服务器安全方案
服务器安全方案
一、操作系统安全配
置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。1 1安装操作系统(NTFS分区)。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2
2.安装系统补丁,扫描漏洞全面杀毒。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2
3.删除Windows Server 2003默认共享。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2
4.禁用IPC连接。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2
5.删除"网络连接"里的协议和服务。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2
6.启用windows连接防火墙。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2
7.磁盘权限。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。3
8.本地安全策略设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。3
系统检查检测。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。4 二iis配置(包括网站所在目录)。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5
1.新建自己的网站。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5
2.删掉系统盘\inetpub目录。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5
3.删除不用的映射。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5
4.为网站创建系统用户。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5
5.设置应用程及子目录的执行权限。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5
6.应用程序池设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5
Iis检查检测。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5
1.密码设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。6
2.删除危险的扩展存储过程和相关.dll。。。。。。。。。。。。。。。。。。。。。。。。。。。。6
四、远程访问配置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。7
第一步,远程桌面设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。7 第二步.设客户端。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。8 第三步,远程连接。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。8 远程访问检查检测。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。9
五、其它设置(选用)。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。10
六、可以关闭的系统服务列表。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。10
七、禁止或卸载危险组件。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。11
八、windows自带防火墙设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。12
九、天网防火墙设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。15
十、防ASP木马,删除相关组件。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。16 一、操作系统安全配置
1安装操作系统(NTFS分区)
系统选用正版,装杀毒软件,比如免费的瑞星杀毒软件,天网防火墙。
2.安装系统补丁,扫描漏洞全面杀毒。
3.删除Windows Server 2003默认共享。
首先编写如下内容的批处理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名为delshare.bat,放到启动项中,每次开机时会自动删除共享。
4.禁用IPC连接
打开CMD后输入如下命令即可进行连接:net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表(regedit)来禁用IPC连接。打开注册表编辑器。找到如下组建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
5.删除"网络连接"里的协议和服务
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
6.启用wind ows连接防火墙
只开放web服务(80端口)。注:在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在
使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
7.磁盘权限
给每个虚拟主机用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录。
1打开"计算机管理"→"本地用户和组"→"用户",在右栏中点击鼠标右键,在弹出的菜单中选择"新用户"
2在弹出的"新用户"对话框中根据实际需要输入"用户名"、"全名"、"描述"、"密码"、"确认密码",并将"用户下次登录时须更改密码"前的对号去掉,选中"用户不能更改密码"和"密码永不过期"。
3在列表中双击该帐号,以便进一步进行设置,属性对话框中点"隶属于"选项卡,刚建立的帐号默认是属于"Users"组,选中该组,点"删除"此时再点"添加,在弹出的"选择组"对话框中找到"Guests",点"添加",然后点"确定。
4弹出一个"第一虚拟主机属性"的对话框,从对话框中可以看到该虚拟主机用户的使用的是"F:\VHOST1"这个文件夹,切换到"资源管理器",找到"F:\VHOST1"这个文件夹,右击,选"属性"→"安全"选项卡,此时可以看到该文件夹的默认安全设置是"Everyone"完全控制(视不同情况显示的内容不完全一样),首先将最将下的"允许将来自父系的可继承权限传播给该对象"前面的对号去掉,此时会弹出如下图所示的"安全"警告,点"删除",此时安全选项卡中的所有组和用户都将被清空(如果没有清空,请使用"删除"将其清空),然后点"添加"按钮。将"Administrator"及在前面所创建的新帐号"IUSR_VHOST1"添加进来,将给予完全控制的权限,还可以根据实际需要添加其他组或用户,但一定不要将"Guests"组、"IUSR_机器名"这些匿名访问的帐号添加上去!
5打开的"第一虚拟主机属性"的对话框,打开"目录安全性"选项卡,点匿名访问和验证控制的"编辑":在弹出的"验证方法"对方框(如下图所示),点"编辑":弹出了"匿名用户帐号",默认的就是"IUSR_机器名",点"浏览":在"选择用户"对话框中找到前面创建的新帐号"IUSR_VHOST1",双击:此时匿名用户名就改过来了,在密码框中输入前面创建时,为该帐号设置的密码:
6如果此网站运行的是https://www.360docs.net/doc/17741070.html,网站程序,则还要在网站安全性中加上“https://www.360docs.net/doc/17741070.html,”和“IIS_WPG”两个用户的权限,权限只须要默认的“读取和运行”、“列出文件夹目录”、“读取”三个权限即可。
8.本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略(可选用)
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名启用
网络访问:可匿名访问的共享全部删除
COMCFG
DFS$
网络访问:可匿名访问的命名管道全部删除
COMNAP
COMNODE
SQL\QUERY
SPOOLSS
NETLOGON
LSARPC
SAMR
BROWSER
**网络访问:可远程访问的注册表路径全部删除
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentV ersion
**网络访问:可远程访问的注册表路径和子路径全部删除
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentV ersion\Print
Software\Microsoft\Windows NT\CurrentV ersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentV ersion\Perflib
System\CurrentControlSet\Services\SysmonLog
帐户:重命名来宾帐户重命名一个帐户
(下面一项更改可能导致sqlserver不能使用)
帐户:重命名系统管理员帐户重命名一个帐户
系统检查检测
1查看系统盘是不是多少ntfs格式2检查杀毒软件和防火墙更新3使用杀毒软件或其他系统软件检查系统漏洞4右键我的电脑,管理,打开计算机管理点共享文件夹,点共享,共享里面应该没有项目5查看防火墙例外中加80tcp端口协议。6尝试用其他账户关机7尝试Guests、Users组用户登录,只有其管理员组可登录。8交互登录是不是不显示用户名9在本地用户和组查看来宾账户和管理员账户名是否修改。
二iis配置(包括网站所在目录)
1.新建自己的网站
*注意:在应用程序设置中执行权限设为无,在需要的目录里再更改,目录不在系统盘
注:为支持https://www.360docs.net/doc/17741070.html,,将系统盘\Inetpub\wwwroot中的aspnet_client文件夹复制到web根目录下,并给web 根目录加上users权限。
2.删掉系统盘\inetpub目录
3.删除不用的映射
在主目录"应用程序配置"里,只给必要的脚本执行权限:ASP、ASPX。
4.为网站创建系统用户
A.例如:网站为https://www.360docs.net/doc/17741070.html,,新建用户https://www.360docs.net/doc/17741070.html,权限为guests。然后在web
站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows 用户帐户"的用户名和密码都使用https://www.360docs.net/doc/17741070.html,这个用户的信息。(用户名:主机名\https://www.360docs.net/doc/17741070.html,)
B.给网站所在的磁盘目录添加用户https://www.360docs.net/doc/17741070.html,,只给读取和写入的权限。
5.设置应用程及子目录的执行权限
A.主应用程序目录中的"属性--应用程序设置--执行权限"设为纯脚本
B.在不需要执行asp、https://www.360docs.net/doc/17741070.html,的子目录中,例如上传文件目录,执行权限设为无
6.应用程序池设置
我的网站使用的是默认应用程序池。设置"内存回收":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限制这个站点的性能的。
回收工作进程(分钟):1440
在下列时间回收工作进程:06:00
Iis检查检测
1 aspnet_client文件夹有没有复制到web根目录2查看web根目录有没
有的users权限3web根目录不能在系统盘4\inetpub目录和不用的映像是否已经删除5在本地用户和组中查看guests有没有自己添加的匿名用户,其密码永不过期。
三、sql server 2000 配置
1.密码设置
sa用户密码设置要复杂
给sa加上口令:
1,打开企业管理器------SQL Server服务器{一般默认为(LOCAL) (windowsNT)}------安全性-------登录,然后双击sa输入要设置的口令-----点确定------再次输入口令------点确定,这样就完成了sa口令的设置。
2,可这样只能防范黑客以sa用户登录,并没有要求我们在打开企业管理器或查询分析器的时候也要输入sa密码。我们仍然能打开企业管理器和查询分析器对里面的数据库进行所有数据的操作,那怎么才能在连接企业管理器或查询分析器数据库的时候也要输入sa密码呢?
给企业管理器和查询分析器设置连接口令:
1,打开企业管理器------右击服务器节点(LOCAL) (windowsNT)-------编辑SQL Server 注册属性------选择“使用SQL Server 身份验证”------输入登录名:sa------输入sa密码------选择“总是提示输入登录名和密码”------确定即可。有时在点确定后还会有提示“活动连接的连接信息已被更改,要断开连接吗?”------点击“是”------再次输入sa密码点确定-------即完成连接。
2,虽然这样做只有输入sa密码才能完成SQL Server身份验证模式下的企业管理器和查询分析器里数据库的连接,可查询分析器里还有一个使用“windows身份验证”,只要我们使用这个验证方式,仍然可以进入查询分析器里数据库进行数据操作,也可以在企业管理器中通过这个方式进行在现有数据库上“新建SQL Server 注册”的重新注册,来对数据库的数据进行操作。怎么样才能禁用这个方式的连接呢?
禁用SQL Server的“windows身份验证”模式的连接:
1,打开企业管理器------SQL Server服务器{一般默认为(LOCAL) (windowsNT)}------安全性-------登录,双击类型为“windows组”及“windows用户”,将“安全性访问”的选项设置均设为为“拒绝访问”即可。
2.删除危险的扩展存储过程和相关.dll。
Xp_cmdshell(这个肯定首当其冲,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring Sql检查检测
1登录企业管理器检查口令和复杂程度2使用查询分析是不是提示要sa密码3用windows身份验证方式进入查询分析器操作是否成功。
四、远程访问配置
第一步,远程桌面设置。
点桌面的“我的电脑”按右键
点属性—-出现如下画面
点远程桌面,并勾上“允许用户远程连接到这台计算机”按确定–并点选择远程用户。出现如下对话框
怎么样,我们会发现软体动物这个用户已经有访问权了,当然还可以增加其他的用户,但我还是劝你少一点用户比较好,不然东西被人拿完了自己还不知道怎么回事。
按确定,确定,回到桌面。———–至此远程桌面的服务器端全部搞定,接着就是搞客户端了。
第二步.设客户端
在客户端的程序—附件—有个远程桌面连接,打开即可
第三步,远程连接
输入服务器ip地址登陆,如果非3389端口已被改成4411则登陆方式为ip:4411,加上端口号就行。
远程访问本身就是服务器的一大安全隐患,如必须开放可如下设置。
加强2003远程访问,安全性之端口更改,默认状态下远程桌面使用的端口是3389,这个端口是黑客
所窥视的端口,因此我们可以稍微在注册表中改端口值,加强远程桌面的安全性,具体做法如下:
开始菜单—运行—输入regedit—确定,跳出注册表对话框:
对此可打开注册表编辑器,依次展开
―HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp‖分支,其下的―PortNumber‖键值所对应的就是端口号,将其修改即可。
上面设置完成后,需要再依次展开―HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Terminal Server\WinStations\RDP-Tcp‖分支,同样将其下的―PortNumber‖键值进行更改。
注意:注册表端口值默认是16进制,我们可以点击10进制后再修改。
当更改了服务器的远程登录端口后,可在本地的―远程桌面连接程序‖中设置连接的服务器地址,然后单击―连接设置→另存为‖,导出并保存连接文件。然后用记事本打开导出的―*.rdp‖文件,在其中添加语句―server port:i:端口号‖,保存后导入连接即可。要注意,在Windows 2000中导出的是―.cns‖文件,可打开后在其中找到―Server Port =3389‖语句,将其默认的―3389‖端口修改为与服务器相同的登录端口。
远程访问检查检测
1计算机管理——―系统工具‖―本地用户和组‖——―组‖,检查账户是否在远程桌面的组中。
―2控制面板‖——―管理工具‖——本地安全设置,本地策略——用户权利指派,―通过终端服务允许登录‖中,确保上面设置的远程桌面的组―Remote Desktop Users‖在列表中。
3看telnet端口是否真的启动:执行:netstat -ano发现23端口已经开启,说明telnet服务正常。
五、其它设置(选用)
1.任何用户密码都要复杂,不需要的用户---删。
2.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
3.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interfac
e 新建DWORD值,名为PerformRouterDiscovery 值为0
4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
5.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值,名为IGMPLevel 值为0
6.禁用DCOM:
运行中输入Dcomcnfg.exe。回车,单击“控制台根节点”下的“组件服务”。打开“计算机”子
文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式COM”复选框。删了它,比如我删了cmd.exe,command.exe,嘿嘿。);
其它盘,有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限,无只给Administrators 权限。
系统盘只给Administrators 和SYSTEM 权限
系统盘\Documents and Settings 目录只给Administrators 和SYSTEM 权限;
系统盘\Documents and Settings\All Users 目录只给Administrators 和SYSTEM 权限;
系统盘\Documents and Settings\All Users\Application Data目录只给Administrators 和SYSTEM 权限;
系统盘\Windows 目录只给Administrators 、SYSTEM 和users 权限;
系统盘\Windows\System32\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只给 Administrators 权限。
六、可以关闭的系统服务列表
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Routing and Remote access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
PRint Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的NET SEND 和警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
七、禁止或卸载危险组件
Web木马常用系统组件有:https://www.360docs.net/doc/17741070.html,ers、Wscript.shell、Shell.application、https://www.360docs.net/doc/17741070.html,work、Shell.LocalMachine。如海洋顶端所用到的
①WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
②WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
③https://www.360docs.net/doc/17741070.html,work (classid:093FF999-1EA0-4079-9525-9614C3504B74)
④https://www.360docs.net/doc/17741070.html,work.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
⑤FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)
⑥Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
卸载Wscript.Shell、https://www.360docs.net/doc/17741070.html,work
regsvr32 /u %windir%/system32/WSHom.Ocx
del %windir%/system32/WSHom.Ocx
regsvr32 /u %windir%/system32/shell32.dll
del %windir%/system32/shell32.dll
HKEY_CLASSES_ROOT\WScript.Shell\
HKEY_CLASSES_ROOT\WScript.Shell.1\
卸载Shell.application(注册表中删除下面键值,或者修改CLSID的值当然改Shell.application为其它名称也可以的)
regsvr32 /u Shell.Application.1 /s
regsvr32 /u Shell.Application /s
HKEY_CLASSES_ROOT\Shell.Application\
HKEY_CLASSES_ROOT\Shell.Application.1\
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application.1\CLSID\项目的值
卸载FSO
regsvr32.exe /u %windir%/system32/scrrun.dll
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
卸载Stream
regsvr32 /s /u "C:/Program Files/Common Files/System/ado/msado15.dll"
八、windows自带防火墙设置
1,首先是启用系统防火墙
右键点击“网上邻居”选择属性,然后再右键点击“本地链接”依然选择属性,之后选择“高级”
选项卡,点击“windows防火墙”后面的“设置”按钮,如果有提示要启动什么服务请同意。
开启之后再次使用superscan扫描结果如下图:
2,拒绝外部计算机访问本机制定服务或端口
如果需要外部计算机访问本地计算机,如开放远程桌面、网站、FTP等服务,则需要在“例外”
里面添加相应的程序或者开放端口。如图:
还可以限制外部访问计算机的IP地址,如:
如果有多快网卡,你还可以分别为每一个网卡站定不同的规则。那就是在高级里面选择不同的网站进行设置。如图:
限制本机端口开放还可以在“TCP/IP 筛选”里面严格的设置,如只允许哪些类型的端口与外界通讯。详细设置如下图所示
3,设置本地计算机访问外部资源
默认状态本地计算机是可以访问外部任何资源(当前外部资源要是公开或者允许的),如果要拒绝本地计算机访问外部某个资源或者拒绝从本地某个端口向外部发送数据则需要使用专业的软、硬件防火墙。
九、天网防火墙设置
1、应用程序访问网络权限设置
除与iis网络访问的全部拒绝,在选项里可自定义端口80.
2、自定义Ip规则
允许自己用ping命令探测其他主机不勾
允许路由返回超时的icmp回应包勾
允许路由返回无法到达的icmp回应包勾
允许局域网机器用ping命令探测不勾
防止别人用ping命令探测勾
防御icmp攻击勾
防御igmp攻击勾
Tcp数据包监控不勾
允许局域网内的机器进行连接和传输勾
允许局域网的机器使用我的共享资源不勾
禁止互联网上的机器使用我的共享资源勾
允许已授权程序打开的端口不勾
禁止所有人连接低端端口勾
禁止所有人连接勾
Udp数据包监视不勾
允许dns域名解释勾
允许局域网内的机器取得你的机器名称不勾
防止互联网上的机器探测机器名称勾
禁止所有人连接udp端口勾
十、防ASP木马,删除相关组件
如何卸载Wscript.Shell等对象
1、卸载wscript.shell对象
在cmd下运行:regsvr32 WSHom.Ocx /u
2、卸载FSO对象
在cmd下运行:regsvr32.exe scrrun.dll /u
3、卸载stream对象
在cmd下运行:regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
如果要重新启用:请把/u参数对掉就行了!
禁止WScript.Shell
防范此类病毒的方法就是将Windows scripting host卸载掉,
具体方法是:我的电脑→控制面板→添加/删除程序→安装WINDOWS→
附件→详细资料→Windows scripting host→确定。其实还有一种方法更简单,
依次键入下面两段命令:regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车,
就可以把注册表中.wsh对象的注册值删掉。这样那些必须依靠对象运行的病毒就因为找不着对象而无法运行下去。
防范Wscript.Shell组件的方法:
可以通过修改注册表,将此组件改名。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
防范Shell.Application组件的方法:
可以通过修改注册表,将此组件改名。
HKEY_CLASSES_ROOT\Shell.Application\
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了。
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
以上是海洋中的相关代码,从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件:
①WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8)
②WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B)
③https://www.360docs.net/doc/17741070.html,work (classid:093FF999-1EA0-4079-9525-9614C3504B74)
④https://www.360docs.net/doc/17741070.html,work.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74)
⑤FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)
⑥Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4})
⑦Shell.applicaiton....
2解决办法:
①删除或更名以下危险的ASP组件:
WScript.Shell、WScript.Shell.1、https://www.360docs.net/doc/17741070.html,work、https://www.360docs.net/doc/17741070.html,work.1、adodb.stream、Shell.application
开始------->运行--------->Regedit,打开注册表编辑器,按Ctrl+F查找,依次输入以上Wscript.Shell等组件名称以及相应的ClassID,然后进行删除或者更改名称(这里建议大家更名,如果有部分网页ASP程序利用了上面的组件的话呢,只需在将写ASP代码的时候用我们更改后的组件名
称即可正常使用。当然如果你确信你的ASP程序中没有用到以上组件,还是直
接删除心中踏实一些^_^,按常规一般来说是不会做到以上这些组件的。删除或更名后,iisreset 重启IIS后即可升效。)
[注意:由于Adodb.Stream这个组件有很多网页中将用到,所以如果你的服务器是开虚拟主机的话,
建议酢情处理。]
②关于File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228)即常说的FSO 的
安全问题,如果您的服务器必需要用到FSO的话,(部分虚拟主机服务器一般需开FSO功能)可以参照本人的另一篇关于FSO安全解决办法的文章:Microsoft Windows 2000 Server FSO 安全隐患解决办法。如果您确信不要用到的话,可以直接反注册此组件即可。
③直接反注册、卸载这些危险组件的方法:(实用于不想用①及②类此类烦琐的方法)
卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%/system32/WSHom.Ocx 卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%/system32/scrrun.dll
卸载stream对象,在cmd下或直接运行:regsvr32 /s /u "C:/Program Files/Common Files/System/ado/msado15.dll"
如果想恢复的话只需要去掉/U 即可重新再注册以上相关ASP组件例如:regsvr32.exe %windir%/system32/scrrun.dll
④关于Webshell中利用set domainObject = GetObject("WinNT://.")来获取服务器的进程、服务以及
用户等信息的防范,大家可以将服务中的Workstation[提供网络链结和通讯]即Lanmanworkstation 服务停止
并禁用即可。此处理后,Webshell显示进程处将为空白。
3 按照上1、2方法对ASP类危险组件进行处理后,用阿江的asp探针测试了一下,"服务器CPU 详情"和"服务
器操作系统"根本查不到,内容为空白的。再用海洋测试Wsript.Shell来运行cmd命令也是提示Active 无法创建
对像。大家就都可以再也不要为ASP木马危害到服务器系统的安全而担扰了。
服务器安全设置
目前流行的挂木马的基本步骤(可能有个别地方不准确): 1、利用杰奇系统的漏洞,上传具有一定危险功能的文件,表现为:zh.php、cmd.exe、*.asp, 这几个文件都具有不同的目的,只要被上传了这几个文件,相应的js文件就会被修改,然后就被挂马了。 2、上传了文件后,如果你的权限设置的不对,比如多给了运行权限,该黑客就可以利用这 几个文件进行提权,直接可以创建管理员账号,然后通过*.asp文件获得你的远程连接的端口,然后利用注入的管理员账号登录系统,进入系统了,那就随便改啦。 所以针对上面的步骤,我们可以这样做: 1、权限一定要设置好,大部分网站目录只给读取权限即可,个别的多给写入权限。 2、所有的js文件都改成只读的 3、删除系统的以下三个文件,执行脚本如下:(开始-运行里面就可以直接执行) regsvr32 /u %SystemRoot%\System32\wshom.ocx regsvr32 /u %SystemRoot%\System32\shell32.dll regsvr32 /u %SystemRoot%\System32\wshext.dll 4、修改远程链结默认的3389端口,改成12345 12323等等类似的。群共享里有软件直接修改重启机器生效。 设置好了以上的几步后,针对杰奇的漏洞产生的木马,基本上就能防止了。当然,其他的漏洞还是得需要好好设置,可以参考群共享里的一篇word文档,服务器安全设置 贴一下这次挂马的代码,请大家仔细检查自己的js文件中是否有下面的代码: 晕,我的都被我删除了,没了。谁能提供我一个被修改过的js文件。 已经中木马的人的找马步骤: 1、在杰奇网站的所有目录下寻找这样的文件zh.php、zp.php、*.asp、cmd.exe等文件,直 接删除即可。 2、检查你的所有js文件,如果发现下面这样的代码,那就是木马代码。删除这些木马代码。 本文档的服务器安全设置分三个部分 (一)服务器的基本安全设置 本配置仅适合Win2003,部分内容也适合于Win2000。很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
Windows服务器安全加固方案
P43页 Windows 2008服务器安全加固方案 来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一)因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
2003服务器安全设置
一、先关闭不需要的端口 我比较小心,先关了端口。只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00002683 保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。 做FTP下载的用户看仔细,如果要关闭不必要的端口,在 \system32\drivers\etc\services中有列表,记事本就可以打开的。如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!
信息安全维护服务方案书-(模板)
信息安全 维护服务方案书
1.概述 (系统概述) 2.维护内容 2.1.硬件系统 硬件维护包括哪些内容 2.2.软件系统 软件维护包括哪些内容 3.维护流程及人员配备3.1.维护流程图
3.2.人员配备 网络工程师:2人 系统工程师:2人 软件工程师:1人 现场技术员:4-5人 4.维护原则 客户化:用客户的价值观重新定位服务业务和调整经营策略。 标准化:引入可衡量的服务标准,改善服务质量。 专业化:员化职业化专业化教育和培训大幅提升实际服务水平。 规范化:导入规范的服务商业模式,优质服务的保障。 5.维护方式 5.1.咨询服务和技术支持 客户在一卡通系统使用过程中,出现故障或不正常现象随时可通过电话、电子邮件或书面提出问题和咨询。我们将会及时解答。 5.2.硬件故障诊断和维修 根据项目的服务和维护协议、需要服务项目的大小、服务和维护任务的紧急程度、故障的情况等因素对维护工作进行分级处理。不同的维护级别采取不同的反应措施,安排不同技术层次的维护人员解决,解决的时间有不同的要求,坏件的维修或更换周期也不同。对于本项目,公司制定了更加严格的维护反应措施。
5.2.1.响应时间 响应时间将因故障级别而异。故障分级如下: A级客户系统停机,或对客户系统的业务运作有严重影响。 B级客户系统性能严重下降,使客户系统的业务运作受到重大影响。 C级客户系统操作性能受损,或客户系统(包括业务运作)处于不安全状态,但客户的业务运作仍可正常工作。 D级客户需要在产品功能、安装、配置方面的技术支持,但客户业务运作明显不受影响或根本未受影响。 注:公司提供7*24 小时的应急支持服务,保证重大事故及时响应。 按旅程区域划分(以青岛海尔软件客服中心办公楼为起点) 一级区域 0-40 公里当天4 小时内到达现场 二级区域 41-80 公里当天4 小时内到达现场 三级区域 81-160 公里当天6 小时内到达现场 四级区域 161-240 公里当天10 小时内到达现场 五级区域 241-320 公里当天12 小时内到达现场 六级区域 321-480 公里第二工作日到达现场 七级区域 481-750 公里第三工作日到达现场 八级区域 751-1500 公里第三工作日到达现场 九级区域 1500 公里以上需根据具体情况协商而定 5.2.2.维修服务 诊断出设备故障后,如公司库存有备件即在最短时间(一个工作日)内给予
服务器安全管理制度
服务器安全管理制度 1. 执行服务器管理制度目的 为安全有效地管理机房及服务器,促进网络系统安全的应用.高效运行,特制定本规章制度,请遵照执行。 2. 服务器管理 2.1 服务器监控 2.1.1 服务器日志监控 每天检查服务器系统日志,安全日志进行检查对错误、异常、警告等日志进行分析判断 并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 2.1.2 服务器面板信息监控 每天检查负责机房内所有服务器、存储、UPS及其他机房设备面板信息,对异常的指示信息及时作出分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 2.1.3 服务器操作系统信息监控 每天检查所有服务器系统信息,包括磁盘空间使用率、系统资源使用率、杀毒软件、服务器进程、必须启动的服务、用户访问记录、服务器时间。若有异常进行分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。2.1.4 服务器数据库信息监控 每天检查服务器所有数据库运行状态。包括数据库定时代理运行、数据库备份计划、数据库日志及归档、数据库表空间使用率。若有异常进行分析判断并将判断结果进行有效解决处理并记录到《服务器监控记录表》,若服务器故障请按服务器故障处理流程及时处理并记录到《服务器维护及故障处理记录表》。 若监控数据库时发现数据库文件或日志增长过快等情况及时与负责系统的程序员检查是否为程序异常导致。 2.1.5 服务器数据备份监控 每天检查服务器数据备份情况,定期维护备份空间,若有异常及时处理。 2.2 服务器日常维护及故障处理 2.2.1 服务器定期维护 根据《服务器管理方案表》定期对服务器进行维护,维护内容如下: 2.2.1.1 在停止所有用户会话的情况下进行重启服务器释放资源使用。 2.2.1.2 检查数据库使用状态、裸设备,清理僵死进程、临时表空间等。 2.2.1.3 清理过期的数据库归档日志释放数据库归档日志空间,并收缩数据库。 2.2.1.4 根据数据库每天监控得到的数据适当调整表空间大小、临时表空间大小、内存使用调整、归档日 志库大小等。 2.2.1.5 清除数据库中无效的索引、存储过程、定时代理等。 2.2.1.6 每月备份一次服务器及数据库系统文件、并清理一次系统及安全日志(先备份再清除)。 2.2.1.7 每月对服务器进行一次硬件检测维护,主要包括安全隐患、性能等方面、如机器温度、使用率等。 2.2.1.8 每周每台服务器杀毒软件至少升级一次、全盘杀毒一次。 2.2.1.9 服务器必须启动服务必须设置为自动启动,人为重启服务器后必须检查各项系统运行必须服务是 否启动正常。
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
安全服务方案
安全管理工作实施方案 为进一步加强安全管理工作,建设“平安企业”,全面提高安全工作管理水平,确保公司各项生产经营活动安全平稳运营,现将安全管理工作实施方案如下: 一、指导思想 深入学习贯彻、落实上级公司年会精神,坚持“安全第一、预防为主、综合治理”安全工作方针,坚持“以人为本、全员参与,齐抓共管”的安全管理理念,以提高管理和服务水平为目的,以建立完善各项管理制度、服务标准、监督考核机制为手段,以推进企业快速发展和安全管理为目标,以增强企业安全保障能力为重点,提升安全管理在企业发展中的重要地位和作用,推动企业快速、安全、平稳发展,不断提高企业经营效益。 二、工作目标 通过开展企业安全规范化管理考核活动,在公司内逐步建立起安全管理制度化、运行服务规范化的先进管理模式,提高燃气安全管理保障能力,确保不发生重特大责任事故。 三、工作重点及措施 (一)强化责任落实,完善制度建设。公司各职能部门要严格落实安全生产责任制,强化公司安全责任的落实情况。坚持“以人为本”,牢固树立安全发展理念,把经济发展建立在保障安全生产的基础上,坚持“安全第一、预防为主、综合治理”的方针,全面提升各公司的安全管理水平,建立健全公司各类安全管理制度,促进公司各项工作安全、平稳、快速、健康发展。 (二)建立健全安全生产管理组织体系。根据公司领导要求,结合公司实际情况成立成立安全生产组织机构,由公司一把手担任组长,公
司分管安全的领导担任副组长,各部门根据需要至少设立1名兼职安全员,负责本部门辖区内的日常安全工作,同时,公司至少设立2-3名专职安全员,具体负责公司日常性、季节性的安全检查,督促相关部门做好安全检查及安全隐患整改工作,做好相关检查的记录工作,及时将隐患消除在萌芽状态。完善安全制度建设,明确公司各级人员的安全生产责任,逐级、逐岗的签订安全生产责任书,做到责任无盲区、管理无死角,保障安全投入和管理。 (三)确立绩效目标、加强管理考核。按照公司目标经济责任书、安全生产责任书及公司制定的安全生产考核细则,进一步确立和量化安全生产考核控制指标,并纳入公司领导干部绩效考核;日常考核成绩按一定比例计算到年终考核工作中,继续执行安全生产管理工作“一票否决制”,推进落实安全生产责任制。 (四)深化隐患排查工作,认真落实安全隐患整改责任。各公司要把安全隐患排查治理工作制度化,并长期开展下去,加强对安全事故隐患整改工作的管理力度,督促落实隐患整改相关责任,对查出的安全隐患要明确整改内容、整改时间及责任人,并进行跟踪管理,坚决把事故隐患消除在萌芽状态。 (五)深入开展安全宣传教育培训工作。加强安全生产宣传教育力度,充分利用工作会议、宣传标语和定期培训等方式普及安全生产知识、安全防护知识,提高员工安全意识,在全区域内形成“关爱生命、安全发展”的良好氛围。组织开展好“安全生产月”、 “11.9”消防安全宣传日、“12.4”全国法制宣传日等相关安全宣传教育活动,广泛深入宣传安全生产的法律法规和天然气注意事项,进一步完善安全生产制度。紧紧围绕安全生产工作大局,统筹规划,定期培训,着力完善公司级、部门级及班组级的安全培训体系,建立一支能够胜任培训工作的
互联网服务器安全解决方案
1.1.1服务器安全解决方案 Trend Micro Deep Security发大发发大发啊方案是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断,符合包括 PCI 在内的关键法规和标准,并有助于应当今经济形势之要求降低运营成本。Deep Security 解决方案使系统能够自我防御,并经过优化,能够帮助您保护机密数据并确保应用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下6大模块的安全控制: 1.基于主机的IDS/IPS ●防护未知漏洞,被未知攻击 ●防护已知攻击 ●防护零日攻击,确保未知漏洞不会被利用 2.Web应用防护 ●防护web应用程序的弱点和漏洞 ●防护Web应用程序的历史记录 ●支持PCI规范。 3.应用程序控制 ●侦测通过非标准端口进行通讯相关协议 ●限制和设定哪些应用程序能通过网络被访问 ●侦测和阻断恶意软件通过网络进行访问 4.基于主机的防火墙 5.一致性检查和监控 ●重要的操作系统和应用程序文件控制(文件,目录,注册表以及键值等等) ●监控制定的目录 ●灵活并且主动实用的监控 ●审计日志和报表 6.日志检查和审计 ●搜集操作系统和应用程序的日志,便于安全检查和审计 ●可疑行为侦测
●搜集安全行为相关的管理员设定 1.1.1.1 产品特点 数据中心服务器安全架构必须解决不断变化的 IT 架构问题,包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式,Deep Security 解决方案可帮助: 1.1.1.1.1通过以下方式预防数据泄露和业务中断 ?在服务器自身位置提供一道防线–无论是物理服务器、虚拟服务器还是云服务器 ?针对 Web 和企业应用程序以及操作系统中的已知和未知漏洞进行防护,并阻止对这些系统的攻击 ?帮助您识别可疑活动及行为,并采取主动或预防性的措施 1.1.1.1.2通过以下方式实现合规性 ?满足六大 PCI 合规性要求(包括 Web 应用程序安全、文件完整性监控和服务器日志收集)及其他各类合规性要求 ?提供记录了所阻止的攻击和策略合规性状态的详细可审计报告,缩短了支持审计所需的准备时间 1.1.1.1.3通过以下方式支持降低运营成本 ?提供漏洞防护,以便能够对安全编码措施排定优先级,并且可以更具成本效益地实施未预定的补丁 ?为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供 必要的安全性 ?以单个集中管理的软件代理提供全面的防护–消除了部署多个软件客 户端的必要性及相关成本 1.1.1.1.4全面易管理的安全性 Deep Security 解决方案使用不同的模块满足了关键服务器和应用程序的防护要求:
(完整版)WindowsServer2008R2WEB服务器安全设置指南(四)之禁用不必要的服务和关闭端口
Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重,以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。 作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务,所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有,则禁用
Print Spooler Remote Registry 因为我们使用的是云主机,跟单机又不一样,所以有些服务并不能一概而论,如上面的Server服务。例如天翼云的主机,上海1和内蒙池的主机就不一样,内蒙池的主机需要依赖Server服务,而上海1的不需要依赖此服务,所以上海1的可以禁用,内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性,删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。
服务器安全方案
服务器安全方案 一、操作系统安全配 置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。1 1安装操作系统(NTFS分区)。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 2.安装系统补丁,扫描漏洞全面杀毒。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 3.删除Windows Server 2003默认共享。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 4.禁用IPC连接。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 5.删除"网络连接"里的协议和服务。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 6.启用windows连接防火墙。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。2 7.磁盘权限。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。3 8.本地安全策略设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。3 系统检查检测。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。4 二iis配置(包括网站所在目录)。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 1.新建自己的网站。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 2.删掉系统盘\inetpub目录。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 3.删除不用的映射。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 4.为网站创建系统用户。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 5.设置应用程及子目录的执行权限。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 6.应用程序池设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 Iis检查检测。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5 1.密码设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。6 2.删除危险的扩展存储过程和相关.dll。。。。。。。。。。。。。。。。。。。。。。。。。。。。6 四、远程访问配置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。7 第一步,远程桌面设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。7 第二步.设客户端。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。8 第三步,远程连接。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。8 远程访问检查检测。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。9 五、其它设置(选用)。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。10 六、可以关闭的系统服务列表。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。10 七、禁止或卸载危险组件。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。11 八、windows自带防火墙设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。12 九、天网防火墙设置。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。15
服务器安全使用指引规范
服务器安全使用指引规范 撰写:杨胜灵 日期:2007/01/22 为了确保服务器安全、服务器性能以及服务器连接带宽,提高机房资源使用效率,提升客户满意度,特制定此服务器使用指引规范。 1,服务器范围 机房服务器是指公司所需要提供服务的所有客户的网络设备,不仅包括公司电信机房的服务器、交换机、带宽等,还包括部署有公司产品的客户自建机房的服务器。 2,服务器管理 服务器由专人管理,负责服务器的日常安全、数据备份、例行检查、域名解析、项目部署(研发人员指导支撑)、网络分析、带宽管理、设备扩容等,需要两名责任人,每个责任人负责制定各自负责领域的详细执行细则; 第一名责任人由客服中心王元超承担,负责服务器数据备份、日常运行情况监控、例行检查、域名解析、网络分析、带宽管理、设备扩容等; 第二名责任人由研发人员承担,负责服务器的系统配置、日常项目的发布部署等;目前暂定由王嵛田同志整理具体执行细则; 3,服务器使用 3.1,使用原则: 1)责任人统一管理服务器账号密码;除责任人授权外,其它任何人不允许拥有服务器账号 密码信息。 2)中小企业网站,逐步迁移到阿里云服务器等专业托管商;带宽分流,减少使用成本; 3)政府类项目根据情况,需要独享服务器的尽量推荐使用独享服务器;后续根据访问流量, 该收费的需要收费;避免公司买单,客户无偿、无限制使用,影响其它付费优质客户的使用。 4)研发测试类、临时演示类项目使用单独服务器,不允许放到正式服务器,避免运营商封 闭IP。责任人可以给每个技术部门负责人创建账号,并对账号进行管理和监控; 5)数据库服务器,如果条件可行,单独配置专用服务器,同其它应用服务分开;避免性能 问题。
安全系统运维服务方案设计.doc
安全系统运维服务方案设计1 1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称
专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台,为市领导及XX局各处室提供互联网服务。外网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。 (内网结构图) (外网结构图) (专网结构图) 2.2设备清单 XX局各个计算机网络及应用系统硬件设备集中于XX局专用机房。清单如下:
Windows 服务器安全加固方案
Windows 2003服务器安全加固方案【桓文】培训包就业考试包通过 NA599 21世纪IT人才网热门招聘职位 系统集成系统维护工程师系统分析员嵌入式程序开发教程 Windows高级工程师的培训地 【就业】先实习后上岗,入职年薪5-10万!中国IT实验室收集整理佚名 2010-4-19 保存本文推荐给好友收藏本页欢迎进入Windows社区论坛,与200万技术人员互动交流 >>进入 因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。
服务器安全防护措施
随着网络技术的发展,服务器面临着越来越多的安全威胁。因此,加强服务器的安全防护成为一项迫切需要解决的问题。那么到底该怎么做才能使服务器更安全呢?今天,我们来谈一谈具体的防护措施,可以从以下五大方面入手: 一、安全设置 1、加强服务器的安全设置 以Linux为操作平台的服务器安全设置策略,能够有效降低服务器的安全隐患,以确保它的安全性。安全设置主要包括:登录用户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置服务器有关目录的权限等。 2、加强内网和外网的安全防范 服务器需要对外提供服务,它既有域名,又有公网IP,显然存在着一些安全隐患。因此,可以给服务器分配私有的IP地址,并且运用防火墙来做NAT (网络地址转换),可将其进行隐藏。 有些攻击来源于内网,如果把内网计算机和服务器放置在相同的局域网之内,则在一定程度上会增加很多安全隐患,所以必须把它划分为不同的虚拟局域网。运用防火墙的“网络地址转换”来提供相互间的访问,这样就能极大提
高服务器的安全性和可靠性。 把服务器连接至防火墙的DMZ(隔离区)端口,将不适宜对外公布的重要信息的服务器,放在内部网络,进而在提供对外服务的同时,可以最大限度地保护好内部网络。 3、网络管理员,要不断加强网络日常安全的维护与管理 要对“管理员用户名与密码”定期修改;要对服务器系统的新增用户情况进行定时核对,并且需要认真仔细了解网络用户的各种功能;要及时更新服务器系统的杀毒软件以及病毒数据库,必要时,可针对比较特殊的病毒,安装专门的杀毒程序,同时要定期查杀服务器的系统病毒,定期查看CPU的正常工作使用状态、后台工作进程以及应用程序等。如若发现异常情况,需要及时给予妥当处理。因为很多“病毒与木马程序”,都是运用系统漏洞来进行攻击的,所以需要不断自动更新服务器系统,以及定期扫描服务器系统的漏洞。 很多服务器已经成为了“病毒、木马程序”感染的重灾区。不但企业的门户网站被篡改、资料被窃取,而且本身还成为了“病毒与木马程序”的传播者。有些服务器管理员采取了一些措施,虽然可以保证门户网站的主页不被篡改,但是却很难避免自己的网站被当作“肉鸡”,来传播“病毒、恶意插件、木马程序”等等。这很大一部分原因是,网络管理员在网站安全的防护上太被动。他们只是被动的防御,而没有进行主动防御和检测。为了彻底提高服务器的安全等级,网站安全需要主动出击。、
安全服务方案
安全服务方案 一、安全服务编制目的 为了增强企业的应急管理工作及确保货物按时、安全、完整地到达客户指定地点,确保在发生各类事故时,能及时有效地实施应急调整、救援,最大限度地避免车辆调度出现脱节及安全事故的发生,确保货物运输计划性的畅通和预警性,实施和保障企业财产安全,减少客户财产损失和社会影响,按照《交通安全法》、《中华人民国烟草专卖法》及《中华人民国烟草专卖法实施条例》的相关规定,特制定本方案。 另外,我司项目部下设专门的安全应急保障小组,建立外部沟通机制。只为直接听取应急小组的日常报告,且在特定的紧急状况下还将召开会议,组织亲赴现场处理,直至紧急状况解除。 二、安全应急处理方案 为防止和杜绝重大事故隐患发生,完善应急管理机制,规公司的应急管理工作,提高应对风险和防事故能力,保证公司员工生命安全及货物安全,最大限度的减少财产损失、环境损坏和社会影响,按照《交通安全法》、《消防安全管理办法》、《中华人民国烟草专卖法》及《中华人民国烟草专卖法实施条例》的相关规定,特定制本项事故分析及相应的应急预案: 1、部门设置 调度部门专设有应急小组。 应急预案小组负责人:倪欣欣,学历:本科。联系:
2、业务车辆应急预案 1.鑫镪公司维修部人员每天应对库存待发车车辆进行检修,以便随时调用。 2.鑫镪公司长期确保储备两辆运输应急车辆,及四名驾驶员随时调度。主驾、副驾保持手机24小时畅通,随时等候通知,调度部应急小组接到报告后,了解情况后,如能抢修力保不延迟交货,如无法修理时,及时安排增援车辆、装卸人员和相应救援设备,立即速达事发现场,并及时将车辆在途信息告知客户,对车辆变更情况告知客户,不耽误交货。 3、火灾等事故分析及预案 1.建立车辆自检自查登记制度。车辆出行和收车时均应及时做好车辆各项电路、油路、发动机、轮胎和刹车系统等“五项检查”工作,并登记在案。通过车辆信息电子化管理提前预报车辆续保或车辆维护等,对于不合格项目应在车辆管理部门监督下进行更换和修复,否则严禁车辆配货行驶。 2.车辆驾驶室按照装载量配载灭火器材(装载量大于或等于12吨以上配备三具以上干粉灭火器),驾驶员经过培训需熟悉灭火器的使用规。 3.车辆在途行驶过程中,需注意发动机及其它设备是否处于正常散热状态。对于高温天气应特别注意货物及人员防暑,避免高温天气长时间驾驶。对于冰冻天气应特别注意车辆发动机和水箱及车辆其它设备防冻措施,及时更换防冻液,配备防滑链等。 4.保持车载GPS设备信号流畅和驾驶员手机信号清晰,定时通过车载GPS设备或与调度中心联系,报告车辆及货物在途情况是否异常。 4、车辆伤害分析及预案 1.驾驶人员应持有效的驾驶证、行驶证、上岗证、等相关证件且同时具备3年以上大型货车驾龄方可配货行驶。另外,针对我司物流运输的不同
服务器硬件配置和服务器安全配置信息(全能)
WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案
备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.360docs.net/doc/17741070.html,(可选) |——启用网络COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除
高校安全服务方案
高校信息系统 安全服务方案 V1.0(初稿) 1概述 1.1需求分析 随着高校网络安全事件的不断增加,安全意识的不断提高,如何有效地选择安全措施,如何使安全产品发挥应有的作用,如何快速经济地提升系统的安全状况成为客户关心的问题。大家已不再满足于单纯地购买安全产品,开始寻找全面的、系统的解决方法。在这种环镜下,安全服务逐渐被大家接受,成为贯穿安全工作各个阶段、渗透各个方面的重要措施。 IT安全服务是信息系统安全体系中不可或缺的一部分,是整个IT环境成熟度的一个衡量指标,当整个产业的IT基础设施建设到一定程度后,在规避安全风险,控制安全成本及商业持续性保降需求的压力之下,就需要开始考虑如何制定符合自身的安全策略并使之与业务结合,这就是安全服务产生的基础。完整的安全服务不仅能帮助客户解决现有的安全问题,还能够帮助他们预计未来的趋势,规划安全的长期发展。 为响应国家信息安全等级保护的要求和高校自身对信息安全的重视,全面的了解自身信息安全隐患,从物理、网络、系统、应用及管理儿个层面分析可能存在的风险,判断高校自身所面临的网络安全态势,以态势规划系统的下一步建设,特进行此次安全服务项目。 1.2项目建设目标 通过本服务了解高校自身信息系统从物理层到应用层所存在的安全漏洞、风
险隐患。通过对信息系统的安全分析,掌握当前系统的安全态势。建立起一套实时有效的信息安全服务体系,能根据安全要求的不断发展,升级和完善相关安全防护功能。 具体来讲,本项安全服务能帮客户解决以下几个方面问题: ●完善安全管理制度 ●建立信息安全管理框架 ●了解自身信息安全状况 ●指导未来的信息安全建设和投入 ●加固信息系统 ●任务安保期间信息系统安全保障 2安全服务相关标准 2.1相关标准与规范 在整个服务过程中,我们将参照最新和最权威的信息安全标准,作为安全服务的基本原则。这些安全标准包括: ●GB 17859-1999《计算机信息系统安全保护等级划分准则》 ●GB/T 22239-2008《信息系统安全等级保护基本要求》 ●GB/T 28448-2012《信息系统安全等级保护测评要求》 ●GB/T18336《信息技术-安全技术-信息技术安全性评估准则》 ●CVE:通用脆弱性标准。CVE是个行业标准,为每个漏洞和弱点确定了惟一的 名称和标准化的描述,可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。 ●IS027001:Code of practice for information security management,信息安全管理 纲要 ●IS013335: Information technology-Guidelines for the management of IT Security,信息技术-安全技术-IT安全管理指南