如何讓win更安全

“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計算機欣賞音樂、上網(wǎng)沖浪、運行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓Windows Server 2003更加安全，成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓Windows Server 2003更加安全。

創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站設(shè)計、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的卓尼網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

理解你的角色

理解服務(wù)器角色絕對是安全進程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個服務(wù)器甚至可以被配置為上述角色的組合。

現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如，如果你的服務(wù)器將作為IIS服務(wù)器，那么你將需要開啟IIS服務(wù)。然而，如果服務(wù)器將作為獨立的文件或者打印服務(wù)器，啟用IIS服務(wù)則會帶來巨大的安全隱患。

我之所以在這里談到這個的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。

因為有很多強化服務(wù)器的方法，所以我將以配置一個簡單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟。我將努力指出當服務(wù)器角色改變時你將要做的。請諒解這并不是一個涵蓋每種角色服務(wù)器的完全指南。

物理安全

為了實現(xiàn)真正意義上的安全，你的服務(wù)器必須被放置在一個安全的位置。通常地，這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當重要的，因為現(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點。對于任何角色的Windows Server 2003，這都是必要的。

創(chuàng)建基線

除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時候，應(yīng)該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

實現(xiàn)這一目的最好的方法是創(chuàng)建一個安全基線(security baseline)。安全基線是文檔和公認安全設(shè)置的清單。在大多數(shù)情況下，你的基線會隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個不同的基線，以便將它們應(yīng)用到不同類型的服務(wù)器上。例如，你可以為文件服務(wù)器制定一個基線，為域控制器制定另一個基線，并為IAS服務(wù)器制定一個和前兩者都不同的基線。

windows 2003包含一個叫"安全配置與分析"的工具。這個工具讓你可以將服務(wù)器的當前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。

安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個體模板最簡單的方法是使用管理控制臺(MMC)。

要打開這個控制 臺，在RUN提示下輸入MMC命令，在控制臺加載后，選擇添加/刪除管理單元屬性命令，Windows就會顯示添加/刪除管理單元列表。點擊"添加"按鈕，你將會看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點擊添加，關(guān)閉和確認按鈕。

在安全模板管理單元加載后，你就可以察看每一個安全模板了。在遍歷控制臺樹的時候，你會發(fā)現(xiàn)每個模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個模板的用途。例如，HISECDC模板就是一個高安全性的域控制器模板。

如果你正在安全配置一個文件服務(wù)器，我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時，你會發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全，但是不一定能滿足你的需求。某些安全設(shè)置可能過于嚴格或過于松散。我建議你修改現(xiàn)有的設(shè)置，或是創(chuàng)建一個全新的策略。通過在控制臺中右擊C:WINDOWSSecurityTemplates文件夾并在目標菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個新的模板。

在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個安全配置與分析的管理單元。在這個管理單元加載后，右擊"安全配置與分析"容器，接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫"命令，點擊"打開"按鈕，你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。

接下來，右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點擊打開。在模板被導(dǎo)入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計算機"命令。Windows將會提示你寫入錯誤日志的.位置，鍵入文件路徑并點擊"確定"。

在這樣的情況下，Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過"安全配置與分析控制臺"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。

在你可以檢查差異列表的時候，就是執(zhí)行基于模板安全策略的時候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計算機"命令。這一工具將會立即修改你計算機的安全策略，從而匹配模板策略。

組策略實際上是層次化的。組策略可以被應(yīng)用到本地計算機級別、站點級別、域級別和OU級別。當你實現(xiàn)基于模板的安全之時，你正在在修改計算機級別的組策略。其他的組策略不會受到直接影響，盡管最終策略可能會反映變化，由于計算機策略設(shè)置被更高級別的策略所繼承。

修改內(nèi)建的用戶賬號

多年以來，微軟一直在強調(diào)最好重命名Administrator賬號并禁用Guest賬號，從而實現(xiàn)更高的安全。在Windows Server 2003中，Guest 賬號是缺省禁用的，但是重命名Administrator賬號仍然是必要的，因為黑客往往會從Administrator賬號入手開始進攻。

有很多工具通過檢查賬號的SID來尋找賬號的真實名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測Administrator賬號真實名稱的辦法。即便如此，我還是鼓勵每個人重命名Administrator 賬號并修改賬號的描述信息，有兩個原因:

首先，誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號為一個獨特的名稱讓你能更方便的監(jiān)控黑客對此賬號的進攻。

另一個技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號，完全獨立于域中的管理 員賬號。你可以配置每個成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測出你的本地用戶名和密碼，你肯定不希望他用相同的賬號侵犯其他的服務(wù)器。當然，如果你擁有良好的物理安全，誰也不能使用本地賬號取得你服務(wù)器的權(quán)限。

服務(wù)賬號

Windows Server 2003在某種程度上最小化服務(wù)賬號的需求。即便如此，一些第三方的應(yīng)用程序仍然堅持傳統(tǒng)的服務(wù)賬號。如果可能的話，盡量使用本地賬號而不是域賬號作為服務(wù)賬號，因為如果某人物理上獲得了服務(wù)器的訪問權(quán)限，他可能會轉(zhuǎn)儲服務(wù)器的LSA機密，并泄露密碼。如果你使用域密碼，森林中的任何計算機都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶，密碼只能在本地計算機上使用，不會給域帶來任何威脅。

系統(tǒng)服務(wù)

一個基本原則告訴我們，在系統(tǒng)上運行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個重要安全策略是減少運行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時增強服務(wù)器的性能。

在Windows 2000中，缺省運行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場。事實上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多數(shù)不是絕對必要的服務(wù)。即使如此，還是有一些有爭議的服務(wù)缺省運行。

其中一個服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計簡化用戶的工作。DFS允許管理員創(chuàng)建一個邏輯的區(qū)域，包含多個服務(wù)器或分區(qū)的資源。對于用戶，所有這些分布式的資源存在于一個單一的文件夾中。

我個人很喜歡DFS，尤其因為它的容錯和可伸縮特性。然而，如果你不準備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強的安全性。在我看來，DFS的利大于弊。

另一個這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強制的服務(wù)，因為它能夠保持SYSVOL文件夾的同步。對于成員服務(wù)器來說，這個服務(wù)不是必須的，除非運行DFS。

如果你的文件服務(wù)器既不是域控制器，也不使用DFS，我建議你禁用FRS服務(wù)。這么做會減少黑客在多個服務(wù)器間復(fù)制惡意文件的可能性。

另一個需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請求，并在這些請求下控制所有的打印工作。所有的打印操作都離不開這個服務(wù)，它也是缺省被啟用的。

不是每個服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器，你應(yīng)該禁用這個服務(wù)。畢竟，專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地，沒有人會在服務(wù)器控制臺工作，因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。

我相信通常在災(zāi)難恢復(fù)操作過程中，打印錯誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務(wù)器上簡單的關(guān)閉這一服務(wù)。

信不信由你，PSS是最危險的Windows組件之一。有不計其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動機是因為它是統(tǒng)級的服務(wù)，因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級別的特權(quán)。為了防止此類攻擊，還是關(guān)掉這個服務(wù)吧。

Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實得到了增強，尤其在安全方面，總體感覺做的還算不錯.但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server，你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學習了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.

華三交換機基線配置

H3C交換機安全配置基線H3C交換機安全配置基線（Version 1.0）2012年12月1 引言 (1)2 適用范圍 (1)3 縮略語 (1)4 安全基線要求項命名規(guī)則 (2)5 文檔使用說明 (2)6 注意事項 (3)7 安全配置要求 (3)7.1 賬號管理 (3)7.1.1 運維賬號共享管理 (3)7.1.2 刪除與工作無關(guān)賬號 (3)7.2 口令管理 (4)7.2.1 靜態(tài)口令加密 (4)7.2.2 靜態(tài)口令運維管理 (4)7.3 認證管理 (5)7.3.1 RADIUS認證（可選） (5)7.4 日志審計 (6)7.4.1 RADIUS記賬（可選） (6)7.4.2 啟用信息中心 (6)7.4.3 遠程日志功能 (7)7.4.4 日志記錄時間準確性 (7)7.5 協(xié)議安全 (7)7.5.1 BPDU防護 (8)7.5.2 根防護 (8)7.5.3 VRRP認證 (8)7.6 網(wǎng)絡(luò)管理 (9)7.6.1 SNMP協(xié)議版本 (9)7.6.2 修改SNMP默認密碼 (9)7.6.3 SNMP通信安全（可選） (10)7.7 設(shè)備管理 (10)7.7.1 交換機帶內(nèi)管理方式 (10)7.7.2 交換機帶內(nèi)管理通信 (11)7.7.3 交換機帶內(nèi)管理超時 (11)7.7.4 交換機帶內(nèi)管理驗證 (12)7.7.5 交換機帶內(nèi)管理用戶級別 (12)7.7.6 交換機帶外管理超時 (13)7.7.7 交換機帶外管理驗證 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址數(shù) (14)7.8.3 交換機VLAN劃分 (14)7.9 其它 (15)7.9.1 交換機登錄BANNER管理 (15)7.9.2 交換機空閑端口管理 (15)7.9.3 禁用版權(quán)信息顯示 (16)附錄A 安全基線配置項應(yīng)用統(tǒng)計表 (17)附錄B 安全基線配置項應(yīng)用問題記錄表 (19)

附錄C 中國石油NTP服務(wù)器列表 (20)1 引言本文檔規(guī)定了中國石油使用的H3C系列交換機應(yīng)當遵循的交換機安全性設(shè)置標準，是中國石油安全基線文檔之一。本文檔旨在對信息系統(tǒng)的安全配置審計、加固操作起到指導(dǎo)性作用。本文檔主要起草人：靖小偉、楊志賢、張志偉、滕征岑、裴志宏、劉磊、葉銘、王勇、吳強。2 適用范圍本文檔適用于中國石油使用的H3C系列交換機，明確了H3C系列交換機在安全配置方面的基本要求，可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。3 縮略語TCP Transmission Control Protocol 傳輸控制協(xié)議UDP User Datagram Protocol 用戶數(shù)據(jù)報協(xié)議SNMP Simple Network Management Protocol 簡單網(wǎng)絡(luò)管理協(xié)議ARP Address Resolution Protocol 地址解析協(xié)議VLAN Virtual LAN 虛擬局域網(wǎng)STP Spanning Tree Protocol 生成樹協(xié)議RSTP Rapid Spanning Tree Protocol 快速生成樹協(xié)議MSTP Multiple Spanning Tree Protocol 多生成樹協(xié)議BPDU Bridge Protocol Data Unit 橋接協(xié)議數(shù)據(jù)單元VRRP Virtual Router Redundancy Protocol 虛擬路由器冗余協(xié)議NTP Network Time Protocol 網(wǎng)絡(luò)時間協(xié)議AAA Authentication，Authorization，Accounting 認證，授權(quán)，記賬GCC General Computer Controls 信息系統(tǒng)總體控制SBL Security Base Line 安全基線4 安全基線要求項命名規(guī)則安全基線要求項是安全基線的最小單位，每一個安全基線要求項對應(yīng)一個基本的可執(zhí)行

的安全規(guī)范明細，安全基線要求項命名規(guī)則為“安全基線–一級分類–二級分類–類型編號–明細編號”，如SBL-Switch-H3C-01-01，代表“安全基線–交換機– H3C –賬號類–運維賬號共享管理“。5 文檔使用說明1 隨著信息技術(shù)發(fā)展，路由器與交換機在功能上逐漸融合，具有共同點，部分路由器上配有交換板卡，可以實現(xiàn)服務(wù)器與終端計算機接入；部分交換機配有路由引擎，可以實現(xiàn)路由功能。雖然兩者具有一定共同點，但從路由器與交換機在生產(chǎn)環(huán)境中的應(yīng)用定位出發(fā)，本系列文檔分為路由器安全基線（側(cè)重于路由協(xié)議等）和交換機安全基線（側(cè)重于局域網(wǎng)交換與端口安全等）。2 H3C交換機可以通過命令行、Web、NMS等多種方式管理，本文檔中涉及的操作，均在命令行下完成。3 命令行中需要用戶定義的名稱與數(shù)值，文檔中均以標出，用戶根據(jù)需要自行定義。例如local-user ，表示創(chuàng)建賬號名稱為name1的本地用戶，password cipher password1，表示本地用戶name1的密碼為passowrd1。4 由于各信息系統(tǒng)對于H3C系列交換機的要求不盡相同，因此對于第7章安全配置要求中的安全基線要求項，各信息系統(tǒng)根據(jù)實際情況選擇性進行配置，并填寫附錄A《安全基線配置項應(yīng)用統(tǒng)計表》。5 在第7章安全配置要求中，部分安全基線要求項提供了閾值，如“交換機帶內(nèi)管理設(shè)置登錄超時，超時時間不宜設(shè)置過長，參考值為5分鐘?！保碎撝禐閰⒖贾?，通過借鑒GCC、中國石油企標、國內(nèi)外大型企業(yè)信息安全最佳實踐等資料得出。各信息系統(tǒng)如因業(yè)務(wù)需求無法應(yīng)用此閾值，在附錄A《安全基線配置項應(yīng)用統(tǒng)計表》的備注項進行說明。6 注意事項由于H3C系列交換機普遍應(yīng)用于重要生產(chǎn)環(huán)境，對于本文檔中安全基線要求項，實施前需要在測試環(huán)境進行驗證后應(yīng)用。在應(yīng)用安全基線配置項的過程中，如遇到技術(shù)性問題，填寫附錄B《安全基線配置項應(yīng)用問題記錄表》。在應(yīng)用安全基線配置前需要備份交換機的配置文件，以便出現(xiàn)故障時進行

回退。7 安全配置要求7.1 賬號管理7.1.1 運維賬號共享管理安全基線編號SBL-Switch- H3C-01-01安全基線名稱運維賬號共享安全基線要求項安全基線要求按照用戶分配賬號，避免不同用戶間共享運維賬號檢測操作參考[Switch]dis current | i local-user安全判定依據(jù)1）網(wǎng)絡(luò)管理員列出交換機運維人員名單；2）查看dis current | i local-user結(jié)果：local-userlocal-userlocal-user3）對比命令顯示結(jié)果與運維人員賬號名單，如果運維人員之間不存在共享運維賬號，表明符合安全要求?；€配置項重要度高中低操作風險評估高中低7.1.2 刪除與工作無關(guān)賬號安全基線編號SBL- Switch- H3C-01-02安全基線名稱賬號整改安全基線要求項安全基線要求刪除與工作無關(guān)的賬號，提高系統(tǒng)賬號安全檢測操作參考[Switch]dis current | i local-user安全判定依據(jù)1）網(wǎng)絡(luò)管理員列出交換機運維人員的賬號名單；2）查看dis current | i local-user結(jié)果：local-userlocal-userlocal-user3）對比顯示結(jié)果與賬號名單，如果發(fā)現(xiàn)與運維無關(guān)的賬號，表明不符合安全要求。備注無關(guān)賬號主要指測試賬號、共享賬號、長期不用賬號（半年以上）等。基線配置項重要度高中低操作風險評估高中低7.2 口令管理7.2.1 靜態(tài)口令加密安全基線編號SBL- Switch- H3C-02-01安全基線名稱靜態(tài)口令加密安全基線要求項安全基線要求1）配置本地用戶口令使用“cipher”關(guān)鍵字2）配置super口令使用“cipher”關(guān)鍵字檢測操作參考1）[Switch]dis current | b local-user2）[Switch]dis current | i super password

安全判定依據(jù)如果顯示“cipher”關(guān)鍵字，如：1）local-userpassword cipher 密文password2）super password level cipher 密文password 表明符合安全要求?；€配置項重要度高中低操作風險評估高中低7.2.2 靜態(tài)口令運維管理安全基線編號SBL- Switch- H3C-02-02安全基線名稱靜態(tài)口令運維管理安全基線要求項安全基線要求1）采用靜態(tài)口令認證技術(shù)的設(shè)備，口令最小長度不少于8個字符2）采用靜態(tài)口令認證技術(shù)的設(shè)備，口令生存期最長為90天基線配置項重要度高中低7.3 認證管理7.3.1 RADIUS認證（可選）安全基線編號SBL- Switch- H3C-03-01安全基線名稱RADIUS認證安全基線要求項安全基線要求配置RADIUS認證，確認遠程用戶身份，判斷訪問者是否為合法的網(wǎng)絡(luò)用戶檢測操作參考1）[Switch]dis current | b radius scheme 2）[Switch]dis current | b domain3）[Switch]dis current | b user-interface vty安全判定依據(jù)如果顯示類似：1）配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2）配置域domainauthentication login radius-scheme local 3）配置本地用戶user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求?；€配置項重要度高中低操作風險評估高中低7.4 日志審計7.4.1 RADIUS記賬（可選）

安全基線編號SBL- Switch- H3C-04-01安全基線名稱RADIUS記賬安全基線要求項安全基線要求與記賬服務(wù)器配合，設(shè)備配置日志功能：1）對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址；2）對用戶設(shè)備操作進行記錄，如賬號創(chuàng)建、刪除和權(quán)限修改，口令修改等，記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結(jié)果。檢測操作參考1）[Switch]dis current | b radius scheme2）[Switch]dis current | b domain安全判定依據(jù)如果顯示類似：1）配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2）配置域domainaccounting login radius-scheme local 表明符合安全要求?；€配置項重要度高中低操作風險評估高中低7.4.2 啟用信息中心安全基線編號SBL- Switch- H3C-04-02安全基線名稱信息中心啟用安全基線要求項安全基線要求啟用信息中心，記錄與設(shè)備相關(guān)的事件檢測操作參考[Switch]dis info-center安全判定依據(jù)如果顯示類似：Information Center: enabled 表明符合安全要求。基線配置項重要度高中低操作風險評估高中低7.4.3 遠程日志功能安全基線編號SBL- Switch- H3C-04-03安全基線名稱遠程日志功能安全基線要求項安全基線要求配置遠程日志功能，使設(shè)備日志能通過遠程日志功能傳輸?shù)饺罩痉?wù)器檢測操作參考[Switch]dis current | i info-center loghost安全判定依據(jù)如果顯示類似：info-center loghost 表明符合安全要求。

￥

5

百度文庫VIP限時優(yōu)惠現(xiàn)在開通,立享6億+VIP內(nèi)容

立即獲取

H3C交換機安全配置基線

H3C交換機安全配置基線

H3C交換機安全配置基線（Version 1.0）

2012年12月

1 引言 (1)

2 適用范圍 (1)

3 縮略語 (1)

4 安全基線要求項命名規(guī)則 (2)

5 文檔使用說明 (2)

6 注意事項 (3)

7 安全配置要求 (3)

安全開發(fā)運維必備的Nginx代理Web服務(wù)器性能優(yōu)化與安全加固配置

為了更好的指導(dǎo)部署與測試藝術(shù)升系統(tǒng)nginx網(wǎng)站服務(wù)器高性能同時下安全穩(wěn)定運行,需要對nginx服務(wù)進行調(diào)優(yōu)與加固;

本次進行Nginx服務(wù)調(diào)優(yōu)加固主要從以下幾個部分：

本文檔僅供內(nèi)部使用，禁止外傳，幫助研發(fā)人員，運維人員對系統(tǒng)長期穩(wěn)定的運行提供技術(shù)文檔參考。

Nginx是一個高性能的HTTP和反向代理服務(wù)器，也是一個IMAP/POP3/SMTP服務(wù)器。Nginx作為負載均衡服務(wù)器, Nginx 既可以在內(nèi)部直接支持 Rails 和 PHP 程序?qū)ν膺M行服務(wù)，也可以支持作為 HTTP代理服務(wù)器對外進行服務(wù)。

Nginx版本選擇:

項目結(jié)構(gòu):

Nginx文檔幫助:

Nginx首頁地址目錄: /usr/share/nginx/html

Nginx配置文件:

localtion 請求匹配的url實是一個正則表達式:

Nginx 匹配判斷表達式:

例如,匹配末尾為如下后綴的靜態(tài)并判斷是否存在該文件, 如不存在則404。

查看可用模塊編譯參數(shù)：

http_gzip模塊

開啟gzip壓縮輸出(常常是大于1kb的靜態(tài)文件)，減少網(wǎng)絡(luò)傳輸;

http_fastcgi_module模塊

nginx可以用來請求路由到FastCGI服務(wù)器運行應(yīng)用程序由各種框架和PHP編程語言等?？梢蚤_啟FastCGI的緩存功能以及將靜態(tài)資源進行剝離，從而提高性能。

keepalive模塊

長連接對性能有很大的影響，通過減少CPU和網(wǎng)絡(luò)開銷需要開啟或關(guān)閉連接;

http_ssl_module模塊

Nginx開啟支持Https協(xié)議的SSL模塊

Linux內(nèi)核參數(shù)部分默認值不適合高并發(fā),Linux內(nèi)核調(diào)優(yōu)，主要涉及到網(wǎng)絡(luò)和文件系統(tǒng)、內(nèi)存等的優(yōu)化，

下面是我常用的內(nèi)核調(diào)優(yōu)配置：

文件描述符

文件描述符是操作系統(tǒng)資源，用于表示連接、打開的文件，以及其他信息。NGINX 每個連接可以使用兩個文件描述符。

例如如果NGINX充當代理時，通常一個文件描述符表示客戶端連接，另一個連接到代理服務(wù)器，如果開啟了HTTP 保持連接，這個比例會更低（譯注：為什么更低呢）。

對于有大量連接服務(wù)的系統(tǒng)，下面的設(shè)置可能需要調(diào)整一下：

精簡模塊:Nginx由于不斷添加新的功能，附帶的模塊也越來越多,建議一般常用的服務(wù)器軟件使用源碼編譯安裝管理;

(1) 減小Nginx編譯后的文件大小

(2) 指定GCC編譯參數(shù)

修改GCC編譯參數(shù)提高編譯優(yōu)化級別穩(wěn)妥起見采用 -O2 這也是大多數(shù)軟件編譯推薦的優(yōu)化級別。

GCC編譯參數(shù)優(yōu)化 [可選項] 總共提供了5級編譯優(yōu)化級別：

常用編譯參數(shù):

緩存和壓縮與限制可以提高性能

NGINX的一些額外功能可用于提高Web應(yīng)用的性能，調(diào)優(yōu)的時候web應(yīng)用不需要關(guān)掉但值得一提，因為它們的影響可能很重要。

簡單示例:

1) 永久重定向

例如，配置 http 向 https 跳轉(zhuǎn) (永久)

nginx配置文件指令優(yōu)化一覽表

描述:Nginx因為安全配置不合適導(dǎo)致的安全問題,Nginx的默認配置中存在一些安全問題,例如版本號信息泄露、未配置使用SSL協(xié)議等。

對Nginx進行安全配置可以有效的防范一些常見安全問題，按照基線標準做好安全配置能夠減少安全事件的發(fā)生,保證采用Nginx服務(wù)器系統(tǒng)應(yīng)用安全運行;

Nginx安全配置項：

溫馨提示: 在修改相應(yīng)的源代碼文件后需重新編譯。

設(shè)置成功后驗證:

應(yīng)配置非root低權(quán)限用戶來運行nginx服務(wù),設(shè)置如下建立Nginx用戶組和用戶，采用user指令指運行用戶

加固方法:

我們應(yīng)該為提供的站點配置Secure Sockets Layer Protocol (SSL協(xié)議)，配置其是為了數(shù)據(jù)傳輸?shù)陌踩?，SSL依靠證書來驗證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

不應(yīng)使用不安全SSLv2、SSLv3協(xié)議即以下和存在脆弱性的加密套件(ciphers), 我們應(yīng)該使用較新的TLS協(xié)議也應(yīng)該優(yōu)于舊的,并使用安全的加密套件。

HTTP Referrer Spam是垃圾信息發(fā)送者用來提高他們正在嘗試推廣的網(wǎng)站的互聯(lián)網(wǎng)搜索引擎排名一種技術(shù)，如果他們的垃圾信息鏈接顯示在訪問日志中，并且這些日志被搜索引擎掃描，則會對網(wǎng)站排名產(chǎn)生不利影響

加固方法:

當惡意攻擊者采用掃描器進行掃描時候利用use-agent判斷是否是常用的工具掃描以及特定的版本,是則返回錯誤或者重定向;

Nginx支持webdav，雖然默認情況下不會編譯。如果使用webdav，則應(yīng)該在Nginx策略中禁用此規(guī)則。

加固方法: dav_methods 應(yīng)設(shè)置為off

當訪問一個特制的URL時，如"../nginx.status"，stub_status模塊提供一個簡短的Nginx服務(wù)器狀態(tài)摘要,大多數(shù)情況下不應(yīng)啟用此模塊。

加固方法：nginx.conf文件中stub_status不應(yīng)設(shè)置為：on

如果在瀏覽器中出現(xiàn)Nginx自動生成的錯誤消息，默認情況下會包含Nginx的版本號,這些信息可以被攻擊者用來幫助他們發(fā)現(xiàn)服務(wù)器的潛在漏洞

加固方法: 關(guān)閉"Server"響應(yīng)頭中輸出的Nginx版本號將server_tokens應(yīng)設(shè)置為：off

client_body_timeout設(shè)置請求體（request body）的讀超時時間。僅當在一次readstep中，沒有得到請求體，就會設(shè)為超時。超時后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_body_timeout應(yīng)設(shè)置為：10

client_header_timeout設(shè)置等待client發(fā)送一個請求頭的超時時間（例如：GET / HTTP/1.1）。僅當在一次read中沒有收到請求頭，才會設(shè)為超時。超時后Nginx返回HTTP狀態(tài)碼408(Request timed out)。

加固方法：nginx.conf文件中client_header_timeout應(yīng)設(shè)置為：10

keepalive_timeout設(shè)置與client的keep-alive連接超時時間。服務(wù)器將會在這個時間后關(guān)閉連接。

加固方法：nginx.conf文件中keepalive_timeout應(yīng)設(shè)置為：55

send_timeout設(shè)置客戶端的響應(yīng)超時時間。這個設(shè)置不會用于整個轉(zhuǎn)發(fā)器，而是在兩次客戶端讀取操作之間。如果在這段時間內(nèi)，客戶端沒有讀取任何數(shù)據(jù)，Nginx就會關(guān)閉連接。

加固方法：nginx.conf文件中send_timeout應(yīng)設(shè)置為：10

GET和POST是Internet上最常用的方法。Web服務(wù)器方法在RFC 2616中定義禁用不需要實現(xiàn)的可用方法。

加固方法:

limit_zone 配置項限制來自客戶端的同時連接數(shù)。通過此模塊可以從一個地址限制分配會話的同時連接數(shù)量或特殊情況。

加固方法：nginx.conf文件中l(wèi)imit_zone應(yīng)設(shè)置為：slimits $binary_remote_addr 5m

該配置項控制一個會話同時連接的最大數(shù)量，即限制來自單個IP地址的連接數(shù)量。

加固方法：nginx.conf 文件中 limit_conn 應(yīng)設(shè)置為: slimits 5

加固方法：

加固方法:

解決辦法:

描述后端獲取Proxy后的真實Client的IP獲取需要安裝--with-http_realip_module，然后后端程序采用JAVA(request.getAttribute("X-Real-IP"))進行獲取;

描述: 如果要使用geoip地區(qū)選擇,我們需要再nginx編譯時加入 --with-http_geoip_module 編譯參數(shù)。

描述: 為了防止外部站點引用我們的靜態(tài)資源，我們需要設(shè)置那些域名可以訪問我們的靜態(tài)資源。

描述: 下面收集了Web服務(wù)中常規(guī)的安全響應(yīng)頭, 它可以保證不受到某些攻擊,建議在指定的 server{} 代碼塊進行配置。

描述: 為了防止某些未備案的域名或者惡意鏡像站域名綁定到我們服務(wù)器上, 導(dǎo)致服務(wù)器被警告關(guān)停，將會對業(yè)務(wù)或者SEO排名以及企業(yè)形象造成影響，我們可以通過如下方式進行防范。

執(zhí)行結(jié)果:

描述: 有時你的網(wǎng)站可能只需要被某一IP或者IP段的地址請求訪問，那么非白名單中的地址訪問將被阻止訪問, 我們可以如下配置;

常用nginx配置文件解釋：

(1) 阿里巴巴提供的Concat或者Google的PageSpeed模塊實現(xiàn)這個合并文件的功能。

(2) PHP-FPM的優(yōu)化

如果您高負載網(wǎng)站使用PHP-FPM管理FastCGI對于PHP-FPM的優(yōu)化非常重要

(3) 配置Resin on Linux或者Windows為我們可以打開 resin-3.1.9/bin/httpd.sh 在不影響其他代碼的地方加入:-Dhttps.protocols=TLSv1.2, 例如

原文地址: