WindowsServer上實(shí)施服務(wù)器安全（課堂PPT）

1、保密性保密性完整性完整性可用性可用性安全安全原則原則策略、過(guò)程和通告物理安全周邊內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)主機(jī)主機(jī)應(yīng)用程序應(yīng)用程序數(shù)據(jù)應(yīng)用最新的應(yīng)用最新的 Service Pack 和和所有可用的安全修補(bǔ)程序所有可用的安全修補(bǔ)程序使用組策略來(lái)加固服務(wù)器使用組策略來(lái)加固服務(wù)器- 禁用不需要的服務(wù)禁用不需要的服務(wù)- 實(shí)施安全密碼策略實(shí)施安全密碼策略- 禁用禁用 LAN Manager 和和 NTLMv1 身份驗(yàn)證身份驗(yàn)證限制對(duì)服務(wù)器的物理和網(wǎng)絡(luò)訪問(wèn)限制對(duì)服務(wù)器的物理和網(wǎng)絡(luò)訪問(wèn)WMI被監(jiān)控的客戶(hù)端被監(jiān)控的客戶(hù)端被監(jiān)控的服務(wù)器被監(jiān)控的服務(wù)器SQL收集程序收集程序易受篡改的事件易受篡改的事件在審核者控制下的事件在

2、審核者控制下的事件事件日志事件日志事件日志事件日志實(shí)時(shí)入侵檢測(cè)應(yīng)用程序?qū)崟r(shí)入侵檢測(cè)應(yīng)用程序法庭分析法庭分析管理系統(tǒng)管理系統(tǒng)加固操作系統(tǒng)的安全，并應(yīng)用所有相關(guān)的安全修加固操作系統(tǒng)的安全，并應(yīng)用所有相關(guān)的安全修補(bǔ)程序補(bǔ)程序刪除不必要的組件刪除不必要的組件運(yùn)行運(yùn)行 IIS 鎖定工具鎖定工具配置配置 URLScan將內(nèi)容放在單獨(dú)的將內(nèi)容放在單獨(dú)的 NTFS 分區(qū)上分區(qū)上通過(guò)使用最少權(quán)限來(lái)保護(hù)文件通過(guò)使用最少權(quán)限來(lái)保護(hù)文件要求對(duì)敏感的要求對(duì)敏感的 Web 通信進(jìn)行加密通信進(jìn)行加密如有可能，請(qǐng)不要同時(shí)啟用同一如有可能，請(qǐng)不要同時(shí)啟用同一 Web 站點(diǎn)的站點(diǎn)的“執(zhí)行執(zhí)行”和和“寫(xiě)寫(xiě)”權(quán)限權(quán)限使用使用“中級(jí)中

3、級(jí)”或或“高級(jí)應(yīng)用程序保護(hù)高級(jí)應(yīng)用程序保護(hù)”運(yùn)行應(yīng)用運(yùn)行應(yīng)用程序程序使用使用 IPSec 篩選以只允許與篩選以只允許與 Web 服務(wù)器進(jìn)行服務(wù)器進(jìn)行必需的通信（必需的通信（HTTP 和和 HTTPS）12345678910指定安全和管理邊界指定安全和管理邊界基于授權(quán)要求設(shè)計(jì)基于授權(quán)要求設(shè)計(jì)Active Directory 結(jié)構(gòu)結(jié)構(gòu) 基于基于最佳做法指南最佳做法指南 實(shí)施安全邊界實(shí)施安全邊界確保密碼和帳戶(hù)策略符合組織的安全要求確保密碼和帳戶(hù)策略符合組織的安全要求增強(qiáng)增強(qiáng)“默認(rèn)域策略默認(rèn)域策略 GPO”中的設(shè)置，或在中的設(shè)置，或在域級(jí)別創(chuàng)建一個(gè)新的域級(jí)別創(chuàng)建一個(gè)新的 GPO檢查重要檢查重要 Act

4、ive Directory 對(duì)象的審核設(shè)置對(duì)象的審核設(shè)置域策略域域工程成員服務(wù)器基準(zhǔn)策略成員服務(wù)器域控制器域控制器策略打印服務(wù)器策略文件服務(wù)器策略IIS 服務(wù)器策略打印服務(wù)器文件服務(wù)器Web 服務(wù)器操作管理員操作管理員Web 服務(wù)管理員建立安全目錄服務(wù)和數(shù)據(jù)管理做法建立安全目錄服務(wù)和數(shù)據(jù)管理做法授予所需的最小權(quán)限授予所需的最小權(quán)限區(qū)分服務(wù)和數(shù)據(jù)管理角色區(qū)分服務(wù)和數(shù)據(jù)管理角色基礎(chǔ)結(jié)構(gòu)服務(wù)器基礎(chǔ)結(jié)構(gòu)服務(wù)器文件和打印服務(wù)器文件和打印服務(wù)器IIS 服務(wù)器服務(wù)器認(rèn)證服務(wù)服務(wù)器認(rèn)證服務(wù)服務(wù)器堡壘主機(jī)堡壘主機(jī)保護(hù)保護(hù) Active Directory 安全安全應(yīng)用成員服務(wù)器應(yīng)用成員服務(wù)器基準(zhǔn)策略基準(zhǔn)策略RA

5、DIUS (IAS) 服務(wù)器服務(wù)器加固程序加固程序應(yīng)用增量式基于應(yīng)用增量式基于角色的安全設(shè)置角色的安全設(shè)置在使用安全模板之前對(duì)模板進(jìn)行在使用安全模板之前對(duì)模板進(jìn)行檢查和修改檢查和修改使用安全配置和分析工具在使用安全配置和分析工具在應(yīng)用模板設(shè)置之前對(duì)設(shè)置進(jìn)行應(yīng)用模板設(shè)置之前對(duì)設(shè)置進(jìn)行檢查檢查在部署模板之前對(duì)它們進(jìn)行在部署模板之前對(duì)它們進(jìn)行徹底測(cè)試徹底測(cè)試將安全模板存儲(chǔ)在一個(gè)安全的位置將安全模板存儲(chǔ)在一個(gè)安全的位置保護(hù)域控制器構(gòu)建環(huán)境的安全保護(hù)域控制器構(gòu)建環(huán)境的安全建立提供安全的域控制器構(gòu)建做法建立提供安全的域控制器構(gòu)建做法 保持物理安全保持物理安全使用適當(dāng)?shù)陌踩椒▉?lái)控制對(duì)域控制器的物理訪問(wèn)使用

6、適當(dāng)?shù)陌踩椒▉?lái)控制對(duì)域控制器的物理訪問(wèn)實(shí)施適當(dāng)?shù)膶徍撕褪录罩驹O(shè)置實(shí)施適當(dāng)?shù)膶徍撕褪录罩驹O(shè)置使用組策略將域控制器安全模板應(yīng)用到所有域控制器使用組策略將域控制器安全模板應(yīng)用到所有域控制器禁用不需要的服務(wù)禁用不需要的服務(wù)保護(hù)廣為人知的用戶(hù)帳戶(hù)的安全保護(hù)廣為人知的用戶(hù)帳戶(hù)的安全僅啟用角色需要的服務(wù)僅啟用角色需要的服務(wù)啟用服務(wù)日志記錄以捕獲相關(guān)信息啟用服務(wù)日志記錄以捕獲相關(guān)信息使用使用 IPSec 篩選，以便基于服務(wù)器角色阻止篩選，以便基于服務(wù)器角色阻止特定端口特定端口根據(jù)需要為具有多個(gè)角色的服務(wù)器修改模板根據(jù)需要為具有多個(gè)角色的服務(wù)器修改模板使用使用“安全配置和分析安全配置和分析”工具將模板應(yīng)用于工具將模板應(yīng)用于獨(dú)立服務(wù)器獨(dú)立服務(wù)器根據(jù)