系統與服務器安全管理

Windows 2000 Server、Freebsd是兩種常見的服務器。第一種是微軟的產品，方便好用，但是，你必須要不斷的patch它。Freebsd是一種優雅的操作系統，它簡潔的內核和優異的性能讓人感動。關于這幾種操作系統的安全，每種都可以寫一本書。我不會在這里對它們進行詳細描述，只講一些系統初始化安全配置。

網站建設哪家好，找創新互聯建站！專注于網頁設計、網站建設、微信開發、重慶小程序開發、集團企業網站建設等服務項目。為回饋新老客戶創新互聯還提供了青海免費建站歡迎大家使用！

Windows2000 Server的初始安全配置

Windows的服務器在運行時，都會打開一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關閉它們會影響到Windows的功能。然而，正是因為這些端口的存在，給Windows服務器帶來諸多的安全風險。遠程攻擊者可以利用這些開放端口來廣泛的收集目標主機信息，包括操作系統版本、域SID、域用戶名、主機SID、主機用戶名、帳號信息、網絡共享信息、網絡時間信息、Netbios名字、網絡接口信息等，并可用來枚舉帳號和口令。今年8月份和9月份，微軟先后發布了兩個基于135端口的RPCDCOM漏洞的安全公告，分別是MS03-026和 MS03-039，該漏洞風險級別高，攻擊者可以利用它來獲取系統權限。而類似于這樣的漏洞在微軟的操作系統中經常存在。

解決這類問題的通用方法是打補丁，微軟有保持用戶補丁更新的良好習慣，并且它的Windows2000SP4安裝后可通過WindowsUpdate來自動升級系統補丁。另外，在防火墻上明確屏蔽來自因特網的對135-139和445、593端口的訪問也是明智之舉。

Microsoft的SQLServer數據庫服務也容易被攻擊，今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重，因此，如果安裝了微軟的'SQLServer，有必要做這些事：1）更新數據庫補丁；2）更改數據庫的默認服務端口（1433）；3）在防火墻上屏蔽數據庫服務端口；4）保證 sa口令非空。

另外，在Windows服務器上安裝殺毒軟件是絕對必須的，并且要經常更新病毒庫，定期運行殺毒軟件查殺病毒。

不要運行不必要的服務，尤其是IIS，如果不需要它，就根本不要安裝。IIS歷來存在眾多問題，有幾點在配置時值得注意：1）操作系統補丁版本不得低于SP3;2）不要在默認路徑運行WEB（默認是c:inetpubwwwroot）；3）以下ISAPI應用程序擴展可被刪掉：。 ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在設計之初就考慮了安全問題，在初次安裝完成后，它基本只打開了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也應該把它關閉（因為歷史上Sendmail存在諸多安全問題）。方式是編輯/etc/rc.conf文件，改動和增加如下四句：

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

這樣就禁止了Sendmail的功能，除非你的服務器處于一個安全的內網（例如在防火墻之后并且網段中無其他公司主機），否則不要打開Sendmail。

禁止網絡日志：在/etc/rc.conf中保證有如下行：

syslogd_flags="-ss"

這樣做禁止了來自遠程主機的日志記錄并關閉514端口，但仍允許記錄本機日志。

禁止NFS服務：在/etc/rc.conf中有如下幾行：

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情況下很需要NFS服務，例如用戶上傳圖片的目錄通常需要共享出來供幾臺WEB服務器使用，就要用到NFS。同理，要打開NFS，必須保證你的服務器處于安全的內網，如果NFS服務器可以被其他人訪問到，那么系統存在較大風險。保證/etc/inetd.conf文件中所有服務都被注銷，跟其他系統不同，不要由inetd運行任何服務。將如下語句加進/etc/rc.conf：

inetd_enable="NO"

所有對/etc/rc.conf文件的修改執行完后都應重啟系統。

如果要運行Apache，請編輯httpd.conf文件，修改如下選項以增進安全或性能：

1） Timeout 300Timeout 120

2） MaxKeepAliveRequests 256

3） ServerSignature onServerSignature off

4） Options IndexesFollowSymLinks行把indexes刪掉（目錄的Options不要帶index選項）

5） 將Apache運行的用戶和組改為nobody

6） MaxClients 150——MaxClients 1500

（如果要使用Apache，內核一定要重新編譯，否則通不過Apache的壓力測試，關于如何配置和管理WEB服務器請見我的另一篇文章）

如果要運行FTP服務，請安裝proftpd，它比較安全。在任何服務器上，都不要打開匿名FTP。

Windows 2000 Server和Freebsd兩種服務器的安全配置就向大家介紹完了，希望大家已經掌握。

誰有比較詳細的網絡安全管理程序文件？

玖玖泰豐，十年驗廠老品牌，助您一次性通過驗廠！以下資料由深圳玖玖泰豐企業管理顧問有限公司提供，

一、 目的

本程序的目的是為了加強公司內的網絡安全的管理。

二、 范圍

本程序主要適用于公司內的網絡使用人員。

三、 工作程序

1. 公司通過使用防火墻、員工密碼以及防病毒軟件，保護其 IT 系統免被非法使用和進入。

? 公司必須使用防病毒軟件和防火墻保護其 IT 系統

? 公司必須要求使用者輸入登錄名/密碼后，方可進入 IT 系統。

? 其它安全措施：

o 鎖上存放主服務器的房間：服務器和設備的實際保護。應將其存放在上鎖的房間內。

o 128 位加密：針對Internet 通信和交易的最高保護級別。加密時會以電子方式將信息打亂，這樣在信息傳送過程中，外部人員查看或修改信息的風險就會降低。

o 公鑰基礎架構 (PKI)：保護通過 Internet 發送的機密/秘密電子信息的方式。信息發送人持有私鑰，并可向信息接收人分發公鑰。接收人使用公鑰將信息解密。

o 虛擬專用網絡：此方法將所有網絡通信加密或打亂，提供網絡安全或保護隱私。

2. 公司定期將數據備份。

? 公司必須備份數據，確保即使主要 IT 系統癱瘓（出于病毒攻擊、工廠失火等原因），記錄也不會丟失。

? 數據可以不同方式備份，較為簡單的方式有軟盤或光盤，較復雜的方式有異地備份服務器。

? 計算機系統每日創建或更新的關鍵數據應每日備份。

? 所有軟件（不管是購買的還是自行開發的）都應至少進行一次完整備份以作出保護。

? 系統數據應至少每月備份一次。

? 所有應用程序數據應根據“三代備份原則”每周完整備份一次。

? 所有協議資料應根據“三代備份原則”每周完整備份一次。

? 應制定數據備份政策，確定數據備份歸檔的方式。要有條理并高效地備份資料，歸檔是必要的。每次備份數據，應將以下幾項內容歸檔：

a. 數據備份日期

b. 數據備份類型（增量備份、完整備份）

c. 資料的代數

d. 數據備份責任

e. 數據備份范圍（文件/目錄）

f. 儲存操作數據的數據媒體

g. 儲存備份數據的數據媒體

h. 數據備份硬件和軟件（帶版本號）

i. 數據備份參數（數據備份類型等）

j. 備份副本的儲存位置

? 每日備份應在辦公時間過后、計算機使用率較低的情況下進行。備份數據應儲存在磁帶備份驅動器中，因為其容量大、可以移動；也可將備份數據儲存在硬盤中。對于大型企業，強烈建議使用備份服務器和異地存儲。備份數據應存放在安全的異地位置。所有備份媒體應存放在安全可靠的地點。所有每周備份媒體應存放在防火保險箱內。所有軟件完整備份和每月備份媒體應存放在異地備份文件室。

3. 公司制定相應的程序，確保員工定期更改密碼。

? 所有可以使用計算機系統的員工必須至少每年更改密碼兩次。

? 程序示例：員工必須至少每半年更改密碼一次。

? 網絡管理員應負責通知計算機用戶更改密碼。網絡管理員應指定更改密碼的頻率和日期，服務器運行軟件將提醒員工進行更改。

? 對于未能在指定日期內更改密碼的員工，應鎖閉其對計算機網絡的使用，直至系統管理員解除鎖閉為止。

? 密碼應為字母和數字的組合，長度至少為六個字母和符號。不應采用“明顯”密碼，例如出生日期、城市名等。

? 為防止密碼有可能會被泄漏或破譯，員工應經常更改密碼。如果員工懷疑密碼已被泄漏，應立即使用新密碼。

4. 公司制定政策，決定哪些員工有權進入其 IT 系統。

? 公司必須制定書面程序，確定哪些員工有權進入其 IT 系統。

? 程序示例：僅允許以下部門員工進入 IT 系統：行政、薪酬、倉儲、訂單以及銷售部門。

? 公司根據員工的職責賦予其相應的權限。例如，只負責發薪的員工不能使用發票或訂單表格。

? 雇用新員工后，其直接主管必須確定該員工是否需要進入 IT 系統。如果確實需要，主管應為此員工申請使用權。主管應向 IT 經理遞交一份書面申請表格，注明員工的姓名及其需要使用的應用程序。

5．其他措施

? 公司制定書面的災后重建計劃，以恢復計算機網絡及其數據。

? IT 團隊應每年至少預演一次災后重建計劃。

? 災后重建計劃可以定義為計劃、制定并執行災后重建管理程序的持續過程，目的是在系統發生意外中斷的情況下確保重要的公司運作可以迅速有效地恢復。所有災后重建計劃必須包含以下元素：

o 關鍵應用程序評估

o 備份程序

o 重建程序

o 執行程序

o 測試程序

o 計劃維護

IT 災后重建計劃應為公司企業災后重建計劃的一部分。

o 公司委派一位高級管理人員領導 IT 災后重建小組。

o IT 災后重建小組應識別公司網絡架構的組件，以便制定并更新應急程序。

o IT 災后重建小組應對公司的 IT 系統進行風險評估分析并將其歸檔。

o IT 災后重建小組應評估并區分需要支持的關鍵和次要業務功能的優先次序。

o IT 災后重建小組應為所有關鍵和次要業務職能制定、維護并記錄書面策略性重建程序。

o IT 災后重建小組應確定、維護并分發可協助工廠災后重建的關鍵和次要業務功能人員名單。

o IT 災后重建小組應制定、維護并向所有 IT 員工和每個關鍵及次要業務功能的負責人分發書面的 IT 應急計劃培訓綱要。

o IT 災后重建小組應從各方面測試 IT 應急計劃 - 至少每年一次。這對應急計劃的成功至關重要。

o IT 災后重建小組應制定、維護并記錄有效的IT 應急計劃年度評估。

服務器如何保護數據安全

服務器安全這問題，很重要，之前服務器被黑，在網上搜索了一些服務器安全設置以及防黑的文章，對著文章，我一個一個的設置起來，費了好幾天的時間才設置完，原以為會防止服務器再次被黑，沒想到服務器竟然癱瘓了，網站都打不開了，無奈對服務器安全也是一竅不通，損失真的很大，數據庫都損壞了，我哪個后悔啊。娘個咪的。最后還是讓機房把系統重裝了。找了幾個做網站服務器方面的朋友，咨詢了關于服務器被黑的解決辦法，他們都建議我找專業做服務器安全的安全公司來給做安全維護，也一致的推薦了sinesafe，服務器被黑的問題，才得以解決。

一路的走來，才知道，服務器安全問題可不能小看了。經歷了才知道，服務器安全了給自己帶來的也是長遠的利益。 希望我的經歷能幫到樓主，幫助別人也是在幫助我自己。

下面是一些關于安全方面的建議！

建站一段時間后總能聽得到什么什么網站被掛馬，什么網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實，入侵不簡單，簡單的是你的網站的必要安全措施并未做好。

一：掛馬預防措施：

1、建議用戶通過ftp來上傳、維護網頁，盡量不安裝asp的上傳程序。

2、定期對網站進行安全的檢測，具體可以利用網上一些工具，如sinesafe網站掛馬檢測工具！

序，只要可以上傳文件的asp都要進行身份認證!

3、asp程序管理員的用戶名和密碼要有一定復雜性，不能過于簡單，還要注意定期更換。

4、到正規網站下載asp程序，下載后要對其數據庫名稱和存放路徑進行修改，數據庫文件名稱也要有一定復雜性。

5、要盡量保持程序是最新版本。

6、不要在網頁上加注后臺管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護后刪除后臺管理程序的登陸頁面，下次維護時再通過ftp上傳即可。

8、要時常備份數據庫等重要文件。

9、日常要多維護，并注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!

10、一旦發現被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、對asp上傳程序的調用一定要進行身份認證，并只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程

二：掛馬恢復措施：

1.修改帳號密碼

不管是商業或不是，初始密碼多半都是admin。因此你接到網站程序第一件事情就是“修改帳號密碼”。帳號

密碼就不要在使用以前你習慣的，換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用

SQL的話應該使用特別點的帳號密碼，不要在使用什么什么admin之類，否則很容易被入侵。

2.創建一個robots.txt

Robots能夠有效的防范利用搜索引擎竊取信息的駭客。

3.修改后臺文件

第一步：修改后臺里的驗證文件的名稱。

第二步：修改conn.asp，防止非法下載，也可對數據庫加密后在修改conn.asp。

第三步：修改ACESS數據庫名稱，越復雜越好，可以的話將數據所在目錄的換一下。

4.限制登陸后臺IP

此方法是最有效的，每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯，安全第一嘛。

5.自定義404頁面及自定義傳送ASP錯誤信息

404能夠讓駭客批量查找你的后臺一些重要文件及檢查網頁是否存在注入漏洞。

ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。

6.慎重選擇網站程序

注意一下網站程序是否本身存在漏洞，好壞你我心里該有把秤。

7.謹慎上傳漏洞

據悉，上傳漏洞往往是最簡單也是最嚴重的，能夠讓黑客或駭客們輕松控制你的網站。

可以禁止上傳或著限制上傳的文件類型。不懂的話可以找專業做網站安全的sinesafe公司。

8. cookie 保護

登陸時盡量不要去訪問其他站點，以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。

9.目錄權限

請管理員設置好一些重要的目錄權限，防止非正常的訪問。如不要給上傳目錄執行腳本權限及不要給非上傳目錄給于寫入權。

10.自我測試

如今在網上黑客工具一籮筐，不防找一些來測試下你的網站是否OK。

11.例行維護

a.定期備份數據。最好每日備份一次，下載了備份文件后應該及時刪除主機上的備份文件。

b.定期更改數據庫的名字及管理員帳密。

c.借WEB或FTP管理，查看所有目錄體積，最后修改時間以及文件數，檢查是文件是否有異常，以及查看是否有異常的賬號。

如何設置Windows服務器安全設置

如何設置Windows服務器安全設置

一、取消文件夾隱藏共享在默認狀態下，Windows 2000/XP會開啟所有分區的隱藏共享，從“控制面板/管理工具/計算機管理”窗口下選擇“系統工具/共享文件夾/共享”，就可以看到硬盤上的每個分區名后面都加了一個“$”。但是只要鍵入“計算機名或者IPC$”，系統就會詢問用戶名和密碼，遺憾的是，大多數個人用戶系統Administrator的密碼都為空，入侵者可以輕易看到C盤的內容，這就給網絡安全帶來了極大的隱患。

怎么來消除默認共享呢?方法很簡單，打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一個名為“AutoShareWKs”的雙字節值，并將其值設為“0”，然后重新啟動電腦，這樣共享就取消了。關閉“文件和打印共享”文件和打印共享應該是一個非常有用的功能，但在不需要它的時候，也是黑客入侵的很好的安全漏洞。所以在沒有必要“文件和打印共享”的情況下，我們可以將它關閉。用鼠標右擊“網絡鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對話框中的兩個復選框中的鉤去掉即可。二、禁止建立空連接打開注冊表編輯器，進入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，將DWORD值“RestrictAnonymous”的鍵值改為“1”即可。三、刪掉不必要的.協議對于服務器來說，只安裝TCP/IP協議就夠了。鼠標右擊“網絡鄰居”，選擇“屬性”，再鼠標右擊“本地連接”，選擇“屬性”，卸載不必要的協議。其中NETBIOS是很多安全缺陷的根源，對于不需要提供文件和打印共享的主機，還可以將綁定在TCP/IP協議的NETBIOS關閉，避免針對NETBIOS的攻擊。選擇“TCP/IP協議/屬性/高級”，進入“高級TCP/IP設置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關閉NETBIOS。四、禁用不必要的服務:Automatic Updates(自動更新下載)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(遠程修改注冊表)Server(文件共享)Task Scheduler(計劃任務)TCP/IP NetBIOS HelperThemes(桌面主題)Windows AudioWindows TimeWorkstation五、更換管理員帳戶

Administrator帳戶擁有最高的系統權限，一旦該帳戶被人利用，后果不堪設想。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼，所以我們要重新配置Administrator帳號。

首先是為Administrator帳戶設置一個強大復雜的密碼(個人建議至少12位)，然后我們重命名Administrator帳戶，再創建一個沒有管理員權限的Administrator帳戶欺騙入侵者。這樣一來，入侵者就很難搞清哪個帳戶真正擁有管理員權限，也就在一定程度上減少了危險性六、把Guest及其它不用的賬號禁用有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權限的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。七、防范木馬程序

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

● 在下載文件時先放到自己新建的文件夾里，再用殺毒軟件來檢測，起到提前預防的作用。

● 在“開始”→“程序”→“啟動”或“開始”→“程序”→“Startup”選項里看是否有不明的運行項目，如果有，刪除即可。

● 將注冊表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”為前綴的可疑程序全部刪除即可。八、如果開放了Web服務，還需要對IIS服務進行安全配置：

(1) 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。

(2) 刪除原默認安裝的Inetpub目錄。(或者更改文件名)

(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打開審核策略Windows默認安裝沒有打開任何安全審核，所以需要進入[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[審核策略]中打開相應的審核。系統提供了九類可以審核的事件，對于每一類都可以指明是審核成功事件、失敗事件，還是兩者都審核策略更改：成功或失敗登錄事件：成功和失敗對象訪問：失敗事件過程追蹤：根據需要選用目錄服務訪問：失敗事件特權使用：失敗事件系統事件：成功和失敗賬戶登錄事件：成功和失敗賬戶管理：成功和失敗十、安裝必要的安全軟件

我們還應在電腦中安裝并使用必要的防黑軟件，殺毒軟件和防火墻都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。當然我們也不應安裝一些沒必要的軟件,比如:QQ一些聊天工具,這樣盡可能給黑客提供少的后門.最后建議大家給自己的系統打上補丁，微軟那些沒完沒了的補丁還是很有用的。

當前名稱：服務器安全管理文檔 服務器安全設置在哪
鏈接URL：http://vcdvsql.cn/article24/ddeiije.html

成都網站建設公司_創新互聯，為您提供微信公眾號、搜索引擎優化、網站改版、ChatGPT、App設計、網站設計公司

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯