给WIN2003 IIS SQL服务器安全加固
给WIN2003 IIS SQL服务器安全加固
1. 将
2. 系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;
3. 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)
4. 建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
5. NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高):
文件类型
CGI 文件(.exe、.dll、.cmd、.pl)
脚本文件(.asp)
包含文件(.inc、.shtm、.shtml)
静态内容(.txt、.gif、.jpg、.htm、.html)
建议的NTFS 权限
Everyone(执行)
Administrators(完全控制)
System(完全控制)
6. 禁止C$、D$一类的缺省*享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
7. 禁止ADMIN$缺省*享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
8. 限制IPC$缺省*享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$*享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
9. 仅给用户真正需要的权限,权限的最小化原则是安全的重要保障
10. 在本地安全策略->审核策略*打开相应的审核,推荐的审核是:
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。与之相关的是:
在账户策略->密码策略*设定:
密码复杂性要求启用
密码长度最小值6位
强制密码历史5次
最长存留期30天
在账户策略->账户锁定策略*设定:
账户锁定3次错误登录
锁定时间20分钟
复位锁定计数20分钟
11. 在Terminal Service Configration(远程服务配置)-权限-高级*配置安全审核,一般来说只要记录登录、注销事件就可以了。
12. 解除NetBios与TCP/IP协议的绑定
控制面版——网络——绑定——NetBios接口——禁用2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
13. 在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)
14. 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接
15. 修改数据包的生存时间(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
16. 防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0)
17. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
18. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
19. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
20. 设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
21. 禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
22. 不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
安装和配置IIS 服务:
1. 仅安装必要的IIS 组件。(禁用不需要的如FTP 和SMTP 服务)
2. 仅启用必要的服务和Web Service 扩展,推荐配置:
UI *的组件名称
设置
设置逻辑
后台智能传输服务(BITS) 服务器扩展
启用
BITS 是Windows updates 和"自动更新"所使用的后台文件传输机制。如果使用Windows updates 或"自动更新"在
IIS 服务器*自动应用Service Pack 和热修补程序,则必须有该组件。
公用文件
启用
IIS 需要这些文件,一定要在IIS 服务器*启用它们。
文件传输协议(FTP) 服务
禁用
允许IIS 服务器提供FTP 服务。专用IIS 服务器不需要该服务。
FrontPage 2002 Server Extensions
禁用
为管理和发布Web 站点提供FrontPage 支持。如果没有使用FrontPage 扩展的Web 站点,请在专用IIS 服务器*禁用该组件。
Internet 信息服务管理器
启用
IIS 的管理界面。
Internet 打印
禁用
提供基于Web 的打印机管理,允许通过HTTP *享打印机。专用IIS 服务器不需要该组件。
NNTP 服务
禁用
在Internet *分发、查询、检索和投递Usenet 新闻文章。专用IIS 服务器不需要该组件。
SMTP 服务
禁用
支持传输电子邮件。专用IIS 服务器不需要该组件。
万维网服务
启用
为客户端提供Web 服务、静态和动态内容。专用IIS 服务器需要该组件。
万维网服务子组件
UI *的组件名称
安装选项
设置逻辑
Active Server Page
启用
提供ASP 支持。如果IIS 服务器*的Web 站点和应用程序都不使用ASP,请禁用该组件;或使用Web 服务扩展禁用它。
Internet 数据连接器
禁用
通过扩展名为 .idc 的文件提供动态内容支持。如果IIS 服务器*的Web 站点和应用程序都不包括 .idc 扩展文件,请禁用该组件;或使用Web 服务扩展禁用它。
远程管理(HTML)
禁用
提供管理IIS 的HTML 界面。改用IIS 管理器可使管理更容易,并减少了IIS 服务器的攻击面。专用IIS 服务器不需要该功能。
远程桌面Web 连接
禁用
包括了管理终端服务客户端连接的Microsoft ActiveX? 控件和范例页面。改用IIS 管理器可使管理更容易,并减少了IIS 服务器的攻击面。专用IIS 服务器不需要该组件。
服务器端包括
禁用
提供 .shtm、.shtml 和 .stm 文件的支持。如果在IIS 服务器*运行的Web 站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。
WebDAV
禁用
WebDAV 扩展了HTTP/1.1 协议,允许客户端发布、锁定和管理Web *的资源。专用IIS 服务器禁用该组件;或使用Web 服务扩展禁用该组件。
万维网服务
启用
为客户端提供Web 服务、静态和动态内容。专用IIS 服务器需要该组件
3. 将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。
4. 在IIS管理器*删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
5. 在IIS*将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
6. Web站点权限设定(建议)
Web 站点权限:
授予的权限:
读
允许
写
不允许
脚本源访问
不允许
目录浏览
建议关闭
日志访问
建议关闭
索引资源
建议关闭
执行
推荐选择"仅限于脚本"
7. 建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
8. 程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。
安全更新
应用所需的所有Service Pack 和定期手动更新补丁。
安装和配置防病毒保护
推荐NAV 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。
安装和配置防火墙保护
推荐最新版BlackICE Server Protection防火墙(配置简单,比较实用)
监视解决方案
根据要求安装和配置MOM代理或类似的监视解决方案。
加强数据备份
Web数据定时做备份,保证在出现问题后可以恢复到最近的状态。
考虑实施IPSec 筛选器
用IPSec 过滤器阻断端口
Internet 协议安全性(IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南*定义的高安全性环境*使用该选项,以便进一步减少服务器的受攻击面。
有关使用IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出在本指南定义的高级安全性环境下可在IIS 服务器上创建的所有IPSec 过滤器。
服务
协议
源端口
目标端口
源地址
目标地址
操作
镜像
Terminal Services
TCP
所有
3389
所有
ME
允许
是
HTTP Server
TCP
所有
80
所有
ME
允许
是
HTTPS Server
TCP
所有
443
所有
ME
允许
是
在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。
SQL服务器安全加固
步骤
说明
MDAC 升级
安装最新的MDAC(https://www.360docs.net/doc/4114431606.html,/data/download.htm)
密码策略
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用*使用sa帐号。新建立一个拥有与sa一样权限的超级用户来管理数据库。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句:
Use master
select name,Password from syslogins where password is null
数据库日志的记录
核数据库登录事件的"失败和成功",在实例属性*选择"安全性",将其*的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。
管理扩展存储过程
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:
use master
sp_dropextendedproc ’xp_cmdshell’
如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’
OLE自动存储过程(会造成管理器*的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
防TCP/IP端口探测
在实例属性*选择TCP/IP协议的属性。选择隐藏SQL Server 实例。
请在上一步配置的基础上,更改原默认的1433端口。
在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。
对网络连接进行IP限制
使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,保证只有自己的IP能够访问,拒绝其他IP进行的端口连接。
附:Win2003系统建议禁用服务列表
名称
服务名
建议设置
自动更新
wuauserv
禁用
Background Intelligent Transfer Service
BITS
禁用
Computer Browser
Browser
禁用
DHCP Client Dhcp
禁用
NTLM Security Support Provider NtLmSsp 禁用
Network Location Awareness
NLA
禁用
Performance Logs and Alerts SysmonLog 禁用
Remote Administration Service SrvcSurg
禁用
Remote Registry Service RemoteRegistry 禁用
Server lanmanserver
禁用
TCP/IP NetBIOS Helper Service LmHosts
禁用
DHCP Client Dhcp
禁用
NTLM Security Support Provider NtLmSsp 禁用
Terminal Services
TermService
禁用
Windows Installer MSIServer
禁用
Windows Management Instrumentation Driver Extensions Wmi 禁用
WMI Performance Adapter WMIApSrv
禁用
Error Reporting
ErrRep
禁用
安全运维服务方案
1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台,为市领导及XX局各处室提供互联网服务。外网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
网络安全主机安全加固
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。
Windows服务器安全加固方案
P43页 Windows 2008服务器安全加固方案 来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一)因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
LINUX安全加固手册
LINUX安全加固手册
目录 1概述 (3) 2 安装 (3) 3 用户帐号安全Password and account security (4) 3.1 密码安全策略 (4) 3.2 检查密码是否安全 (4) 3.3 Password Shadowing (4) 3.4 管理密码 (4) 3.5 其它 (5) 4 网络服务安全(Network Service Security) (5) 4.1服务过滤Filtering (6) 4.2 /etc/inetd.conf (7) 4.3 R 服务 (7) 4.4 Tcp_wrapper (7) 4.5 /etc/hosts.equiv 文件 (8) 4.6 /etc/services (8) 4.7 /etc/aliases (8) 4.8 NFS (9) 4.9 Trivial ftp (tftp) (9) 4.10 Sendmail (9) 4.11 finger (10) 4.12 UUCP (10) 4.13 World Wide Web (WWW) – httpd (10) 4.14 FTP安全问题 (11) 5 系统设置安全(System Setting Security) (12) 5.1限制控制台的使用 (12) 5.2系统关闭Ping (12) 5.3关闭或更改系统信息 (12) 5.4 /etc/securetty文件 (13) 5.5 /etc/host.conf文件 (13) 5.6禁止IP源路径路由 (13) 5.7资源限制 (13) 5.8 LILO安全 (14) 5.9 Control-Alt-Delete 键盘关机命令 (14) 5.10日志系统安全 (15) 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 (15) 6 文件系统安全(File System Security) (15) 6.1文件权限 (15) 6.2控制mount上的文件系统 (16) 6.3备份与恢复 (16) 7 其它 (16) 7.1使用防火墙 (16)
Windows服务器安全加固
服务器安全加固(以Windows Server 2008为示例,Windows server 2003与Windows Server 2012根据实际需要进行修正) 1、服务器登录安全加固 1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字与特殊字符组成等复杂度要求。(请回答) 2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。(请截图) 3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐 序号属性可选择值 1 密码必须符合复杂性要求已启用 2 密码长度最小值10个字符 3 密码最短使用期限5天 4 密码最长使用期限40天 5 强制密码历史3次 6 用可还原得加密来储存密码已禁用 4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下得“帐户锁定策略”进行安全加固,参数设置参考如下;(请截 序号属性可选择值 1 帐户锁定阈值5次 2 帐户锁定时间10分钟 2、服务器安全事件审核安全加固。(请截图) 1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下得“审核策略”进行安全设置,将其下得所有审核都设置成
“成功”、“失败”(默认为“无审核”)。 2)设置日志系统得安全加固,打开“控制面板-管理工具-事件查瞧器”中,在“Windows 日志”中选择一个日志类型,右击鼠标,设置“属性”得存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。(请截图)
3、关闭服务器共享资源,可通过“控制面板-管理工具-计算机管理”中,选择“共 享文件夹-共享”查瞧系统共享资源,删除不必要得多余共享资源。(请截图) 4、自动锁屏设置 桌面点击右键-属性-屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。(请截图)
服务器安全加固操作指南
网络通信安全管理员培训 WEB安全加固 操 作 指 南 邮电职业技术学院培训中心 二零一二年五月 1、Windows server 2003系统加固 (4)
1.1采集系统信息 (4) 1.2账号 (5) 1.2.1优化账号 (5) 1.2.2检测隐藏 (6) 1.2.3更改默认管理员用户名 (7) 1.3口令策略 (7) 1.4授权 (9) 1.5补丁管理 (10) 1.6安全配置 (11) 1.6.1IP协议安全配置 (11) 1.6.2屏幕保护 (13) 1.6.3安装防病毒软件 (14) 1.6.4病毒查杀 (15) 1.6.5木马查杀 (16) 1.7日志审核 (18) 1.7.1增强日志 (18) 1.7.2增强审核 (20) 1.8关闭不必要的端口、服务 (21) 1.8.1修改远程桌面端口 (21) 1.8.2关闭高危的数据库端口 (22) 1.8.3优化服务 (22) 1.8.4修改SNMP服务 (24) 1.9启动项 (24) 1.10关闭自动播放功能 (26) 1.11关闭共享 (26) 1.12使用NTFS (27) 1.13网络访问 (28) 1.14会话超时设置 (29) 1.15注册表设置 (29) 1.16其他 (30) 1.16.1网络限制 (30) 1.16.2安全性增强 (31) 1.16.3检查Everyone权限 (31) 1.16.4限制命令操作权限 (32) 1.16.5防病毒软件建立计划任务,每天深夜执行全盘扫描 (33) 1.16.6进行IP-MAC双向绑定 (33) 1.16.7第三方软件升级 (34) 1.16.8开启360safe arp防火墙 (34) 1.17Apache系统加固 (35) 1.17.1 (35) 1.17.2授权 (36) 1.17.3日志 (37) 1.17.4禁止访问外部文件 (38) 1.17.5目录列出 (39)
服务器安全加固
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
AIX安全加固操作手册
AIX安全加固操作手册 作为宽带智能网中的Appserver,在完成AIX操作系统上智能网系统的安装和配置以后(除系统加固之外的所有安装和配置,包括双机),需要立即进行系统加固,以防止非法入侵,系统加固的具体步骤如下: 一、系统推荐补丁升级加固 1.检查是否打上了AIX操作系统要求补丁(433要求10以上;5.1要求5以上;5.2要求使用IBM最新发布的补丁) 检查补丁版本命令:oslevel –r 或instfix –i |grep ML (看返回结果中OS版本后带的小版本号) 2.如果未安装补丁,使用如下方式安装补丁 1)将补丁盘放入光驱、以root执行:mount /cdrom 2)执行:smitty update_all (选择/dev/cd0为安装介质) 注意选择安装选项中: COMMIT software updates? no SA VE replaced files? yes 安装结束后使用以上方式检查是否已经安装成功,并使用:shutdown –Fr 重起系统 二、AIX系统配置安全加固 1.编辑/etc/inetd.conf文件,关闭所有服务。 将inetd.conf文件中的内容清空 > /etc/inetd.conf refresh –s inetd 2.编辑/etc/rc.tcpip文件,关闭除以下服务外的所有服务: portmap syslog inetd sendmail snmpd 如关闭dpid2,则只要注销以下行:(前面加#号即可) #start /usr/sbin/dpid2 "$src_running" 再使用: stopsrc –s XXX来停止这些已经启动的服务 3./etc/inittab中关闭 用:注释服务,不是‘#’ piobe Printer IO BackEnd qdaemon Printer Queueing Daemon writesrv write server httpdlite docsearch Web Server
Server系统安全加固
为安装Windows server操作系统的服务器进行系统安全加固 操作系统基本安全加固 补丁安装 使用Windows update安装最新补丁 或者使用第三方软件安装补丁,如360安全卫士 系统帐户、密码策略 1.帐户密码策略修改 “本地计算机”策→计算机配置→windows设置→安全设置→密码策略 密码长度最小值7 字符 密码最长存留期90 天 密码最短存留期30 天 密码必须符合复杂性要求启用 保障帐号以及口令的安全,但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录,需修改不符合帐号策略的密码(注:管理员不受帐号策略限制,但管理员密码应复杂以避免被暴力猜测导致安全风险) 2.帐户锁定策略 账户锁定时间30 分钟 账户锁定阈值5 次无效登录 复位账户锁定计数器30 分钟 有效的防止攻击者猜出您账户的密码 3.更改默认管理员用户名 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项 帐户: 重命名管理员帐户 默认管理员帐号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名 4.系统默认账户安全 Guest 帐户必须禁用;如有特殊需要保留也一定要重命名 TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的,故帐户必须禁用,不会对于正常的Terminal Services的功能有影响 SUPPORT_388945a0 此帐户是为了IT帮助和支持服务,此帐户必须禁用 IUSR_{system} 必须只能是Guest组的成员,此帐户为IIS(Internet Information Server)服务建立 IWAM_{system} 必须只能是Guest组的成员,此帐户为IIS(Internet Information Server)服务建立 日志审核策略 “本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略 审核策略更改成功 审核登录事件无审核 审核对象访问成功, 失败 审核过程追踪无审核 审核目录服务访问无审核
安全加固手册
安全加固手册 8.2 系统安全值设置 8.2.1 查看目前系统值: WRKSYSV AL 一个一个顺序在终端上显示 或者 DSPSYSVAL SYSV AL (system value) 8.2.2 系统安全级别推荐设置为40 QSECURITY 40 10 没有用户认证,没有资源保护 20 用户使用密码认证,没有资源保护 30 用户认证和默认的资源保护 40 跟 30 相似,但是控制了特权指令和设备的接口 (在客户端被认为具有高的风险的时候应用安全级别40。他会限制对对象,其他工作的数据和系统内部程序的直接访问) 50 增强型的安全访问控制,达到真正的 C2 级安全控制 8.2.3 建议设置口令复杂度策略 QPWDVLDPGM *NONE 无密码检测 8.2.4 密码长度 最小密码长度 QPWDMINLEN 6 最大密码长度 QPWDMAXLEN 10 8.2.5 设置帐户最大尝试登陆次数 QMAXSIGN 3(默认值) 达到最大尝试次数措施 QMAXSGNACN 3(默认值) 1 禁用终端 2 禁用用户配置文件 3 全部
(注 :建议根据自己的情况选择,禁用终端后,可能会给别人的造成误解,怀疑设备损坏。管理员要十分清楚该参数的含义) 8.2.6 设置密码有效期 QPWDEXPITV 30-90 *NOMAX 不限 1-366 天 QPWDRQDDIF 1 0 可以和以前的历史记录中的 32 个密码一样 1 必须和以前的历史记录中的 3 2 个密码不同 8.2.7 限制安全设备登陆 QLMTSECOFR 1 0 允许所有有 *ALLOBJ 授权的用户在任意显示终端登陆,有 *SERVICE 授权的用户可以使用*CHANGE 公开认证手段登陆到任意显示终端 1 不允许有 *ALLOBJ 或 *SERVICE 的用户登陆到任一显示终端上(主控制台除外),除非他们有特别的授权允许访问 8.2.8 设置超时策略 QINACTITV 无活动的任务超时 *NONE: 无超时 5-300 超时最大允许时间(分钟)推荐 15 非授权用户在某个时间段无操作,系统将会根据该参数值决定是否断开当前的session。 认证用户通过再次登陆,可以继续以前session 所保留的屏幕。当设置中断连接任务 (*DSCJOB )值去中断任意交互式登陆。 8.2.9 限制设备sessions QLMTDEVSSN 0 不限制一个终端的特定用户 ID 的在同一时刻的使用数 1 限制同一时刻只能有一个特定用户登录到这台工作站 8.2.10 用户登录信息是否显示在屏幕上 QDSPSGNINF 0 在用户登录时 ,登陆信息不显示 1 以下信息会被显示最后登陆时间 从上次登陆以来的失败登陆 密码 7 天或之内密码将要过期的警告
WindowsXP安全加固方案
WindowsXP 安全加固配置手册 目录 一、安全加固配置说明..........................................................................................................- 2 - 1.1 安全加固配置目的............................................................................................................- 2 - 1.2 适用系统...........................................................................................................................- 2 - 1.3 相关说明...........................................................................................................................- 2 - 二、主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3 日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -
【原创】Windows 2008 R2服务器的安全加固
【原创】Windows 2008 R2服务器的安全加固 最近托管了一台2U服务器到机房,安装的是Windows 2008系统,打算 用IIS做web server,因此需要把没用的端口、服务关闭,减小风险。 我发现现在网络上有价值的东西实在是太少了,很多人都是转载来转载 去,学而不思,没有一点营养。还是自己总结总结吧,大概有以下几 步: 1. 如何关掉IPv6? 这一点国内国外网站上基本上都有了共识,都是按照下面两步来进行。 据说执行之后就剩本地换回路由还没关闭。但关闭之后我发现某些端口 还是同时监听ipv4和ipv6的端口,尤其是135端口,已经把ipv4关闭了, ipv6竟然还开着。匪夷所思啊…… 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Paramete 增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位 的8个f) 重启服务器即可关闭ipv6 2. 如何关闭135端口? 这个破端口是RPC服务的端口,以前出过很多问题,现在貌似没啥漏洞 了,不过还是心有余悸啊,想关的这样关: 开始->运行->dcomcnfg->组件服务->计算机->我的电脑->属性->默认属 性->关闭“在此计算机上启用分布式COM”->默认协议->移除“面向连接的 TCP/IP” 但是感觉做了以上的操作还能看到135在Listen状态,还可以试试这 样。 在cmd中执行:netsh rpc add 127.0.0.0,这样135端口只监听 127.0.0.1了。 3. 如何关闭445端口? 445端口是netbios用来在局域网内解析机器名的服务端口,一般服务器
服务器主机操作系统安全加固方案
主机问题解决方案 部分主机未禁用GUEST 账户,需禁用所有主机Guest 账号 (只适用于windows)。旗标曝露操作系统的版本: AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其 他,以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。 超时退出功能,已加固部分服务器,剩余服务器,Windows 设置屏保,时间为10 分钟以内,启用屏保密码功能。HP-UNIX:修改/etc/profile 文件,增加TMOUT值,建议设定600以 内。AIX:编辑/etc/profile 文件,添加TMOUT参数设置,例如TMOUT=600 以内,系统600 秒无操作后将自动执行帐户注销操作。 明文管理方式,部分设备目前还需要使用TELNET 服务,逐步关闭,建议采用SSH ,在网络和主机层面逐步关闭TELNET协议,禁用TELNET启用SSH协议(适用于AIX与HP-UNIX): 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉,然后refresh -s inetd 2.加速ssh 的登录 第一: 如有/etc/resolv.conf ,rm 掉 第二:vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改
为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面,易受本地局域网恶意用户攻击,需转运行后,在网络层面增加访问控制策略。 允许root 账户远程登录,各网省建立专用账号实现远程管理,关闭root 账号运程管理功能在。 主机操作系统提供FTP 服务,匿名用户可访问,易导致病毒的传播,禁用AIX 自身的FTP 服务(适用于AIX 与HP-UNIX) 1、编辑/etc/inetd.conf 将ftpd 一项注释; 2、refresh -s inetd 。 其它FTP服务软件使用注意:先关闭所有FTP服务,用时开启,用完后关闭。
Linux系统安全加固手册
密级:商业秘密LINUX评估加固手册 安氏领信科技发展有限公司 二〇一五年十二月
目录 1、系统补丁的安装 (3) 2、帐户、口令策略的加固 (3) 2.1、删除或禁用系统无用的用户 (3) 2.2、口令策略的设置 (4) 2.3、系统是否允许ROOT远程登录 (5) 2.4、ROOT的环境变量设置 (5) 3、网络与服务加固 (5) 3.1、RC?.D中的服务的设置 (5) 3.2、/ETC/INETD.CONF中服务的设置 (6) 3.3、NFS的配置 (8) 3.4、SNMP的配置 (9) 3.5、S ENDMAIL的配置 (9) 3.6、DNS(B IND)的配置 (9) 3.7、网络连接访问控制的设置 (10) 4、信任主机的设置 (11) 5、日志审核的设置 (11) 6、物理安全加固 (11) 7、系统内核参数的配置 (13) 8、选装安全工具 (14)
1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH 网站上发布的升级软件对照,检查其中的变化。 通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下: https://www.360docs.net/doc/4114431606.html,/corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1安装RPM包 rpm -Uvh package1升级RPM包 rpm -Fvh package1升级RPM包(如果原先没有安装,则不安装) 2、帐户、口令策略的加固 2.1、删除或禁用系统无用的用户 询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1解锁user1用户 groupdel lp 删除lp组。
服务器安全加固策略研究
不一样的安全思路 服务器加固就是为操作系统安全引入“第三方”机制,对黑客常用的入侵通道增加监控手段,黑客一般针对操作系统的漏洞,绕过操作系统自身的安全机制,但黑客们并不知晓该服务器上的“第三方”机制,入侵就不那么容易得手了。 举个例子:缓冲区溢出是常见的提权攻击手段,成功后通常立即建立后门,为自己提供以后的便利,此时常见的动作有:打开远程控制窗口,提升自己为管理员,上传木马替代系统驱动文件。因为溢出后使用的是管理员的权限,绕过了操作系统的权限管理机制,所以黑客可以随意操作你的服务器;但此时第三方的加固可以阻止这些“非正常”的操作,即使你是管理员的权限。若入侵者不能完成上述动作,溢出攻击成功,但也不能进行后续的攻击手段,也只能为系统带来一次进程的异常退出罢了。 “第三方”机制还可以通过发现这些异常的退出,推断系统内的漏位置,从而确定这些漏洞已经被入侵者关注,可以被直接利用,产生不良后果。 安全加固的几种思路 服务器的安全加固(也称为服务器防入侵加固)思路是在对抗黑客入侵的过程中逐步建立起来的,到目前为止,应该说经历了三个发展阶段:配置加固阶段、合规性加固阶段、反控制加固阶段。 1.配置加固阶段 所谓配置加固就是对操作系统的安全配置进行安全加固升级,提升服务器的安全保护等级。常见的做法有下面几个方面: (1)限制连续密码错误的登录次数,是对抗密码暴力破解的重要手段; (2)拆分系统管理员的权限,取消超级管理员,从而限制入侵者获取管理员账户时的权限;(3)删除不需要的各种账户,避免被攻击者利用; (4)关闭不需要的服务端口,一是减少攻击者的入侵点,二是避免被入侵者当作后门利用;(5)限制远程登录者的权限,尤其是系统管理权限。 配置加固主要是静态安全策略的提升,入侵者入侵后可以再打开或修改这些配置。这种加固方式一般是人工的定期检查与加固,留给入侵者的“窗口”比较大,或者入侵者完成自己的潜伏后,还可以恢复你的配置,把管理者蒙在鼓里。 主机ids可以动态监控上面的安全配置,发现异常进行报警,也可以主动检查“用户”的行为,发现异常及时报警,还可以根据自己的攻击特征库,发现恶意代码进入立即报警…这在一定程度上为入侵者带来了麻烦。 但是主机ids的误报率很高,让管理者不胜其烦,虱子多了不痒,报警多了不理,目前用户选择的越来越少了。另外,很多正常的操作,也产生大量的入侵报警,就像我们安装了防病毒软件,进行其他安装软件时,提示多得让人不知道该怎么做。 2.合规性加固阶段 做信息安全的人都熟悉一个词汇:强制性访问控制。也就是在用户访问数据时,不仅查看访问者的身份,确认他的访问权限,同时还要查看被访问的数据的安全等级,是否与访问者的安全等级相匹配,若不符合安全策略规定,同样拒绝访问。举一个例子:每个用户都可以修改自己账户的密码,所以他应该可以读写系统存储用户口令的文件,但是系统中这个文件里还有其他用户的密码,所以你只能读取这个文件的一个记录而已,而不是文件的全部。此时就需要对查看密码文件用户的安全等级进行比对,区别对待。 合规性加固不只是强制性访问控制,还有很多安全策略的贯彻,比如:三权分立。
信息安全加固手册-SQL-Server
数据库安全加固手册 SQL Server
目录 一、总则 (3) 二、适用范围 (3) 三、数据库的安装 (3) 四、数据库的加固 (4) 1. 补丁检查 (4) 2. 安装补丁 (5) 3. 服务 (5) 4. 协议 (5) 5. Windows SQL SERVER帐号 (6) 6. SQL SERVER登陆组、帐户和角色 (7) 7. 文件和目录 (8) 8. 共享及端口 (9) 9. 加固注册表 (9) 10. 存储过程 (10) 11. 审计和日志 (11) 五、设置应用开发检查及控制措施 (11) 六、设置良好的日志管理策略 (11) 七、设置良好的数据库备份策略 (11)
SQL SERVER安全加固手册 一、总则 1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准,并以此标准为指导,配置和审视SQL Server数据库服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。 2本手册既可以作为SQL Server管理员的安全加固维护手册,也可作为进行SQL Server数据库的定期风险评估的评估内容。 二、适用范围 1本手册适用于SQL Server数据库服务器,包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。 2本手册是管理员操作级的手册,SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护,对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。 3本手册应当适用于SQL Server数据库系统的管理员。 4本手册忽略大小写,即SELECT与Select以及select相同。 三、数据库的安装 1保证SQL SERVER数据库主机物理安全。 2在安装SQL Server数据之前,应将所在的主机操作系统进行必要的安全加固,特别是操作系统的补丁。参见《主机系统安全加固维护手册》。 3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。 5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。 6建议选择定制安装数据库,如非特殊需要,去掉以下不必要的安装选项:
主机安全加固方案
目 录 1.安装最新安全补丁 地址: RedHat Linux: Caldera OpenLinux: Conectiva Linux: Debian GNU/Linux: Mandrake Linux: LinuxPPC: Yellow Dog Linux : 2.网络和系统服务 先把所有通过ineted/xineted 运行的网络服务关闭,再打开确实需要的服务 服务都可以被禁止,比如echo, exec, login, shell,who,finger 等.对于telnet, r 系列服务, ftp 等, 强烈建议使用SSH 来代替. 2 设置xinetd 访问控制 在 /etc/xinetd.conf 文件的”default {}”块中加入如下行: only_from=
3 关闭NIS客户端进程: chkconfig ypbind off NIS系统在设计时就存在安全隐患 4 关闭NIS服务器进程: 运行 chkconfig ypserv off chkconfig yppasswd off 5 关闭其它基于RPC的服务: 运行 chkconfig portmap off 基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁 chkconfig netfs off 8 关闭打印机守护进程 chkconfig lpd off 如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录. 9 关闭启动时运行的 X Server sed 's/id:5:initdefault:/id:3:initdefault:/' \ < /etc/inittab > /etc/inittab.new mv /etc/inittab.new /etc/inittab chown root:root /etc/inittab chmod 0600 /etc/inittab 对于专门的服务器没有理由要运行X Server, 比如专门的Web服务器 10 关闭Mail Server chkconfig postfix off 多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务 11 关闭Web Server chkconfig httpd off 可能的话,禁止该服务. 12 关闭SNMP chkconfig snmpd off 如果必需运行SNMP的话,应该更改缺省的community string 13 关闭DNS Server chkconfig named off 可能的话,禁止该服务 14 关闭 Database Server chkconfig postgresql off Linux下常见的数据库服务器有Mysql, Postgre, Oracle等, 没有必要的话,应该禁止这些服务 15 关闭路由守护进程 chkconfig routed off chkconfig gated off 组织里仅有极少数的机器才需要作为路由器来运行.大多数机器都使用简单的”静态路由”, 并且它不需要运行特殊的守护进程 16 关闭Webmin远程管理工具 chkconfig webmin off Webmin是一个远程管理工具,它有糟糕的认证和会话管理历史, 所以应该谨慎使用 17 关闭Squid Web Cache chkconfig squid off 如果必需使用, 应该谨慎配置 18 可能的话禁止inetd/xinetd chkconfig inetd off 或如果没有网络服务通过inetd/xinetd运行则可以禁止它们
服务器主机安全规范完整版
服务器主机安全规范标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令 优化账号
口令策略
网络服务 优化服务(1)
Print Spooler(管理所有本地和网络打印队列及控制所有打印工 作) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属 性,“共享”这个页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供TCP/IP (NetBT)服务上的NetBIOS 和网络上客户端的NetBIOS名称解析的支持,从而使用户能够共享 文件、打印和登录到网络) Task Scheduler(使用户能在此计算机上配置和计划自动任务) Windows Remote Management(47001端口,Windows远程管理服 务,用于配合IIS管理硬件,一般用不到) Workstation(创建和维护到远程服务的客户端网络连接。如果服 务停止,这些连接将不可用) 备注用服务需谨慎,特别是远程计算机 优化服务(2) 在"网络连接"里,把不需要的和服务都移除 2 去掉Qos数据包计划程序 2?关闭Netbios服务(关闭139端口)