1、很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。2.10 使用NTFS格式分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。2.11 利用win的安全配置工具来配置策略 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:2.12 关闭不必要的服务 windows 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开
2、了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。建议将以下服务设为自启动:Eventlog ( required )NT LM Security Provider (required)Remote Procedure Call (RPC) (required)Workstation (leave service on: will be disabled later in the document)Protected Storage (required)Plug and Play( required )Sec
3、urity Accounts Manager( required )需要注意的是,服务设置不当可能导致系统不能进行正常操作。设置每台主机服务的时候,要针对具体的应用情况和网络情况进行有针对性的设置,不能直接按照推荐完全照做。上面建议只作为参考,并不能作为每一台主机的配置标准。2.13 关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务
4、的对照表可供参考。具体方法为:网上邻居属性本地连接internet 协议(tcp/ip)高级选项tcp/ip筛选属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。2.14 打开审核策略 开启安全审核是win最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:策略 设置 审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略
5、更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败 开启密码策略 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 2.15 开启帐户策略 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 2.16 不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:HKLMSoftwareMicrosoftWindows NTCurrent
6、VersionWinlogonDontDisplayLastUserName 把 REG_SZ 的键值改成 1 . 2.17 禁止建立空连接 默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。通过修改注册表来禁止建立空连接:Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。2.18 关闭 DirectDraw 这是C2级安全标准对视频卡和内存的要求。修改注册表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI的Time
7、out(REG_DWORD)为 0 即可。2.19 关闭默认共享 Win系统安装好以后,系统会创建一些隐藏的共享,要禁止这些共享 ,打开 管理工具计算机管理共享文件夹共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。默认共享目录 路径和功能 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator 和Backup Operators组成员才可连接,Win2000 Server版本 Server Operatros组也可以连接到这些共享目录 ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远
8、都 指向Win2000的安装路径,比如 c:winnt FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。IPC$ 空连接。IPC$共享提供了登录到系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处 理登陆域请求时用到 PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机 2.20 禁止dump file的产生 dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料,然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板系
9、统属性启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。2.21 使用文件加密系统EFS Windows 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 2.22 锁住注册表 在windows,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考: 2.23 建议安装urlscan(或直接安装IISLockdown)Ur
10、lscan 属于IIS Lockdown Tool的一部分是个很强的安全工具,让站点管理员有能力关掉不需要的功能及禁止这些HTTP访问.把一些特定的HTTP访问禁止,Urlscan安全工具可以防止可能会造成伤害的访问,不让这些有害访问到达服务器端.IISLockdown 可执行许多步骤来帮助加强 Web 服务器的安全。这些步骤包括:锁定文件 禁用服务和组件 安装 Urlscan删除不需要的 Internet 服务器应用程序编程接口 (ISAPI) DLL 脚本映射 删除不需要的目录 更改 ACL 您可以使用 IIS Lockdown 来加强许多类型的 IIS 服务器角色的安全。对于各服务器,您
11、应挑选可满足您 Web 服务器需要的限制性最高的角色。2.24 关闭RPC DCOM组件Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行程序无缝的在远程系统上执行代码。协议本身源自OSF RPC协议,但增加了Microsoft特定的扩展。DCOM(the Distributed Component Object Model)扩展COM,以支持不同计算机之间的对象间通信,这些计算机可以是位于局域网,广域网,甚至是互连网。 DCOM规定了网络上组件之间的通信协定,因此DCOM可以说是组件之
12、间的TCP/IP协议。DCOM组件可以远程执行系统命令,并且存在多个已知的和未知的缓冲区溢出漏洞。关闭方法:依次打开 管理工具、组件服务,展开组件服务中的计算机,右键点击其中的我的电脑中的属性,取消默认属性中的“在此计算机上启用分布式com”。TOMCAT系统安全加固1. Tomcat安全配置1.1. 基本安全配置首先,新建一个帐户1. 用ITOMCAT_计算机名建立一个普通用户2. 为其设置一个密码3. 保证密码永不过期(Password Never Expires)被选中修改Tomcat安装文件夹的访问权限1. 选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomca
13、t安装文件夹。2. 为用户赋予读、写、执行的访问权限。3. 为用户赋予对WebApps文件夹的只读访问权限。4. 如果某些Web应用程序需要写访问权限,单独为其授予对那个文件夹的写访问权限。当你需要Tomcat作为系统服务运行时,采取以下步骤:1. 到控制面板,选择管理工具,然后选择服务。2. 找到Tomcat:比如Apache Tomcat.exe等等,打开其属性3. 选择其登录(Log)标签。4. 选择以.登录(Log ON Using)选项。5. 键入新建的用户作为用户名。6. 输入密码。7. 重启机器。1.2. 多重服务器的安全防护如需要apache httpd保护web-inf或me
14、ta-inf文件,可以请在httpd.conf 中加入下列的内容:AllowOverride Nonedeny from all/LocationMatch/META-INF/你也可以把Tomcat配置为将所有对.htaccess的请求都送至错误网页,在Tomcat 的一般安装中,请将下列的servlet-mapping 加到在$CATALINA_HOME/conf/Web.xml 文件的servlet-mapping 项目后面:servlet-mappingservlet-nameinvokerurl-pattern*.htaccess/servlet-mapping这会将所有Web应用程序
15、中对.htaccess 的请求映射到invoker servlet,由于无法加载名为invoker 的servlet 类,因此会产生“HTTP 404: Not Found”的错误网页。从技术层面讲,这种形式并不好,因为如果Tomcat可以找到并加载所请求名称的类(.htaccess),它便可能执行该类而非输出消息错误消息1.3. 配置服务器默认端口1. tomcat安装目标下的/conf目录下2. 编辑server.xml文件3. 修改port 8080为你需要端口号,如80.1.4. 关闭服务器端口3. 修改Server port=8006 shutdown=venus,这样就只有在tel
16、net到8006,并且输入才能够关闭Tomcat1.5. 默认错误网页设置1、将附件的index.htm文件拷贝至webappsROOT目录内,删除或改名原来的index.jsp文件。2、用记事本打开confweb.xml文件,在文件的倒数第二行(一行之前)加入以下内容:error-pageerror-code404location/error_404.htm/error-page1.6. 配置支持SSL配置支持SSL的方法(分别以TEST,TestAdmin两实际访问对象举例)一、 配置tomcat支持SSL方法1. 生成SSL需要用到的keypair。一般在%java_home%/bin下
17、有一个keytool,在命令行窗口,转移到该目录下,运行:keytool -genkey -keyalg RSA在keytool运行时,会询问两次密码,密码是自己设的(例:123456),要记住,随后会用到。最后的那个密码输回车(代表与第一次输的密码相同),中间会问一些国家啊什么的,随便乱填好了。生成的文件叫“.keystore”,可以在-genkey时指定存放该文件路径、或名称等(见该命令帮助)。为了使用方便,本文将其放在C盘根目录下。2. 修改tomcat的conf目录下的server.xml文件去掉有关ssl的那个connector的注释符号注意,它里面默认没有指定keystorefil
18、e等,为了避免路径错误,建议在server.xml中显式地指定keystorePass与keystoreFile,设好后如下:Connector port=8443 maxThreads=150 minSpareThreads=25 maxSpareThreads=75enableLookups=false disableUploadTimeout=trueacceptCount=100 debug=0 scheme=https secure=clientAuth= sslProtocol=TLS keystoreFile=C:.keystore keystorePass=123456/注意:
19、即使是在WINDOWS系统上,server.xml中的大小写也是敏感的。红色斜体部分请根据实际情况填写。3. 重启tomcat二、 配置JAVA环境支持SSL1. 拷贝文件 将Program FilesJavajdk1.5.0_09jrelib 下的 jsse.jar 拷贝到 jdk1.5.0_09jrelibext 下。2. 生成证书文件 访问站点IE,如果用户管理模块要配置为https登录,即访问用户管理网页的地址(比如TestAdmin),获取证书,单击查看证书在弹出的对话框中选择详细信息,然后再单击拷贝文件,根据提供的向导生成待访问网页的证书文件: 将生成的文件直接保存在javajdk
20、1.5.0_09jrelibsecurity目录下,文件名可任意,以容易识别为准:3. 用keytool工具把刚才导出的证书倒入本地keystore: 命令行到jdk1.5.0_09jrelibsecurity下,执行以下命令:keytool -import -noprompt -keystore cacerts -storepass changeit -alias TestAdminHttps -其中TestAdminHttps为当前证书在keystore中的唯一标识符,又称别名 ,可随意取名,只要不与已经存在的重复,以容易识别为准。TestAdminHttps.cer为刚才保存的证书文件名
21、。 如果刚才的证书需要重新导入,可通过以下命令先删除导入的证书:keytool -delete -keystore cacerts -storepass changeit -alias 别名 -file 证书文件(*.cer)4. 重启tomcat1一共需要导入两个证书,分别对应TestAdmin和TEST,步骤完全相同,只是在做操作(2)时访问的页面不同:TestAdmin访问用户管理网页的地址(例如: TestAdmin)TEST访问TEST网页的地址(例如: TEST)2配置前请先确保环境变量设置正确了,需要在环境变量中设置JAVA_HOME,并加入PATH。MS SQL系统安全加固2.
22、 安装最新安全补丁2.1. 安装操作系统提供商发布的最新的安全补丁1) 最新补丁下载地址是:2) 安装补丁详细操作请参照其中的readme文件。3. 网络和系统服务3.1. 检查系统文件是装置在NTFS分区看SQLSERVER安装盘符的属性3.2. 默认用户状态及口令更改情况查看用户状态运行SQL查询分析器,执行(sysxlogins)select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户。按F5更改帐户口令运行SQL查询分析器,执行Usemasterexecsp_p
23、asswordold_password,new_password,accounname按F53.3. 停用不必要的存储过程停用不必要的存储过程,可能会造成企业管理器一些功能特性的丢失。Xp_cmdshellSp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStopXp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regremovemultistring注意:这里列出xp_regr
24、ead/xp_regwrite的移除会影响一些主要功能包括日志和SP的安装p_sdidebugxp_availablemediaxp_cmdshellxp_deletemailxp_dirtreexp_dropwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_fixeddrivesxp_getxp_getnetnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtas
25、kxp_msverxp_perfendxp_perfmonitorxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp_snmp_getstatexp_snmp_raisetrapxp_sprintfxp_sqlinventoryxp_sqlregisterxp_sqltracexp_sscanfxp_startmailxp_stopmailxp_subdirsxp_unc_to_drive也可以通过安装相应的补丁消除取一些存储过程带来的隐患。3.4. 错误日志管理错误日志存储在:MicrosoftSQLServer.logerrorlog中3.5. 拒绝来自1434端口的探测通过操作系统的IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏SQLServer。3.6. 对网络连接进行IP限制使用操作系统自己的IPSec实现IP数据包的安全性。对IP连接进行限制,只保证自己的IP能够访问,同时也拒绝其他IP进行的端口连接。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1