Windows_Security服务器安全防范.docVIP

服务器安全防范大全 一、安装 Win 200x 安全概览 1.硬盘分区的文件系统选择 ①使用多分区分别管理不同内容 对提供服务的机器，可按如下设置分区: 分区1：系统分区，安装系统和重要日志文件。 分区2：提供给IIS使用。 分区3：提供给FTP使用。 分区4：放置其他一些资料文件。（以上为示例，可灵活把握） ②采用NTFS文件系统 所有磁盘分区必须采用 NTFS 文件系统，而不要使用 FAT32！ 特别注意：一定要在系统安装时，通过安装程序将系统盘格式化为NTFS，而不要先以 FAT32 格式安装系统，然后再用 Convert 转换！因为转换后的磁盘根目录的默认权限过高！ ③使用文件加密系统EFS Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 /windows2000/techinfo/howitworks/security/encrypt.asp 注意：建议加密temp文件夹！因为一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。 2.组件的定制 不要按Win 2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。 典型Web服务器需要的最小组件是：公用文件、Internet 服务管理器、WWW服务器。 3.接入网络时间 在安装完成Win 2000X作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。 补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。 4．建议只安装一种操作系统 因为安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。 5.卸载无用的组件模块 将\\Winnt\\inf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。 二、基本系统设置 1.安装各种补丁 安装Service Pack 和最新的hotfix；安装SQL和IIS系列补丁。 如果从本地备份中安装，则随后必须立即通过在线更新功能查验是否有遗漏的补丁没有安装。 建议启用系统自动更新功能，并设置为有更新时自动下载安装。 注意：建议记得安装最新的MDAC（/data/download.htm） MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，且MDAC一般不以补丁形式发放的，比较容易漏更新。为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，详见漏洞测试文档。 2.分区内容规划 1）操作系统、Web主目录、日志分别安装在不同的分区。2）关闭任何分区的自动运行特性：可以使用 TweakUI 等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。 3.协议管理 卸载不需要的协议，比如IPX/SPX, NetBIOS；在连接属性对话框的TCP)/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。 4.关闭所有以下不需要的服务 以下仅供参考，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的储存关系，个性为当可能导致某些功能的异常，甚至服务器不能工作！建议每次只个性两三个项目，重启测试无误后再设置其他项目： * Alerter (disable) * ClipBook Server (disable) * Computer Browser (disable) * DHCP Client (disable) * Directory Replicator (disable) * FTP publishing service (disable) * License Logging Service (disable) * Messenger (disable) * Netlogon (disable) * Network DDE (disable) * Network DDE DSDM (disable) * Ne