第讲企业服务器安全配置技术.pptVIP

网络安全基础 第5章 企业服务器安全配置技术 内容提要 企业服务器安全概述 基于Windows系统服务器的安全配置 基于UNIX/Linux系统服务器的安全配置 5.1 企业服务器安全概述 安全的网络信息系统对于现代企事业单位来说是日常办公和业务应用的支撑体系。很多企事业单位都曾饱尝过网络信息系统遭受黑客攻击的痛苦，都意识到了确保网络信息系统安全的重要性。企事业单位的网络信息系统一旦受到攻击，就可能使整个网络无法正常工作，服务器系统瘫痪，甚至所有的网络数据毁坏或丢失，其损失可能是灾难性的。 作为网络信息系统的管理者，应当根据当前安全形式认清网络信息系统中可能存在的安全隐患，加强网络信息系统的安全，确保网络信息系统中服务器的安全。 5.1 企业服务器安全概述 当前，网络信息系统的管理者们虽然都认识到了网络信息系统服务器的安全是至关重要的，但实际上，他们中的大多数往往都以维持服务器稳定、高效地运行作为他们的工作目标，对于服务器的安全性往往考虑得较少（至少对于某些管理员来说是这样的），网络信息系统的安全隐患并没有得到解决。正因为如此，在当前复杂多变的网络信息系统中，确保服务器的安全已经成为网络信息系统管理者的首要任务之一。 5.1 企业服务器安全概述 近十多年来，网络安全产品从简单的防火墙发展到具备报警、预警、分析、审计、监测等功能的网络安全系统，在技术已经取得了巨大的进步，也为政府和企事业在构建网络安全体系方面提供了更加多样化的安全防范策略。 但是，网络信息系统面临的威胁却并没有随着技术的进步而有所抑制，反而更加突出，从层出不穷的网络犯罪到日益猖獗的黑客攻击，似乎网络世界正面临着前所未有的挑战。 本章从确保服务器安全的角度出发，分别介绍基于Windows和UNIX/Linux环境下的Web和FTP服务器的安全配置。 5.2 基于Windows系统的服务器安全配置 5.2.1 系统安全加固 在配置服务器之前，应当首先对系统加固。加固除了运用服务包和安全补丁来修复已知的漏洞之外，还应删除不使用的操作系统的特性及其服务。对系统保护的目标是使系统很难被攻破，使攻击者尝试的成本和努力要大于他可能获得的收获。因此，在加固系统的过程中，应对操作系统的功能、服务、账号及访问权限进行限制，使系统在能够有效运行的前提下获得最高的安全级别，在安全级别和系统可用性之间找到最佳平衡点。 5.2.1 系统安全加固 （1）停止或禁用所有不需要的服务； （2）建立安全的账号和密码服务； （3）修改默认的IIS服务环境，禁用或删除所有不必要的系统内容； （4）修改Windows的其他设置，减少已知的和理论的安全漏洞。 5.2.1 系统安全加固 在Windows 2000 Server系统中一般来说，需要禁用的服务包括 Alterter、ClIPBook Server、Computer Browser、DHCP Client、Directory Replicator、FTPPublishing Service、License Logging Service、Netlogon、Network DDE、Network DDE DSDM、Network Monitor、Plug and Play（disable after all hardware configuration）、Remote Access Server、Remote Procedure Call （RPC）Locator、Schedule、Server、Simple Service、Spooler、TCP/IP Netbios Helper、Telephone Service，在必要时需要禁止的服务包括SNMP Service、SNMP trap、UPS，需要设置为自启动的服务包括Eventlog、NT LM Security Provider，RPC Service、WWW、Workstation、MSDTC。 5.2.1 系统安全加固 1．最小权限设置 以Web服务器权限设置为例，进行最小权限设置。 （1）目录权限设置 ① C:\根目录，给system和administrator用户完全控制权限，将权限继承下去； ② C:\program files\vcommon files\system，给users组读取、列目录、执行权限； ③ C:\winnt\temp，给users组读取、写入权限； ④ C:\winnt\system32、inetsrv下的除MetaBase.bin外所有文件（不包含目录），给users组列目录、读取、执行权限； ⑤ C:\winnt\system32下的所有非.exe、.com、.msc文件（注意是文件，不包含目录），给users组读取、执行权限