手把手教你如何加固你的服务器.docVIP

摘要 为提升服务器安全性，减少信息资产的泄漏风险，我们需要对服务器进行安全加固，从系统策略、应用程序、帐号密码等各方面进行加强，避免一些低级安全问题的出现。本文基于集团信息化安全规定，针对服务器安全配置的方法进行详细描述。并提供了服务器加固检查表模板，方便系统管理员对加固的步骤及结果进行检查。 服务器安全加固检查表 注意：请先将如下工具包复制到本地：\\ufnas1\网络安全\服务器安全工具包； 对于操作熟练的管理员，可以按照如下表格进行加固： 服务器加固检查表 服务器IP： 加固日期： 加固人： 服务器用途：□应用 □数据库 □其他 　 类型 加固内容 影响 对策 1 服务器加固 更改系统管理员(Administrator)帐号及密码 使用管理员帐号的服务将会受到影响 检查服务及DTS看所有者是否为管理员 2 禁用guest用户 使用guest将无法登陆 　 3 禁用远程桌面连接，并更改3389端口 将无法使用mstsc进行访问 使用DameWare连接 4 启用windows防火墙，打开1433、80、6129、3500 将无法PING通该机器，并且无法通过网络直接访问；应用没有没有打开的端口的服务将关闭 检查IIS中的应用；通知应用管理员 5 将服务器加入域 需要重启。域管理员可以访问，并默认应用域安全策略，自动打补丁 　 6 安装安全卫士360，安装所有补丁 需要重启 　 7 加固服务器（禁止空连接和远程操作注册表/取消上次登陆名显示） 无影响 　 8 关闭所有共享目录 将无法通过共享目录访问服务器文件 使用DameWare连接 9 检查影子帐号 无影响 　 10 数据库加固 禁用sa帐号 使用sa验证的数据库连接将失败 修改所有数据库连接，创建新的登录帐号 11 删除不安全存储过程 未知 　 12 IIS加固 关闭上传文件的文件夹执行权限 未知 　 13 关闭目录浏览权限 未知 　 14 关闭目录写入权限 未知 　 15 更改IIS默认主目录 未知 　 加固步骤详解 加固服务器 使用工具“安全加固工具.exe”（两个SQL文件是其专用文件），重启计算机。 修改管理员帐号与密码 在“我的电脑”右键，点击“管理”，进入“本地用户和组”，点击“用户”，在 “Administrator”用户上右键点击“重命名”和“设置密码”。然后点击“确认”按钮 完成该步骤。 修改远程访问端口 一般建议把服务器的远程桌面访问功能禁用，并且修改默认端口号。注意，第二步设置了 新的远程访问端口号后要将新的终端号（如8190）在防火墙中的例外中加入，再次远程 时请使用IP加新端口号登录（例子：192.168.8.123:8190） 如果运行失败，可通过注册表进行修改，包括两个地方： ? 修改注册表访问 点击“开始”执行该操作 ? 打开windows防火墙： “开始”-“控制面板”-“windows防火墙”，选择启用，这时不要点击确认，需要做如下操 作： ?添加例外端口 进入“例外”标签，把需要的端口好加上 设置安全日志 进入“高级”标签，点击安全日志记录的设置按钮。 ? 设置ICMP 如果需要PING通服务器，点击ICMP的“设置”按钮选择“允许传入回显请求”。 最后点击“确定”按钮。 ? 开启防护软件 运行“服务器安全工具包”中的“360setup.exe”，开启所有防护。 退出360，安装360病毒码升级，文件位置在“\\ufnas1\网络安全\360补丁\补丁exe” 安装后请点击“实时保护”，将其中选项全部启用，然后点击首页的“全面检测”按钮， 进行一次全面的检测，找出安全漏洞 根据检查结果，安装所有补丁并解决所有不安全项。 ? 更改安全策略 更改本地安全策略，修改“审核帐户登录事件”和“审核帐户管理”，打开“成功”和 “失败”的操作审核。 ? ? 定期检查影子帐号 定期运行“检查影子帐号.exe”，防止有人攻击建立隐藏的帐号，如有发现请速上报 ? 加固数据库 禁用xp_cmdshell功能 对于SQLServer2000, 请运行“sql.sql”， 对于SQLServer2000, 请运行“sql05.sql”， 注意：删除以下代码后执行 REVOKE EXECUTE ON xp_getfiledetails TO public; GO RECONFIGURE; GO ? 禁用sa帐号 注意：禁用sa之前，先去“用户映射”中查看其关联的数据库，并建立一个帐号关联到这些数据 库以保证数据访问的正常执行。 加固IIS