[培训]服务器系统安全维护.pptVIP

Windows 服务器系统安全维护 丁兆锟 dzkad@ 纲要 一、Windows Server 常见问题及解决办法 二、Windows Server 2003 安全管理 三、Windows Server 2003 安全策略设置 四、Windows Server 2003 IIS服务器配置 五、Microsoft SQL Server安全防护 一、Windows Server常见问题及解决办法 1．版本的选择 2．磁盘分区注意事项 3．系统管理员的密码 4．补丁的安装 1．版本的选择 Windows Server 2003有各种语言的版本，对于我们来说，可以选择英文版或简体中文版，如果语言不成为障碍的情况下，可以考虑选择英文版。因为微软Windows Server 2003中文版的Bug远远多于英文版，而补丁程序一般还会推迟至少半个月。 2．磁盘分区 最少将磁盘分为2个以上的分区 硬盘分区均为NTFS分区 系统分区（一般为C盘），建议分20G以上的磁盘空间 应用分区：用于安装系统软件 数据分区：用于存储数据 3．系统管理员的密码 切记不可将系统管理员密码设置为空 不要使用弱密码 创建强管理员密码 系统管理员的密码 使用内置管理员帐户的强密码。 强密码可以最大程度地减少猜测密码并获得管理员帐户凭据的攻击者的攻击。 强管理员帐户密码应该： ?至少包含 15 个字符 ?不包含帐户名、实际姓名或公司名称 ?不包含字典中的完整单词、任何语言中的俚语或行话 ?要明显不同于以前的密码。 递增的密码（Password1、Password2、Password3...）不是强密码 ?包含来自下页中列出的五组中三组以上的字符 系统管理员的密码 强管理员密码的字符类型 大写字母A、B、C... 小写字母a、b、c... 数字0、1、2、3... 非字母数字键盘符号` ~ ! @ # $ % ^* ( ) _ + - = { } | [ ] \ : ; ? , ./ Unicode 字符€、G、?、? 强密码示例 使用密码短语而不是密码 创建不必写下的强密码的最简单方法是使用密码短语。 实质上，密码短语是容易记的句子，例如“My son Aiden is three years older than my daughter Anna”。 使用此句中每个单词的首字母，您可以创建一个很好的强密码。 例如，“msaityotmda”。 不过，您还可以使用大小写字母、数字和看似字母的特殊字符的组合使此密码更难以破解。 例如，使用同样易于记忆的句子和少许技巧，密码便成了 M$8ni3y0tmd@。 4. 补丁的安装 使用Windows Update 网上下载最新的Sp打包的补丁包然后在使用Windows Update（适合网络速度比较慢的用户） win2003补丁下载 /web/softroom/list.asp?id=1849 Win2000补丁下载 /web/softroom/list.asp?id=1173 二、Windows Server 2003安全管理 1．组件的定制 2．关闭不必要端口 3．配置IIS服务 4．删除不需要的服务 5．账号安全 6．目录和文件权限 7．安全日志 1．组件的定制 Windows Server 2003在默认情况下会安装一些常用的组件，但这种默认安装可能带来安全隐患。对于管理员应该明确到底需要哪些服务，只安装确实需要的服务，根据安全原则，最少的服务+最小的权限=最大的安全。 典型的WEB服务器需要的最小组件选择是：只安装IIS的Com Files，IIS Snap-In，WWW Server组件。而应该谨慎安装IIS中的其他组件，例如Indexing Service， FrontPage server 2003 Extensions， Internet Service Manager (HTML)等。 2．关闭不必要端口 端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。 一般来说，比较安全的做法是，只打开你需要使用的端口。很多黑客攻击程序是针对特定服务和特定服务端口的，因此，为了降低遭受黑客攻击的危险，应该关闭那些不必要的服务和服务端口。 2．关闭不必要端口(续) 3．配置IIS服务 IIS是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，所以应该细致配置IIS。例如： 信息服务发布目录Inetpub安装在非系统分区上，如D盘，更改名字不用系统默认目录名。 在IIS管理器中将主目录指向你自己设定的路径即可。 删除IIS安装时默认的script