如何做好服務器安全保障策略�?
眾所周知�����,服務器在組織運行中起著至關(guān)重要的作用��,由于企業(yè)的數(shù)據(jù)都在服務器上��,所以把服務器保護好����,企業(yè)的安全能力會有一個大的提升,可是很多企業(yè)都沒有專業(yè)的服務器運維人員,所以很多企業(yè)的服務器安全保障就成為了一個大問題����。如果有條件可以找專業(yè)的廠商,比如青藤云安全�,青藤會從以下幾個方面來做好安全策略,1�、不斷升級軟件和操作系統(tǒng)。2�����、將計算機配置為文件備份��。3���、設置對計算機文件的訪問限制�����。4�、做好安全監(jiān)控�����。5、安裝SSL證書��。6�����、服務器密碼安全以及建立由內(nèi)而外的防御體系�����。
目前創(chuàng)新互聯(lián)已為上千多家的企業(yè)提供了網(wǎng)站建設�、域名、雅安服務器托管���、成都網(wǎng)站托管�����、企業(yè)網(wǎng)站設計��、商城網(wǎng)站維護等服務�����,公司將堅持客戶導向��、應用為本的策略��,正道將秉承"和諧���、參與、激情"的文化�,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展�����。
如何提高服務器的安全性��?
1��、系統(tǒng)漏洞的修復
安裝好的系統(tǒng)都會有系統(tǒng)漏洞需要進行補丁����,一些高危漏洞是需要我們及時補丁的, 否則黑客容易利用漏洞進行服務器攻擊。
2�����、系統(tǒng)賬號優(yōu)化
我們服務器的密碼需要使用強口令,同時有一些來賓賬戶例如guest一定要禁用掉��。
3�、目錄權(quán)限優(yōu)化
對于不需要執(zhí)行與寫入權(quán)限的服務器我們要進行權(quán)限修改,確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機可趁��。
例如我們的windows文件夾權(quán)限�,我們給的就應該盡可能的少,對于用戶配置信息文件夾���,不要給予everyone權(quán)限�����。
4����、數(shù)據(jù)庫優(yōu)化
針對數(shù)據(jù)密碼和數(shù)據(jù)庫端口訪問都要進行優(yōu)化���,不要將數(shù)據(jù)庫暴露在公網(wǎng)訪問環(huán)境���。
5、系統(tǒng)服務優(yōu)化
去除一些不必要的系統(tǒng)服務,可以優(yōu)化我們系統(tǒng)性能�,同時優(yōu)化系統(tǒng)服務可以提升系統(tǒng)安全性。
6��、注冊表優(yōu)化
注冊表優(yōu)化可以提升網(wǎng)絡并發(fā)能力�,去除不必要的端口���,幫助抵御snmp攻擊����,優(yōu)化網(wǎng)絡�����,是我們優(yōu)化服務器不可缺少的環(huán)節(jié)��。
7���、掃描垃圾文件
垃圾文件冗余可能會造成我們的服務器卡頓����,硬盤空間不足����,需要我們定期進行清理�����。
如何保證Web服務器安全�?
一���、在代碼編寫時就要進行漏洞測試��。
二���、對Web服務器進行持續(xù)的監(jiān)控。
三�、設置蜜罐,將攻擊者引向錯誤的方向����。
四、專人對Web服務器的安全性進行測試��。
在Web服務器的攻防戰(zhàn)上���,這一個原則也適用�。筆者建議,如果企業(yè)對于Web服務的安全比較高����,如網(wǎng)站服務器上有電子商務交易平臺,此時最好設置一個專業(yè)的團隊�。他們充當攻擊者的角色,對服務器進行安全性的測試���。這個專業(yè)團隊主要執(zhí)行如下幾個任務��。
一是測試Web管理團隊對攻擊行為的反應速度�����。如可以采用一些現(xiàn)在比較流行的攻擊手段���,對自己的Web服務器發(fā)動攻擊�����。當然這個時間是隨機的�。預先Web管理團隊并不知道?���,F(xiàn)在要評估的是���,Web管理團隊在多少時間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力�。一般來說,這個時間越短越好��。應該將這個時間控制在可控的范圍之內(nèi)����。即使攻擊最后沒有成功,Web管理團隊也應該及早的發(fā)現(xiàn)攻擊的行為����。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功�,是兩個不同的概念。
二是要測試服務器的漏洞是否有補上�。畢竟大部分的攻擊行為,都是針對服務器現(xiàn)有的漏洞所產(chǎn)生的?�,F(xiàn)在這個專業(yè)團隊要做的就是���,這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補丁或者采取了對應的安全措施�����。有時候我們都沒有發(fā)現(xiàn)的漏洞是無能為力����,但是對于這些已經(jīng)存在的漏洞不能夠放過。否則的話���,也太便宜那些攻擊者了�����。
如何防范服務器被攻擊�?
一���,首先服務器一定要把administrator禁用,設置一個陷阱賬號:"Administrator"把它權(quán)限降至最低,然后給一套非常復雜的密碼�����,重新建立
一個新賬號����,設置上新密碼����,權(quán)限為administraor
然后刪除最不安全的組件:
建立一個BAT文件,寫入
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32\u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
二��,IIS的安全:
1�����、不使用默認的Web站點����,如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。
2����、刪除IIS默認創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。
3�、刪除系統(tǒng)盤下的虛擬目錄,如:_vti_bin��、IISSamples���、Scripts��、IIShelp���、IISAdmin�����、IIShelp���、MSADC。
4���、刪除不必要的IIS擴展名映射���。
右鍵單擊“默認Web站點→屬性→主目錄→配置”,打開應用程序窗口�����,去掉不必要的應用程序映射�。主要為.shtml, .shtm, .stm
5����、更改IIS日志的路徑
右鍵單擊“默認Web站點→屬性-網(wǎng)站-在啟用日志記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS���,在2003運行的IE6.0的版本不需要�����。
八����、其它
1、 系統(tǒng)升級���、打操作系統(tǒng)補丁�,尤其是IIS 6.0補丁��、SQL SP3a補丁���,甚至IE 6.0補丁也要打�����。同時及時跟蹤最新漏洞補丁;
2�����、停掉Guest 帳號���、并給guest 加一個異常復雜的密碼�,把Administrator改名或偽裝!
3�、隱藏重要文件/目錄
可以修改注冊表實現(xiàn)完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi
-dden\SHOWALL”,鼠標右擊 “CheckedValue”���,選擇修改���,把數(shù)值由1改為0
4、啟動系統(tǒng)自帶的Internet連接防火墻��,在設置服務選項中勾選Web服務器��。
5�����、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值��,名為SynAttackProtect��,值為2
EnablePMTUDiscovery 值為0
NoNameReleaseOnDemand 值為1
EnableDeadGWDetect 值為0
KeepAliveTime 值為300,000
PerformRouterDiscovery 值為0
EnableICMPRedirects 值為0
6. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值�,名為PerformRouterDiscovery 值為0
7. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
8. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值���,名為IGMPLevel 值為0
9���、禁用DCOM:
運行中輸入 Dcomcnfg.exe���。 回車, 單擊“控制臺根節(jié)點”下的“組件服務”����。 打開“計算機”子文件夾。
對于本地計算機��,請以右鍵單擊“我的電腦”���,然后選擇“屬性”�。選擇“默認屬性”選項卡��。
清除“在這臺計算機上啟用分布式 COM”復選框�����。
10.禁用服務里的
Workstation 這服務開啟的話可以利用這個服務����,可以獲取服務器所有帳號.
11阻止IUSR用戶提升權(quán)限
三�����,這一步是比較關(guān)鍵的(禁用CMD運行)
運行-gpedit.msc-管理模板-系統(tǒng)
-阻止訪問命令提示符
-設置
-已啟用(E)
-也停用命令提示符腳本處理嗎?
(是)
四��,防止SQL注入
打開SQL Server�,在master庫用查詢分析器執(zhí)行以下語句:
exec sp_dropextendedproc 'xp_cmdshell
使用了以上幾個方法后����,能有效保障你的服務器不會隨便被人黑或清玩家數(shù)據(jù),當然我技術(shù)有限�,有的高手還有更多方法入侵你的服務器,這
需要大家加倍努力去學習防黑技術(shù)���,也希望高手們對我的評論給予指點���,修正出更好的解決方案,對玩家的數(shù)據(jù)做出更有力的保障~~~
網(wǎng)頁標題:如何保護服務器安全問題 服務器保護機制
標題路徑:
http://weahome.cn/article/ddgisie.html
重慶分公司
重慶分公司
