應(yīng)用服務(wù)器安全加固方案 應(yīng)用服務(wù)器安全加固方案設(shè)計(jì)

Windows 的服務(wù)器安全加固方案

因?yàn)镮IS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個(gè)安全的Web服務(wù)器，是很多人關(guān)心的話題。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows 2003的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的`第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對(duì)服務(wù)器進(jìn)行安全加固，以免遭到黑客的攻擊，造成嚴(yán)重的后果。

創(chuàng)新互聯(lián)公司自成立以來(lái)，一直致力于為企業(yè)提供從網(wǎng)站策劃、網(wǎng)站設(shè)計(jì)、做網(wǎng)站、網(wǎng)站設(shè)計(jì)、電子商務(wù)、網(wǎng)站推廣、網(wǎng)站優(yōu)化到為企業(yè)提供個(gè)性化軟件開(kāi)發(fā)等基于互聯(lián)網(wǎng)的全面整合營(yíng)銷服務(wù)。公司擁有豐富的網(wǎng)站建設(shè)和互聯(lián)網(wǎng)應(yīng)用系統(tǒng)開(kāi)發(fā)管理經(jīng)驗(yàn)、成熟的應(yīng)用系統(tǒng)解決方案、優(yōu)秀的網(wǎng)站開(kāi)發(fā)工程師團(tuán)隊(duì)及專業(yè)的網(wǎng)站設(shè)計(jì)師團(tuán)隊(duì)。

我們通過(guò)以下幾個(gè)方面對(duì)您的系統(tǒng)進(jìn)行安全加固：

1. 系統(tǒng)的安全加固：我們通過(guò)配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問(wèn)控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

系統(tǒng)的安全加固：

1.目錄權(quán)限的配置：

1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對(duì)其下的子目錄作單獨(dú)的目錄權(quán)限，如果WEB站點(diǎn)目錄，你要為其目錄權(quán)限分配一個(gè)與之對(duì)應(yīng)的匿名訪問(wèn)帳號(hào)并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅(jiān)固，可以分配只讀權(quán)限并對(duì)特殊的目錄作可寫權(quán)限。

1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個(gè)隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個(gè)配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

1.5 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過(guò)還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號(hào)拒絕訪問(wèn)。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫。

2.組策略配置:

在用戶權(quán)利指派下，從通過(guò)網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)中刪除Power Users和Backup Operators;

啟用不允許匿名訪問(wèn)SAM帳號(hào)和共享;

啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設(shè)置:

開(kāi)始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對(duì)象訪問(wèn)失敗

審核過(guò)程跟蹤 無(wú)審核

審核目錄服務(wù)訪問(wèn)失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

注：在設(shè)置審核登陸事件時(shí)選擇記失敗，這樣在事件查看器里的安全日志就會(huì)記錄登陸失敗的信息。

什么是服務(wù)器加固，服務(wù)器有哪些加固方案？

服務(wù)器加固是給服務(wù)器上一把鎖，業(yè)務(wù)系統(tǒng)的服務(wù)器都很脆弱，即使裝了殺毒軟件，部署了防火墻，并定時(shí)打補(bǔ)丁，但仍然會(huì)有各種風(fēng)險(xiǎn)，各種中毒，各種被入侵，核心數(shù)據(jù)還是會(huì)被偷窺、被破壞、被篡改、被偷走。所以要對(duì)服務(wù)器加固。

推薦使用MCK云私鑰，服務(wù)器安全加固系統(tǒng)，重新定義操作系統(tǒng)各模塊的功能，構(gòu)建獨(dú)立的身份鑒別體系，在當(dāng)殺毒軟件、防火墻都不起作用時(shí)，仍然能頑強(qiáng)的對(duì)核心數(shù)據(jù)進(jìn)行保護(hù)，防止木馬病毒入侵，防止核心數(shù)據(jù)被偷窺、被破壞、被篡改、被偷走！

什么是服務(wù)器加固？服務(wù)器有哪些加固方案？

我們常說(shuō)的服務(wù)器加固，其實(shí)是指服務(wù)器安全加固。

一臺(tái)服務(wù)器裝好系統(tǒng)后，加固策略是少不掉的。雖然沒(méi)有誰(shuí)強(qiáng)制要求對(duì)服務(wù)器進(jìn)行加固操作，但是不加固的服務(wù)器受到攻擊的風(fēng)險(xiǎn)會(huì)更大。

服務(wù)器加固方案很多，主要有以下幾個(gè)大點(diǎn)：

1、系統(tǒng)帳號(hào)安全

主要是保障服務(wù)器帳號(hào)安全的，防止密碼被盜，主要措施有：

密碼復(fù)雜度

禁止超管用戶直接登錄

跳板機(jī)機(jī)制

密碼最大錯(cuò)誤次數(shù)，一旦超過(guò)則禁止當(dāng)前IP訪問(wèn)服務(wù)器

密碼有效期管理，定期由系統(tǒng)強(qiáng)制要求用戶更新密碼

密鑰登錄

2、目錄及文件權(quán)限

很多木馬之所以能被上傳和執(zhí)行，文件權(quán)限過(guò)大也是很重要的因素。我們嚴(yán)格控制了目錄及文件權(quán)限，就能最大程度限制涉及文件類的操作，主要是針對(duì)不同目錄和文件的讀（R）、寫（W）、執(zhí)行（X）權(quán)限。

3、防火墻規(guī)則

防火墻規(guī)則可以控制開(kāi)放哪些端口的訪問(wèn)權(quán)限，還可以控制哪些IP可以訪問(wèn)服務(wù)器等。

4、系統(tǒng)和程序漏洞

不管是Windows還是Linux系統(tǒng)，或多或少都存在漏洞，對(duì)于危害較大的漏洞要及時(shí)修復(fù)。

另外，只要是程序都有可能存在漏洞，特別是遇到一些不靠譜的程序員，漏洞更多。

5、關(guān)閉不必要的系統(tǒng)服務(wù)

禁止不必要的系統(tǒng)服務(wù)，一方面節(jié)省服務(wù)器資源，另一方面減少可能的漏洞利用或者提權(quán)風(fēng)險(xiǎn)。

6、日志記錄

能記錄用戶進(jìn)行的操作，以便發(fā)現(xiàn)問(wèn)題時(shí)溯源，找到是誰(shuí)操作的。

7、備份還原機(jī)制

以防萬(wàn)一，很有必要。

綜上，服務(wù)器加固涉及的工作很多很繁瑣，以上就是我的經(jīng)驗(yàn)之談。如果大家有其它見(jiàn)解，歡迎在下方評(píng)論區(qū)留言交流哦~

網(wǎng)站題目：應(yīng)用服務(wù)器安全加固方案 應(yīng)用服務(wù)器安全加固方案設(shè)計(jì)
本文來(lái)源：http://muchs.cn/article0/ddiegio.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、自適應(yīng)網(wǎng)站、網(wǎng)站制作、響應(yīng)式網(wǎng)站、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)