1、服务器运行标准及底层环境安全配置没有最安全的服务器,只有粗心的服务器管理员!配置服务器底层环境和安全的时候,一定要非常的细心!此文主讲服务器安全,底层环境配置方面不再细讲一、 服务器运行标准及其基本环境配置1 服务器上的目录分配及其作用权限首先规范对服务器的资源使用,和服务器的整体命名规范,只有使用同一规范的服务器管理标准才能达到协同规范管理的目标,我们的原则是先设权限在装软件。这里我们着重介绍 3 分区管理方式和 4 分区管理方式:C: 系统安装目录,根目录只保留 administrators 组和 System 用户的完全控制权限D: 软件和实用工具安装目录,软件存储目录,权限 Admin
2、istrators 组、System 用户完全控制权限D: Program Files 软件和实用工具安装目录,权限 Administrators 组、System 用户完全控制权限注:除特殊需求外一切软件都安装在该D: Program FilesTools 一些非安装的单文件类工具软件,不赋予任何权限,需要使用时赋予 Administrators 组、System 用户完全控制权限,使用完毕后删除权限D: Program FilesToolsdllcache 系统工具,权限同上D: Soft 软件存储目录,不赋予任何权限,需要使用时赋予 Administrators 组完全控制权限,使用完毕
3、删除权限服务器上需要安装的软件按照实际需要情况进行安装,推荐常规.NET 带 MSSQL 服务器安装如下软件Microsoft SQL Server 数据库默认存储路径不要选择这个盘DU Meter 服务器流量监测统计工具NOD32 2.7 版服务器版,一定要是 2.7 版本的Thunder 无插件,免安装,免自动加载项版Serv-U 6.406 一定是安装版,不要装什么所谓的破解版有需要时安装UltraISO 文件打包工具Daemon Tools 3.5 以下版本,虚拟光驱,安装好之后可以设置为不随系统启动,需要时在手工启动Vsniffer 数据包抓包工具Microsoft Office A
4、ccess 数据服务组件Tools 下需要安放的软件HDTunePro 4.0 以上版本 服务器硬盘状态监测工具ScanPort 端口扫描工具Cpu-Z 服务器硬件查看工具Dllcache 目录存放如下系统工具(该工具可在 C:Windows 中找到)arp.exeat.exeatsvc.execacls.execmd.exe edlin.exefinger.exeftp.exeipconfig.exenbtstat.exenet.exenetstat.exenslookup.exeping.exeposix.exeqbasic.exercp.exerdisk.exeregedit.exere
5、gedt32.exerexec.exeroute.exersh.exerunonce.exesecfixup.exesyskey.exetelnet.exetracert.exewscript.exexcopy.exe服务器上需要存储的软件,存放软件的原因是一个方便修复故障或错误另一个就是可以在服务器间对传软件保证服务器的软件使用统一性和安全性与服务器版本对应版本的 Windows Server 2003 光盘镜像或者 I386 目录Microsoft SQL Server 安装包,对于 SQL 的安装建议安装企业版的也就是 Enterprise Edition 版不推荐在服务器上装个人版和开
6、发版Microsoft Office Access 安装包HDTunePro 4.0 以上版本 ScanPort Cpu-Z Thunder 文件包。Recover 文件恢复工具,防止误删文件,该工具不需要安装,仅仅存放在这里即可软件安装的原则是,先装服务与软件然后在打补丁,因为软件一般版本文件都比较低安装后会覆盖某些文件,导致最新的补丁文件并不能及时的应用上去。E: 站点存储目录,权限全盘提供 Administrators 组完全控制权限,特别的权限按照目录的具体来设置F:wwwroot 站点存放目录F: 数据库存储目录,日志临时文件存储目录,其他文件存储目录,备份目录3 分区管理时该作用转
7、移在 E: 权限全盘提供 Administrators 组、System 用户完全控制权限,特别的权限按照目录的具体来设置F:SQLBak 数据库备份存放目录F:SQLData 数据库存放目录F:WebBak 站点备份文件存放目录F:temp 零时文件存放目录F:wwwrootlog 日志文件存放目录F: Documents服务器管理员个人独立管理使用目录,每个管理员新建一个目录,把自己工作文件等放在里不要文件到处乱扔F: Documentsshare 公共文件存放目录,如 HiShop 安装包补丁等每次更新货添加修改了文件请在 F: DocumentsDocuments.txt 文件中写清楚
8、,文件存放规则参照备份规则F: DocumentsDocuments.txt 服务器留言板,记录需要传达和其他管理员需要知道的事宜,并做好服务器的管理日志记录,公共文件,勿留私密信息。登录服务器首先请先查看该文件。备份文件或目录的命名规则,备份文件严格按照如下规则命名文件名+年+月+日+时间+随机字符串 4 个如 2010 年 5 月 20 日 15 时 55 分备份了站点 则文件夹得命名为 29hicom.2010.05.20.15.55.00012 常规服务器的底层环境首先要知道你需要配置什么样的服务器,支持什么样的软件运行,并准备好相应的软件Hishop 网店系统运行在 Microso
9、ft .net framework 2.0 环境下面,数据库和 Web 是安装在同一台服务器下面,服务里使用华众管理平台对虚拟主机进行管理,并且还需要 FTP 服务所以需要软件如下Microsoft .net framework 2.0 组件Microsoft SQL Server 2000Serv-U 6.406Windows 2003 安装光盘或者 I386 目录配置常规服务器组件依次安装相关软件安装 IIS(Internet 信息服务)安装 Microsoft SQL Server 2000安装 Microsoft .net framework 2.0 组件,装好后记得在微软官网上打上补
10、丁和中文包安装 Microsoft .net framework 3.0 组件安装 Microsoft .net framework 3.5 组件为什么要装 3.0 和 3.5 呢,因为很多工具软件都是由 VS2008 甚者 VS2010 开发的他们修要这个组件的支持,比如现在最新的支持 PHP 的微软推出的 FastCGI 1.0 组件点击左下角【开始】并运行【Windows Update】升级系统所有重要补丁需要时可安装华众管理平台客户端或者星外客户端其它组件支持安装 php 和 Mysql 支持!二、 服务器安全配置1 服务器服务及组件停用不需要的服务,提高服务器安全性开始菜单管理工具服
11、务Application Layer Gateway Service 为应用程序级协议插件Background Intelligent Transfer Service 利用空闲的网络带宽在后台传输文件Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Computer Browser 维护网络上计算机的更新列表,并Distributed File System 将分散的文件共享合并成一个逻辑名Distributed Link Tracking Client 用于局域网更新连接信息Error reporting service 发送错误报告Remote
12、 Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)Remote Desktop Help Session Manager 远程协助Net Logon 域控制器通道管理NT LM Security Support Provider 为使用传输协议而不是命名管道的远程Microsoft Serch 基于结构化和半结构化数据的内容以及属性生成全文索引Help and Support 启用在此计算机上运行帮助和支持中心Messenger 传输客户端和服务器之间的 NET SEND 和NetMeeting Remote Desktop Sharing 允许经
13、过授权的用户用 Workstation 创建和维护到远程服务的客户端网络连接。Removable storage 管理可移动媒体、驱动程序和库Print Spooler 管理所有本地和网络打印队列及控制所有打印工Remote Registry 使远程用户能修改此计算机上的注册表设置TCP/IP NetBIOS Helper 提供 TCP/IP (NetBT) 服务上的 NetBIOS Server 支持此计算机通过网络的文件、打印、和命名管道共享Com+ Event System 提供事件的自动发布到订阅 COM 组件Alerter 通知选定的用户和计算机管理警报Telnet 允许远程用户登录
14、到此计算机并运行程序,以上服务禁用直接卸载后删除相应的程序文件。regsvr32/u C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dll将上面的代码保存为一个.BAT 文件,并执行。找到上面两个文件,把文件删除。(应先删除 C:WINDOWSsystem32dllcache 目录下的这两个文件,然后在删除上面的两个目标文件,否则文件删除之后他们又会出来 dllcache 是系统文件备份恢复目录)2 账户安全在【我的电脑】上按鼠标右键,选择【管理】-【本地用户和组】-【用户】改名【Guest】账户,如 Gu2#eds
15、t1,禁用此账户,并给他分配一个超级复杂的密码改名 Administrator 账户,并新建一个账户,命名为 Administrator,让其不属于任何组,并给其一个超级复杂的密码禁用【SQLDebugger】账户3 安全策略【开始】-【运行】-输入 secpol.msc账户策略设置密码策略密码必须符合复杂性要求 开启密码长度最小值 建议 6 以上密码最长使用期限 30 天账户锁定策略复位账户锁定计数器 60 分账户锁定时间 60 分账户锁定阀值 2 次无效登录本地安全策略设置 开始菜单管理工具本地安全策略 本地策略审核策略审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败
16、 审核过程跟踪 失败 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性调整日至文件大小:1048576KB=1G 覆盖时间超过 30 天的事件帐户策略帐户锁定策略 设置为 3 次无效登陆本地策略用户权限分配关闭系统:只有 Administrators 组、其它全部删除。 通过终端服务允许登陆:只加入 Administrators,Remote Desktop Users 组用户权利分配:将“从网络访问此计算机”中只保留 Administrators、As
17、pnet 账户、启动IIS 进程账户(IUSR)、(IWAM)(Everyone)总共:(Administrators)(ASPNET)(IUSR)(IWAM)(Everyone)本地策略安全选项交互式登陆:不显示上次的用户名 启用 网络访问:不允许 SAM 帐户和共享的匿名枚举 启用网络访问:不允许为网络身份验证储存凭证 启用网络访问:可匿名访问的共享 全部删除网络访问:可匿名访问的命名通道 全部删除网络访问:可远程访问的注册表路径 全部删除 网络访问:可远程访问的注册表路径和子路径 全部删除 帐户:重命名来宾帐户 重命名一个帐户(例如 Gu2#edst1)4 注册表防范 ipc$入侵 1、
18、禁止空连接进行枚举(此操作并不能阻止空连接的建立) 首先运行 regedit,找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA把 restrictanonymous 的值设为 00000001 Restrictanonymous 类型为 DWORD2、禁止默认共享 1)察看本地共享资源 运行-cmd-输入 net share 2)删除共享(每次输入一个) net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delet
19、e(如果有 e,f,可以继续删除) 修改注册表删除共享 运行-regedit 找到如下主键HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 把 AutoShareServer(DWORD)的键值改为:00000000。 如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。3、修改远和桌面的连接端口找到以下主键HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右
20、边键值中PortNumber改为你想用的端口号.注意使用十进制HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/右边键值中PortNumber改为你想用的端口号.注意使用十进制修改完之后,重启电脑即可生效5 服务文件管理 请找到 c 盘的这些文件 打开 C 盘,按 F3:在搜索框里输入xcopy.exe,wscript.exe,cscript.exe,net.exe,ftp.exe,telnet.exe,arp.exe,edlin.exe,ping.exe,route.
21、exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,qbasic.exe,runonce.exe,syskey.exe,cacls.exe,ipconfig.exe,rcp.exe,secfixup.exe,nbtstat.exe,rdisk.exe,debug.exe,regedt32.exe,regedit.exe,,netstat.exe,tracert.exe,nslookup.exe,rexec.exe,cmd.exe,net.exe,net1.exe ,tftp.exe ,attrib.exe ,,c.exe点击搜索 然后吧文件拷贝在
22、 D: Program FilesToolsdllcache目录下(部分文件会有两个,不用管,直接覆盖,这两个文件是相同的,一般系统会自动备份并恢复),然后删除C 盘权限,根目录只保留 administrator 和 System 用户的完全控制权限检查 C:Documents and Settings每个账户文件夹里面的Application Data 文件夹权限,保证没有 Everyone 账户的权限调整 C:windowsTemp 文件夹的权限,以保证.net 程序正常运行。删除 NetWork Service 的权限,添加 IIS_WPG 的权限,在高级里调整此账户的权限为应用到:该文
23、件夹,子文件夹及文件权限设选择:列出文件夹/读取数据删除其它权限不要。Web 目录权限请严格按 Hishop 网店程序的基本权限要求进行调整,不必要的文件和文件夹不要给于写入权限。注意:打开 IIS,找到站点,在 Storage 文件夹(此文件夹需写入权限)上按右键选【属性】-【目录】,把【执行权限】改为【无】6 网络安全技术部保留的有做好的 IP 安全策略,只要导入并指派即可,主要用于关闭一些危险的低端口导入方法:【控制面版】-【管理工作】-【本地安全策略】在【IP 安全策略】上按鼠标右键,依次选择【所有任务】-【导入策略】然后指派即可在【本地连接】的属性里面,删除所有协议,只留 TCP/I
24、P 协议(在没有其它流量监控软件的情况下),打开【TCP/IP 协议】的属性窗口高级-WINS 面板-NetBIOS 设置-禁用 TCP/IP 上的 NetBIOS7 防火墙策略开启 2003 系统自带的防火墙,并允许例外添加如下端口和程序TCP80 端口WEB 服务器必用TCP 远程连接端口 根据设置的端口添加TCP32317 端口 华众虚拟主机管理平台TCP 32318 端口 华众虚拟主机管理平台ServUDaemon.exeFTP 工具使用没有其它软件的情况下,不需要再添加任何端口允许的情况下,建议服务器安装文件及 URL 应用过滤工具类软件安装 Deer Field、8Sign Firewall 等具备应用层过滤功能的防火墙,对 Url 提交的非法字符进行整体过滤,可防范网站程序编写时存在的对敏感字符未过滤的漏洞。需要过滤的字符列表(
