点;安装NT的SP5、SP6有一个潜在威胁,就是一旦系统崩溃重装NT时,系统将不会认NTFS 分区,原因是微软在这两个补丁中对NTFS做了改进。
