Web服務器安全方面一直重視程度不夠,是各種網站經常被黑的主要原因。下面筆者總結了一下關於怎樣保證Web服務器安全的措施,希望能給那些服務器尚存在漏洞的用戶提供一些幫助。
本文主要以Windows server 操作系統的服務器作為目標對象,因基於IIS的Web網站服務器較多,受攻擊情況較嚴重。
1.物理安全
服務器應該安放在安裝了監視器的隔離房間內,並且監視器要保留15天以上的攝像記錄。另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全的地方。
2.賬戶安全
把管理員adminstrator用戶改名,啟用密碼安全策略,保證密碼長度,啟用密碼鎖定策略,防止暴力破解,創建新的用戶,加入到administrators組,防止唯一的管理員用戶被鎖,停用guest用戶。
3.停止不需要的服務,建議關閉選項:
●Computer Browser:維護網絡計算機更新,禁用
●Distributed File System: 局域網管理共享文件,不需要禁用
●Distributed linktracking client:用於局域網更新連接信息,不需要禁用
●Error reporting service:禁止發送錯誤報告
●Microsoft Serch:提供快速的單詞搜索,不需要可禁用
●NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
●PrintSpooler:如果沒有打印機可禁用
●Remote Registry:禁止遠程修改注冊表
●Remote Desktop Help Session Manager:禁止遠程協助
3.關閉不必要的端口
關閉端口意味着減少功能,在安全和功能上面需要你作一點決策。如果服務器安裝在防火牆的后面,冒的險就會少些,但是,永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統所開放的端口,確定開放了哪些服務是防止黑客入侵你的系統的第一步。
以下所說的端口是指TCP端口:
●WEB服務:HTTP端口:80,HTTPS端口:443, 提供服務的軟件 IIS
●Windows終端(遠程桌面)服務:端口:3389。
●SSH服務:端口:22。
●Telnet服務:端口:23。
●Mysql數據庫:端口3306。
4.審核策略
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那么要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件,你需要根據情況在這二者之間做出選擇。
推薦的要審核的項目是:
●登錄事件 成功 失敗
●賬戶登錄事件 成功 失敗
●系統事件 成功 失敗
●策略更改 成功 失敗
●對象訪問 失敗
●目錄服務訪問 失敗
●特權使用 失敗
5.開啟密碼策略
策略 設置
●密碼復雜性要求 啟用
●密碼長度最小值 6位
●強制密碼歷史 5 次
●強制密碼歷史 42 天
6.開啟帳戶策略
策略 設置
●復位帳戶鎖定計數器 20分鍾
●帳戶鎖定時間 20分鍾
●帳戶鎖定閾值 3次
7.設定安全記錄的訪問權限
安全記錄在默認情況下是沒有保護的,把他設置成只有Administrator和系統帳戶才有權訪問。
8.把敏感文件存放在另外的文件服務器中
雖然現在服務器的硬盤容量都很大,但是你還是應該考慮是否有必要把一些重要的用戶數據(文件,數據表,項目文件等)存放在另外一個安全的服務器中,並且經常備份它們。
9.不讓系統顯示上次登陸的用戶名
默認情況下,終端服務接入服務器時,登陸對話框中會顯示上次登陸的帳戶明,本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名,進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名
10.到微軟網站下載最新的補丁程序
很多網絡管理員沒有訪問安全站點的習慣,以至於一些漏洞都出了很久了,還放着服務器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的系統不出一點安全漏洞,經常訪問微軟和一些安全站點,下載最新的service pack和漏洞補丁,是保障服務器長久安全的唯一方法。
11.殺毒軟件的安裝
瑞星、江民、金山、諾頓、卡巴斯基總有一款殺毒軟件是你需要的。
12.防止SQL注入
SQL數據庫服務盡量只允許本機連接、在服務器端對交互數據作嚴格的檢查,過濾非法字符、安裝IIS安全工具。