服務(wù)器安全配置方案

效勞器平安配置方案效勞器硬件配置1.1教務(wù)軟件與數(shù)據(jù)庫分別安裝在兩臺效勞器上。1.2教務(wù)軟件效勞器〔windowsserver2003系統(tǒng)〕，開放內(nèi)網(wǎng)、外網(wǎng)。同時只開放80、1433端口。1.3數(shù)據(jù)庫效勞器〔sqlserver2008數(shù)據(jù)庫〕，不開放外網(wǎng)，只允許教務(wù)軟件效勞器訪問。同時只開放1433端口。2 WindowsServer2003效勞器平安。2.1安裝網(wǎng)絡(luò)殺毒軟件和網(wǎng)絡(luò)防火墻〔建議：卡巴斯基〕2.2將<systemroot>\System32\cmd.exe轉(zhuǎn)移到其他書目或更名；2.3系統(tǒng)帳號盡量少，更改默認(rèn)帳戶名〔如Administrator〕和描述，密碼盡量困難；2.4拒絕通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)〔匿名登錄；內(nèi)置管理員帳戶；Support_388945a0；Guest；全部非操作系統(tǒng)效勞帳戶〕2.5建議對一般用戶只賜予讀取權(quán)限，而只給管理員和System以完全限制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些須要寫的操作不能完成，這時須要對這些文件所在的文件夾權(quán)限進(jìn)展更改，建議在做更改前先在測試機(jī)器上作測試，然后慎重更改。2.6制止C$、D$一類的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareServer、REG_DWORD、0x02.7制止ADMIN$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareWks、REG_DWORD、0x02.8限制IPC$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsarestrictanonymousREG_DWORD0x0缺省0x1匿名用戶無法列舉本機(jī)用戶列表0x2匿名用戶無法連接本機(jī)IPC$共享說明:不建議運(yùn)用2，否那么可能會造成你的一些效勞無法啟動，如SQLServer2.9僅給用戶真正須要的權(quán)限，權(quán)限的最小化原那么是平安的重要保障2.10在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選，僅開放必要的端口〔如80〕2.11通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1來制止139空連接2.12修改數(shù)據(jù)包的生存時間(TTL)值2.13HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters2.14DefaultTTLREG_DWORD0-0xff(0-255十進(jìn)制,默認(rèn)值128)2.15防止SYN洪水攻擊HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersSynAttackProtectREG_DWORD默0x2(認(rèn)值為0x0)2.16制止響應(yīng)ICMP路由通告報文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interfacePerformRouterDiscoveryREG_DWORD默0x0(認(rèn)值為0x2)2.17防止ICMP重定向報文的攻擊HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirectsREG_DWORD默0x0(認(rèn)值為0x1)2.18不支持IGMP協(xié)議HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersIGMPLevelREG_DWORD默0x0(認(rèn)值為0x2)2.19設(shè)置arp緩存老化時間設(shè)置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersArpCacheLifeREG_DWORD0-0xFFFFFFFF(秒數(shù),默認(rèn)值為120秒)ArpCacheMinReferencedLifeREG_DWORD0-0xFFFFFFFF(秒數(shù),默認(rèn)值為600)2.20制止死網(wǎng)關(guān)監(jiān)測技術(shù)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersEnableDeadGWDetectREG_DWORD默0x0(認(rèn)值為ox1)安裝和配置IIS效勞：1.僅安裝必要的 IIS 組件?！步貌豁氁娜鏔TP和SMTP效勞〕2.僅啟用必要的效勞和 WebService 擴(kuò)展，引薦配置:UI中的組件名稱 設(shè)置 設(shè)置邏輯后臺智能傳輸效勞(BITS)效勞器擴(kuò)展啟用BITS是WindowsUpdates和“自動更新”所運(yùn)用的后臺文件傳輸機(jī)制。假如運(yùn)用WindowsUpdates或“自動更新”在IIS效勞器中自動應(yīng)用ServicePack和熱修補(bǔ)程序，那么必需有該組件。公用文件啟用IIS須要這些文件，必需要在IIS效勞器中啟用它們。文件傳輸協(xié)議(FTP)效勞禁用允許IIS效勞器供應(yīng)FTP效勞。專用IIS效勞器不須要該效勞。FrontPage2002ServerExtensions禁用為管理和發(fā)布Web站點(diǎn)供應(yīng)FrontPage支持。假如沒有運(yùn)用FrontPage擴(kuò)展的Web站點(diǎn)，請?jiān)趯Ｓ肐IS效勞器中禁用該組件。Internet信息效勞管理器啟用IIS的管理界面。Internet打印禁用供應(yīng)基于Web的打印機(jī)管理，允許通過HTTP共享打印機(jī)。專用IIS效勞器不須要該組件。NNTP效勞禁用在Internet中分發(fā)、查詢、檢索和投遞Usenet新聞文章。專用IIS效勞器不須要該組件。SMTP效勞禁用在Internet中分發(fā)、查詢、檢索和投遞Usenet新聞文章。專用IIS效勞器不須要該組件。SMTP效勞禁用支持傳輸電子郵件。專用IIS效勞器不須要該組件。萬維網(wǎng)效勞

啟用

為客戶端供應(yīng)Web效勞、靜態(tài)和動態(tài)內(nèi)容。專用IIS效勞器須要該組件。萬維網(wǎng)效勞子組件UI中的組件名稱

安裝選項(xiàng)

設(shè)置邏輯ActiveServerPage 啟用 供應(yīng)ASP支持。假如IIS效勞器中的Web站點(diǎn)和應(yīng)用程序都不運(yùn)用ASP，請禁用該組件；或運(yùn)用Web效勞擴(kuò)展禁用它。Internet數(shù)據(jù)連接器 禁用 通過擴(kuò)展名為.idc的文件供應(yīng)動態(tài)內(nèi)容支持。假如IIS效勞器中的Web站點(diǎn)和應(yīng)用程序都不包括.idc擴(kuò)展文件，請禁用該組件；或運(yùn)用Web效勞擴(kuò)展禁用它。遠(yuǎn)程管理(HTML) 禁用 通過擴(kuò)展名為.idc的文件供應(yīng)動態(tài)內(nèi)容支持。假如IIS效勞器中的Web站點(diǎn)和應(yīng)用程序都不包括.idc擴(kuò)展文件，請禁用該組件；或運(yùn)用Web效勞擴(kuò)展禁用它。遠(yuǎn)程桌面Web連接 禁用 包括了管理終端效勞客戶端連接的MicrosoftActiveX?控件和范例頁面。改用IIS管理器可使管理更簡潔，并削減了IIS效勞器的攻擊面。專用IIS效勞器不須要該組件。效勞器端包括 禁用 供應(yīng).shtm、.shtml和.stm文件的支持。假如在IIS效勞器中運(yùn)行的Web站點(diǎn)和應(yīng)用程序都不運(yùn)用上述擴(kuò)展的包括文件，請禁用該組件。WebDAV 禁用 WebDAV擴(kuò)展了HTTP/1.1協(xié)議，允許客戶端發(fā)布、鎖定和管理Web中的資源。專用IIS效勞器禁用該組件；或運(yùn)用Web效勞擴(kuò)展禁用該組件。萬維網(wǎng)效勞 啟用為客戶端供應(yīng)Web效勞、靜態(tài)和動態(tài)內(nèi)容。專用IIS效勞器須要該組件將IIS書目＆數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。在IIS管理器中刪除必需之外的任何沒有用到的映射〔保存asp等必要映射即可〕在IIS中將HTTP404ObjectNotFound出錯頁面通過URL重定向到一個定制HTM文件Web站點(diǎn)權(quán)限設(shè)定〔建議〕Web站點(diǎn)權(quán)限： 授予的權(quán)限：讀寫腳根源訪問書目閱讀日志訪問索引資源執(zhí)行

允許不允許不允許建議關(guān)閉建議關(guān)閉建議關(guān)閉引薦選擇

“僅限于腳本”7.建議運(yùn)用W3C擴(kuò)大日志文件格式，每天記錄客戶IP地址，用戶名，效勞器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志?！沧詈貌灰\(yùn)用缺省的書目，建議更換一個記日志的路徑，同時設(shè)置日志的訪問權(quán)限，只允許管理員和system為FullControl〕。3 SQLSERVER2008 數(shù)據(jù)庫效勞器平安步驟MDAC升級密碼策略數(shù)據(jù)庫日志的記錄管理擴(kuò)展存儲過程

說明安裝最新的MDAC由于SQLServer不能更改sa用戶名稱，也不能刪除這個超級用戶，所以，我們必需對這個帳號進(jìn)展最強(qiáng)的愛惜，當(dāng)然，包括運(yùn)用一個特殊強(qiáng)壯的密碼，最好不要在數(shù)據(jù)庫應(yīng)用中運(yùn)sa帳號。新建立一個擁有與sa一樣權(quán)限的超級用戶來管理數(shù)據(jù)庫。同時養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)當(dāng)定期查看是否有不符合密碼要求的帳號。比方運(yùn)用下面的SQL語句：UsemasterSelectname,Passwordfromsysloginswherepasswordisnull核數(shù)據(jù)庫登錄事務(wù)的“失敗和成功”，在實(shí)例屬性中選擇“平安性”，將其中的審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了全部帳號的登錄事務(wù)。xp_cmdshell是進(jìn)入操作系統(tǒng)的最正確捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。請把它去掉。運(yùn)用這個SQL語句：usemastersp_dropextendedproc'xp_cmdshell'假如你須要這個存儲過程，請用這個語句也可以復(fù)原過來。sp_addextendedproc'xp_cmdshell','xpsql70.dll'OLE自動存儲過程〔會造成管理器中的某些特征不能運(yùn)用〕，這些過程包括如下〔不須要可以全部去掉：Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不須要的注冊表訪問的存儲過程，注冊表存儲過程甚至能夠讀出操作系統(tǒng)管理員的密碼來，如下：TCP/IP端口探測對網(wǎng)絡(luò)連接進(jìn)展IP限制

Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regremovemultistringXp_regwrite在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏SQLServer實(shí)例。請?jiān)谏弦徊脚渲玫母咨?，更改原默認(rèn)的1433端口。IPSec過濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQLServer。運(yùn)用操作系統(tǒng)自己的IPSec可以實(shí)現(xiàn)IP數(shù)據(jù)包的平安性。請對IP連接進(jìn)展限制，保證只有自己的IP能夠訪問，拒絕其他IP進(jìn)展的端口連接。附：Win2003系統(tǒng)建議禁用效勞列表名稱效勞名建議設(shè)置自動更新wuauserv禁用BackgroundIntelligentTransferBITS禁用ServiceComputerBrowserBrowser禁用DHCPClientDhcp禁用NTLMSecuritySupportProviderNtLmSsp禁用NetworkLocationAwarenessNLA禁用PerformanceLogsandAlertsSysmonLog禁用RemoteAdministrationServiceSrvcSurg禁用RemoteRegistryServiceRemoteRegistry禁用Serv