服务器和网站安全加固技术规范.docVIP

服务器安全加固技术规范 共 NUMPAGES 13 页 第 PAGE 12 页 服务器和网站安全加固技术规范 安全加固原理 服务器安全加固是针对服务器系统（包含运行在主机上的各种软件系统）的脆弱性进行分析并修补。另外，安全加固同时包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策略的增强。 安全加固的目标 安全加固的主要目标包括以下两点： 对系统性能进行优化配置，杜绝系统配置不当而出现的弱点； 解决目标系统在安全评估中发现的技术性安全问题。 在修补加固完全成后，所有被加固的目标系统不应存在高风险漏洞和中风险漏洞（高风险漏洞和中风险漏洞，根据CVE：Common Vulnerabilities Exposures公共漏洞和暴露标准定义）。如果对相关的漏洞修补加固与现有应用冲突或会导致不良后果应另行处理。 安全加固的原则 安全加固的基本原则如下： 安全加固内容不能影响目标系统所承载的业务运行； 安全加固不能严重影响目标系统的自身性能； 加固操作不能影响与目标系统以及与之相连的其它系统的安全性，也不能造成性能的明显下降。 操作系统安全加固 Windows（2003 Server）系统安全加固 项目 分项 加固目的 加固内容和方法 基本安装和设置 服务器配置基本要求 保证系统基本安全性和易于维护 1、正确划分文件系统格式，确保所有磁盘分区为NTFS分区。 2、C盘安装操作系统，D盘安装常用软件及存放用户网站目录文件。 服务器软件安装要求 提供最小化的功能，减少可能的漏洞。 安装必备的防护软件，防病毒软件应安装学校统一购买的网络版瑞星。 与服务运行和管理维护无关的服务软件、工具软件、应用软件都不能安装。 补丁安装 使系统升级到最新版本 将Windows自动更新更改为使用校内WSUS服务器： ? 服务器地址：80：8530 更新命令：wuauclt /detectnow 帐号设置 帐号密码策略修改 保障帐号以及密码的安全 在“管理工具”—“本地安全设置”—“帐户策略”中按如下要求进行设置： 密码长度最小值 7 字符 密码最长存留期 90天 密码最短存留期 30天 帐号锁定计数器 30分钟 帐户锁定时间 30分钟 帐户锁定阀值 3次 限制Guest用户权限 避免Guest帐号被黑客激活作为后门 禁用Guest用户。 在“管理工具”—“本地安全设置”—“本地策略”—“用户权利指派”，“拒绝从网络访问这台计算机”中加入Guest用户，禁止Guest帐号本地登录和网络登录的权限。 服务 停止不需要服务 避免未知漏洞给主机带来的风险 “服务管理”中将下述服务停止，并将启动类型设置为手动： Computer Browser服务 Alerter服务 Messenger服务 Computer Browser：维护网络上计算机的最新列表以及提供这个列表 Routing and Remote Access：在局域网以及广域网环境中为企业提供路由服务 Remote Registry Service：允许远程注册表操作 Print Spooler：将文件加载到内存中以便以后打印 DHCP Client：DHCP客户端 Distributed Link Tracking Client：当文件在网络域的NTFS卷中移动时发送通知 Error Reporting Service：收集、存储和向 Microsoft 报告异常应用程序 Messenger：传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet：允许远程用户登录到此计算机并运行程序 Help and Support：启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。 Wireless Configuration：启用 IEEE 802.11 适配器的自动配置。如果此服务停止，自动配置将不可用。如果此服务被禁用，所有明确依赖它的服务都将不能启动。 系统文件 限制特定执行文件的权限 对特定文件权限进行限制，防止被黑客使用 禁止用户组访问以下文件，仅限administrators、system用户组访问这些文件： xcopy.exe，wscript.exe，cscript.exe，net.exe，arp.exe，edlin.exe，ping.exe，route.exe，posix.exe，Rsh.exe，atsvc.exe，Copy.exe，cacls.exe，ipconfig.exe，rcp.exe，cmd.exe，debug.exe，regedt32.exe，regedit.exe，，telnet.exe，Finge