Windows 的服務(wù)器安全加固方案

因?yàn)镮IS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個(gè)安全的Web服務(wù)器，是很多人關(guān)心的話題。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows 2003的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的`第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對服務(wù)器進(jìn)行安全加固，以免遭到黑客的攻擊，造成嚴(yán)重的后果。

成都創(chuàng)新互聯(lián)是專業(yè)的佳縣網(wǎng)站建設(shè)公司，佳縣接單;提供成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè),網(wǎng)頁設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行佳縣網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來合作!

我們通過以下幾個(gè)方面對您的系統(tǒng)進(jìn)行安全加固：

1. 系統(tǒng)的安全加固：我們通過配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

系統(tǒng)的安全加固：

1.目錄權(quán)限的配置：

1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對其下的子目錄作單獨(dú)的目錄權(quán)限，如果WEB站點(diǎn)目錄，你要為其目錄權(quán)限分配一個(gè)與之對應(yīng)的匿名訪問帳號(hào)并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅(jiān)固，可以分配只讀權(quán)限并對特殊的目錄作可寫權(quán)限。

1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個(gè)隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個(gè)配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

1.5 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號(hào)拒絕訪問。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫。

2.組策略配置:

在用戶權(quán)利指派下，從通過網(wǎng)絡(luò)訪問此計(jì)算機(jī)中刪除Power Users和Backup Operators;

啟用不允許匿名訪問SAM帳號(hào)和共享;

啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設(shè)置:

開始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對象訪問失敗

審核過程跟蹤 無審核

審核目錄服務(wù)訪問失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

注：在設(shè)置審核登陸事件時(shí)選擇記失敗，這樣在事件查看器里的安全日志就會(huì)記錄登陸失敗的信息。

防黑加固Linux服務(wù)器安全加固？

使用一些安全測試的辦法與工具對服務(wù)器進(jìn)行風(fēng)險(xiǎn)檢測，找出服務(wù)器的脆弱點(diǎn)以及存在的安全缺陷。

針對服務(wù)器操作系統(tǒng)自身的安全測試，包括一些系統(tǒng)配置、主機(jī)漏洞掃描等等

查看服務(wù)器操作系統(tǒng)當(dāng)前用戶是否為root用戶，盡量避免使用root用戶登錄，啟動(dòng)其他服務(wù)程序，除非是一些需要root權(quán)限的安全工具，前提需要保證工具來源可信。終端需要 who 既可以查看當(dāng)前登錄用戶。

登錄到Linux系統(tǒng)，此時(shí)切換到root用戶，下載lynis安全審計(jì)工具，切換到lynis運(yùn)行腳本目錄，執(zhí)行 ./lynis --check-all –Q 腳本語句，開始對本地主機(jī)掃描審計(jì)，等待掃描結(jié)束，查看掃描結(jié)果。

登錄到Linux系統(tǒng)，切換到root用戶，使用命令行方式安裝Clamav 殺毒軟件，安裝完畢需要更新病毒庫，執(zhí)行掃描任務(wù)，等待掃描結(jié)束獲取掃描結(jié)果，根據(jù)掃描結(jié)果刪除惡意代碼病毒；

登錄到Linux系統(tǒng)，切換到root用戶，下載Maldetect Linux惡意軟件檢測工具，解壓縮后完成安裝。運(yùn)行掃描命令檢測病毒，等待掃描結(jié)束獲取掃描報(bào)告，根據(jù)掃描報(bào)告刪除惡意病毒軟件；

登錄到Linux系統(tǒng)，切換到root用戶，下載Chkrootkit后門檢測工具包，解壓縮后進(jìn)入 Chkrootkit目錄，使用gcc安裝Chkrootkit，安裝成功即開始Chkrootkit掃描工作，等待掃描結(jié)束，根據(jù)掃描結(jié)果恢復(fù)系統(tǒng)；

登錄到Linux系統(tǒng)，切換到root用戶，下載RKHunter 后門檢測工具包，解壓縮后進(jìn)入 RKHunter 目錄，執(zhí)行命令安裝RKHunter ，安裝成功即開始啟用后門檢測工作，等待檢測結(jié)束，根據(jù)檢測報(bào)告更新操作系統(tǒng)，打上漏洞對應(yīng)補(bǔ)??；

使用下面工具掃描Web站點(diǎn)：nikto、wa3f、sqlmap、safe3 … …

掃描Web站點(diǎn)的信息：操作系統(tǒng)類型、操作系統(tǒng)版本、端口、服務(wù)器類型、服務(wù)器版本、Web站點(diǎn)錯(cuò)誤詳細(xì)信息、Web目錄索引、Web站點(diǎn)結(jié)構(gòu)、Web后臺(tái)管理頁面 …

測試sql注入，出現(xiàn)幾個(gè)sql注入點(diǎn)

測試xss攻擊，出現(xiàn)幾個(gè)xss注入點(diǎn)

手動(dòng)測試某些網(wǎng)頁的輸入表單，存在沒有進(jìn)行邏輯判斷的表單，例如：輸入郵箱的表單，對于非郵箱地址的輸入結(jié)果，任然會(huì)繼續(xù)處理，而不是提示輸入錯(cuò)誤，返回繼續(xù)輸入。

針對風(fēng)險(xiǎn)測試后得到的安全測試報(bào)告，修復(fù)系統(tǒng)存在的脆弱點(diǎn)與缺陷，并且進(jìn)一步加強(qiáng)服務(wù)器的安全能力，可以借助一些安全工具與監(jiān)控工具的幫助來實(shí)現(xiàn)。

對服務(wù)器本身存在的脆弱性與缺陷性進(jìn)行的安全加固措施。

使用非root用戶登錄操作系統(tǒng)，使用非root用戶運(yùn)行其他服務(wù)程序，如：web程序等；

web權(quán)限，只有web用戶組用戶才能操作web應(yīng)用，web用戶組添加當(dāng)前系統(tǒng)用戶；

數(shù)據(jù)庫權(quán)限，只有數(shù)據(jù)庫用戶組用戶才能操作數(shù)據(jù)庫，數(shù)據(jù)庫用戶組添加當(dāng)前系統(tǒng)用戶；

根據(jù)安全審計(jì)、惡意代碼檢查、后門檢測等工具掃描出來的結(jié)果，及時(shí)更新操作系統(tǒng)，針對暴露的漏洞打上補(bǔ)丁。

對于發(fā)現(xiàn)的惡意代碼病毒與后門程序等及時(shí)刪除，恢復(fù)系統(tǒng)的完整性、可信行與可用性。

部署在服務(wù)器上的Web站點(diǎn)因?yàn)槌绦騿T編寫代碼時(shí)沒有注意大多的安全問題，造成Web服務(wù)站點(diǎn)上面有一些容易被利用安全漏洞，修復(fù)這些漏洞以避免遭受入侵被破壞。

配置當(dāng)前服務(wù)器隱藏服務(wù)器信息，例如配置服務(wù)器，隱藏服務(wù)器類型、服務(wù)器的版本、隱藏服務(wù)器管理頁面或者限制IP訪問服務(wù)器管理頁面、Web站點(diǎn)錯(cuò)誤返回信息提供友好界面、隱藏Web索引頁面、隱藏Web站點(diǎn)后臺(tái)管理或者限制IP訪問Web站點(diǎn)后臺(tái)。

使用Web代碼過濾sql注入或者使用代理服務(wù)器過濾sql注入，這里更加應(yīng)該使用Web代碼過濾sql注入，因?yàn)樵陧撁婕磳⑻峤唤o服務(wù)器之前過濾sql注入，比sql注入到達(dá)代理服務(wù)器時(shí)過濾，更加高效、節(jié)省資源，用戶體驗(yàn)更好，處理邏輯更加簡單。

服務(wù)器安全加固 - Linux

查看 /etc/passwd 文件查看是否有無用的賬號(hào)，如果存在則刪除，降低安全風(fēng)險(xiǎn)。

操作步驟：

操作步驟：

操作步驟

操作步驟

使用命令 vim /etc/pam.d/su 修改配置文件，在配置文件中添加行。

例如，只允許admin組用戶su到root，則添加 auth required pam_wheel.so group=admin 。

【可選】為了方便操作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

為了防止使用"su"命令將當(dāng)前用戶環(huán)境變量帶入其它用戶，修改/etc/login.defs添加ALWAYS_SET_PATH=yes并保存。

操作步驟

操作步驟：

查看所有服務(wù)列表 systemctl list-units --type=service

操作步驟

使用命令 vim /etc/ssh/sshd_config 編輯配置文件。

配置文件修改完成后，重啟sshd服務(wù)生效（systemctl restart sshd）。

操作步驟

修改/etc/profile 配置文件，添加行 umask 027 ， 即新創(chuàng)建的文件屬主擁有讀寫執(zhí)行權(quán)限，同組用戶擁有讀和執(zhí)行權(quán)限，其他用戶無權(quán)限。

操作步驟

修改 /etc/profile 配置文件，設(shè)置為 TMOUT=600， 表示超時(shí)10分鐘無操作自動(dòng)退出登錄。

操作步驟

Linux系統(tǒng)默認(rèn)啟用以下類型日志，配置文件為 /etc/rsyslog.conf：

通過上述步驟，可以在 /var/log/history 目錄下以每個(gè)用戶為名新建一個(gè)文件夾，每次用戶退出后都會(huì)產(chǎn)生以用戶名、登錄IP、時(shí)間的日志文件，包含此用戶本次的所有操作（root用戶除外）

服務(wù)器安全加固 - Linux - wubolive - 博客園

哪些方法可以加固計(jì)算機(jī)的安全防護(hù)

這個(gè)還真不是三言兩語說的清楚，而且計(jì)算機(jī)的安全防護(hù)并不是只完成單臺(tái)的計(jì)算機(jī)即可的，涉及整個(gè)信息系統(tǒng)的架構(gòu)與設(shè)計(jì)等。但可以給個(gè)大的框架：

1、物理上，保證設(shè)備獨(dú)立性與不可接觸，如放在有安全防護(hù)的機(jī)房并嚴(yán)格管理人員出入與設(shè)備接觸，以及機(jī)房的防火、防水、防盜、電壓安全等設(shè)計(jì)；

2、操作系統(tǒng)層次安全，包括操作系統(tǒng)安全加固（服務(wù)器軟件的配置的安全性因素、服務(wù)器的軟件防火墻配置因素、補(bǔ)丁因素、計(jì)算機(jī)軟件級別訪問控制因素、密碼強(qiáng)度與密碼更新頻率等）、操作系統(tǒng)版本（新的操作系統(tǒng)相對來說功能性與安全性均會(huì)有所提升，BETE版另說）。基于全網(wǎng)的域結(jié)構(gòu)方式可以在全網(wǎng)的基礎(chǔ)上進(jìn)行嚴(yán)格控制與管理，并保證整個(gè)信息系統(tǒng)的統(tǒng)一安全策略的實(shí)施，可以進(jìn)一步加因計(jì)算機(jī)的安全防護(hù)。另外，清晰規(guī)范的計(jì)算機(jī)管理制度與責(zé)任追究制度也是計(jì)算機(jī)安全防護(hù)的有力保證，有句話叫做三分技術(shù)，七分管理，就是這個(gè)意思。從窄義的計(jì)算機(jī)安全防護(hù)加固角度看（估計(jì)也是你的需求），看到這里就可以了，下面的是從廣義的計(jì)算機(jī)安全防護(hù)上去闡述的，你可以參考一下。

3、網(wǎng)絡(luò)層次安全，包括內(nèi)網(wǎng)安全與外網(wǎng)安全，一般建議內(nèi)久外網(wǎng)隔離以保證內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)安全性，其他的如網(wǎng)絡(luò)硬件與邏輯（VLAN，訪問控制）隔離、網(wǎng)絡(luò)訪問控制列表、網(wǎng)絡(luò)準(zhǔn)入、網(wǎng)絡(luò)審計(jì)等需要相應(yīng)的網(wǎng)絡(luò)軟硬件支撐才可完善，如網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，交換機(jī)的軟件支持等。

4、邊界安全，保證外界與內(nèi)網(wǎng)連通性的同時(shí)保證安全性，建議有個(gè)安全設(shè)備部署在邊界，最基礎(chǔ)的是防火墻設(shè)備，高級一些的有IPS、IDS（主要用于審計(jì)）、防病毒網(wǎng)關(guān)等。

分享題目：服務(wù)器的安全加固措施 服務(wù)器系統(tǒng)安全加固
標(biāo)題鏈接：http://jinyejixie.com/article4/dopcpoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設(shè)計(jì)公司、電子商務(wù)、做網(wǎng)站、企業(yè)建站、網(wǎng)站制作、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)