服务器安全策略SOP.docVIP

华拓数码科技有限公司 服务器安全策略SOP 服务器安全策略SOP 版本: V1.0 华拓数码科技有限公司 2016.02.22 目 录 1安装 Win 200x 安全概览2 1.1硬盘分区的文件系统选择2 1.2组件的定制2 1.3接入网络时间2 1.4账户安全管理2 1.5安全审核2 1.6卸载无用的组件模块2 2基本系统设置3 2.1安装补丁3 2.2分区内容规划3 2.3协议管理3 2.4关闭所有以下不需要的服务3 2.5删除 OS/2 和 POSIX 子系统4 2.6帐号和密码策略4 2.7设置文件和目录权限4 2.8注册表一些条目的修改5 2.9启用TCP/IP过滤5 2.10移动部分重要文件并加访问控制5 2.11下载Hisecweb.inf安全模板来配置系统6 2.12 服务器上其他工具程序的替代6 2.13设置陷阱脚本6 2.14取消部分危险文件扩展名6 3 IIS 安全设置6 3.1关闭并删除默认站点6 3.2建立自己的站点，与系统不在一个分区6 3.3删除IIS的部分目录6 3.4删除不必要的IIS映射和扩展7 3.5禁用父路径7 3.6在虚拟目录上设置访问控制权限7 3.7启用日志记录8 3.8备份IIS配置8 3.9修改IIS标志8 4 数据及备份管理9 4.1备份9 4.2设置文件共享权限9 4.3防止文件名欺骗9 4.4 Access数据库的安全概要9 4.5 MSSQL 注入攻击的防范11 第 第 PAGE 3 页 5其他辅助安全措施11 6简单设置防御小流量DDOS攻击12 7日常安全检查15 1安装 Win 200x 安全概览 1.1硬盘分区的文件系统选择 在安装Win 200x时，如条件许可，应至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置，使其位置不在系统分区。对提供服务的机器，可按如下设置分区: 分区1：系统分区，安装系统和重要日志文件。 分区2：提供给IIS使用。 分区3：提供给FTP使用。 分区4：放置其他一些资料文件。（以上为示例，可灵活把握） 1.2组件的定制 不要按Win 200x的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。 典型Web服务器需要的最小组件是： 公用文件、Internet 服务管理器、WWW服务器。 1.3接入网络时间 在安装完成Win 200x操作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。 补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。 1.4账户安全管理 1）账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。 2）停用Guest账号，并给Guest 加一个复杂的密码。 3）把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。 4）不让系统显示上次登录的用户名，具体操作如下： 修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值，把REG_SZ 的键值改成1。 1.5安全审核 在“管理工具→远程控制服务配置→连接”处，右键点击“RPD-TCP”连接，选择“属性”，在其窗口选中“权限”，点击右下角的“高级”，选择“审核”，增加一个“everyone”组，审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。 1.6卸载无用的组件模块 将\Winnt\inf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除