服务器安全策略SOP.doc

1、服务器安全策略SOP版本: V1.0 华拓数码科技有限公司 2016.02.22目 录1安装 Win 200x 安全概览.2 1.1硬盘分区的文件系统选择.2 1.2组件的定制.2 1.3接入网络时间.2 1.4账户安全管理.2 1.5安全审核.2 1.6卸载无用的组件模块.22基本系统设置.3 2.1安装补丁.3 2.2分区内容规划.3 2.3协议管理.3 2.4关闭所有以下不需要的服务.3 2.5删除 OS/2 和 POSIX 子系统.4 2.6帐号和密码策略.4 2.7设置文件和目录权限.4 2.8注册表一些条目的修改.5 2.9启用TCP/IP过滤.5 2.10移动部分重要文件并加访问

2、控制.5 2.11下载Hisecweb.inf安全模板来配置系统.6 2.12 服务器上其他工具程序的替代.6 2.13设置陷阱脚本.6 2.14取消部分危险文件扩展名.63 IIS 安全设置.6 3.1关闭并删除默认站点.6 3.2建立自己的站点，与系统不在一个分区.6 3.3删除IIS的部分目录.6 3.4删除不必要的IIS映射和扩展.7 3.5禁用父路径.7 3.6在虚拟目录上设置访问控制权限.7 3.7启用日志记录.8 3.8备份IIS配置.8 3.9修改IIS标志.84 数据及备份管理.94.1备份.94.2设置文件共享权限.94.3防止文件名欺骗.94.4 Access数据库的安全

3、概要.94.5 MSSQL 注入攻击的防范.115其他辅助安全措施.116简单设置防御小流量DDOS攻击.127日常安全检查.151安装 Win 200x 安全概览1.1硬盘分区的文件系统选择在安装Win 200x时，如条件许可，应至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置，使其位置不在系统分区。对提供服务的机器，可按如下设置分区: 分区1：系统分区，安装系统和重要日志文件。分区2：提供给IIS使用。分区3：提供给FTP使用。分区4：放置其他一些资料文件。（以上为示例，可灵活把握）1.2组件

4、的定制不要按Win 200x的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。典型Web服务器需要的最小组件是：公用文件、Internet 服务管理器、WWW服务器。1.3接入网络时间在安装完成Win 200x操作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。1.4账户安全管理1）

5、账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。2）停用Guest账号，并给Guest 加一个复杂的密码。3）把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。 4）不让系统显示上次登录的用户名，具体操作如下： 修改注册表“HKLMSoftwareMicrosoft WindowsNT Current VersionWinlogonDont Display Last User Name”的键值，把REG_SZ 的键值改成1。1.5安全审核在“管理工具远程控制服务配置连接”处，右键点击“RPD-TCP”连接

6、，选择“属性”，在其窗口选中“权限”，点击右下角的“高级”，选择“审核”，增加一个“everyone”组，审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具日记查看安全日记”可看到该审核记录。1.6卸载无用的组件模块将Winntinf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。2基本系统设置2.1安装补丁安装Service Pack 和最新的hotfix；安装SQL和IIS系列补丁。2.2分区内容规划1）操作系统、Web主目录、日志分别安装在不同的分区。2）关闭任何分区的自动运行特性：可以使用 Tw

7、eakUI 等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。2.3协议管理卸载不需要的协议，比如IPX/SPX, NetBIOS；在连接属性对话框的TCP)/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。2.4关闭所有以下不需要的服务以下仅供参考，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的依赖关系，设置不当可能导致某些功能的异常，甚至服务器不能工作！建议每次只设置两三个项目，重启测试无误后再设置其他项目！* Alerter (disable) * ClipBook Server (disable)* Compute

8、r Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all har

9、dware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)*Telephone Service (disable)在必要时禁止如下服务：* SNMP service (optional)* SNMP trap (optiona

10、l)* UPS (optional设置如下服务为自动启动：* Eventlog ( required )* NT LM Security Provider (required)* RPC service (required)* WWW (required)* Workstation (leave service on: will be disabled later in the document)* MSDTC (required)* Protected Storage (required)2.5删除 OS/2 和 POSIX 子系统:删除如下目录的任何键：HKEY_LOCAL_MACHINE

11、SOFTWARE MicrosoftOS/2 Subsystem for NT删除如下的键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironmentOs2LibPath删除如下的键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptionalHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosixHKEY

12、_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2删除如下目录：c:winntsystem32os22.6帐号和密码策略1）保证禁止guest帐号2）将administrator改名为比较难猜的帐号3）密码唯一性：记录上次的 6 个密码4） 最短密码期限：25） 密码最长期限：426） 最短密码长度：87） 密码复杂化(passfilt.dll)：启用8） 用户必须登录方能更改密码：启用9） 帐号失败登录锁定的门限：610）锁定后重新启用的时间间隔：720分钟11）本地安全策略：设置“本地安全策略本地

13、策略选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。在安全选项中，不显示上次登录用户名、重命名管理员账号名称（某些情况下可能导致个别程序运行异常！）；在用户权力指派中，限制更改系统时间、关闭系统的权力仅管理员。2.7设置文件和目录权限将C:winnt（C:windows）, C:winntconfig（C:windowsconfig）, C:winntsystem32（C:windowssystem32）, C:winntsystem（C:windowssystem）等目录的访问权限做限制，限制everyone的写权限，限制users组的读写

14、权限；将各分区的根目录的everyone从权限列表中删除，然后分别添加Administrators、PowerUsers、Users、IUSR_*以不同的权限。不要给Guests任何权限。运行Sfc /enable 启动文件保护机制。2.8注册表一些条目的修改1） 去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中ShutdownWithoutLogon REG_SZ 值设为02）去除logon信息的cashing功能将HKEY_LOCAL_MACHINESOF

15、TWAREMicrosoftWindows NTCurrent VersionWinlogon中CachedLogonsCount REG_SZ 值设为03）隐藏上次登陆的用户名将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中DontDisplayLastUserName REG_SZ 值设为14）限制LSA匿名访问将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中RestricAnonymous REG_DWORD 值设为15）去除所有网络共享将

16、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters中AutoShareServer REG_DWORD 值设为0再创建一个AutoShareWks双字节值，设置为0（注意大小写）。6）禁止建立空连接默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成17）修改终端服务的默认端口终端服务的默认端口为3389，可考虑修改为别的

17、端口。修改方法为： 打开注册表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations”处找到类似RDP-TCP的子键，修改PortNumber值。2.9启用TCP/IP过滤只允许TCP端口80和443（如果使用SSL）以及其他可能要用的端口；不允许UDP端口；只允许IP Protocol 6 (TCP)。2.10移动部分重要文件并加访问控制创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录（注意同时处理System32Dllcache目录中的同名文件！）。但有时会因系统文件保护功能

18、被启用而无法实现顺利删除。变通办法是选中这些文件，然后禁止任何人访问。为稳妥起见，应当事先将这些文件存放到其他比较安全的位置供管理员自己使用。xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe, secfixup.e

19、xe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe, , netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe2.11下载Hisecweb.inf安全模板来配置系统Http:/该模板配置基本的 Windows 2000 系统安全策略。将该模板复制到 %windir%securitytemplates 目录。打开“安全模板”工具，查看这些设置。打开“安全配置和分析”工具，然后装载该模板。右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机

20、”。 等候操作完成。查看结果，如有必要就更新该模板。右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。2.12服务器上其他工具程序的替代浏览器建议使用FireFox，以免最新的针对IE的漏洞造成的危害。平时尽量不在服务器上上网。2.13设置陷阱脚本既要防范被人启用Telnet服务，又要考虑万一被入侵后的对策。除Telnet服务外，对System32目录下的Telsrv.exe等文件设置访问权限；关闭相关服务；然后再编辑System32login.cmd文件，在其中添加脚本，目的是导致对方登录后出现异常，无法正常连接和工作。脚本的内容可以自由发挥，以阻断对方操作为准。2.

21、14取消部分危险文件扩展名如reg VBS VBE JS等。3 IIS安全设置3.1关闭并删除默认站点1）默认FTP站点 2）默认Web站点3）管理Web站点3.2建立自己的站点，与系统不在一个分区如：D:wwwroot3建立 E:Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）3.3删除IIS的部分目录1）IISHelp C:winnthelpiishelp 2）IISAdmin C:system32inetsrviisadmin 3）MSADC C:Program FilesCom

22、mon FilesSystemmsadc 4）删除 C:inetpub 3.4删除不必要的IIS映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS接收到这些类型的文件请求时，该调用由DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下： 打开 Internet 服务管理器： 选择计算机名，点鼠标右键，选择属性：然后选择编辑然后选择主目录，点击配置 选择扩展名 .htw, .htr,.idc,.ida,.idq和，点击删除如果不使用server side include，则删除.shtm .stm 和 .shtml3.5禁用父路径 （

23、有可能导致某些使用相对路径的子页面不能打开）“父路径”选项允许您在对诸如 MapPath 函数调用中使用“.”。在默认情况下，该选项 处于启用状态，应该禁用它。禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。 单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。3.6在虚拟目录上设置访问控制权限主页使用的文件按照文件类型应使用不同的访问控制列表：CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators（完全控制）System（完全控制）脚本文件 (.asp) Ev

24、eryone (X) Administrators（完全控制）System（完全控制）include文件 (.inc, .shtm, .shtml) Everyone (X) Administrators（完全控制）System（完全控制）静态内容 (.txt, .gif, .jpg, .html) Everyone (R) Administrators（完全控制）System（完全控制）在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。 例如，目录结构可为以下形式：D:wwwrootmy

25、serverstatic (.html) D:wwwrootmyserverinclude (.inc) D:wwwrootmyserver script (.asp) D:wwwrootmyserver executable (.dll) D:wwwrootmyserver images (.gif, .jpeg) 3.7启用日志记录1）日志的审核配置确定服务器是否被攻击时，日志记录是极其重要的。应使用 W3C 扩展日志记录格式，步骤如下： 打开 Internet 服务管理器： 右键单击站点，然后从上下文菜单中选择“属性”。单击“Web 站点”选项卡。 选中“启用日志记录”复选框。从“活动日

26、志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性”。单击“扩展属性”选项卡，然后设置以下属性：* 客户 IP 地址 * 用户名* 方法* URI资源* HTTP状态* Win32状态* 用户代理* 服务器 IP 地址 * 服务器端口2）日志的安全管理 启用操作系统组策略中的审核功能，对关键事件进行审核记录； 启用IIS、FTP服务器等服务本身的日志功能；并对所有日志存放的默认位置进行更改同时作好文件夹权限设置！ 安装Portreport对所有网络访问操作进行监视（可选，可能增大服务器负荷）； 安装自动备份工具，定时对上述日志进行异地备份，起码是在其他分区的隐蔽位置进行备份，并对备

27、份目录设置好权限（仅管理员可访问）。 准备一款日志分析工具，以便随时可用。 要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。3.8备份IIS配置可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复。3.9修改IIS标志1）使用工具程序修改IIS标志修改IIS标志Banner的方法：下载一个修改IIS Banner显示信息的软件IIS/PWS Banner Edit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止（最好是在服务中将World Wide Web Publishing停止）,并要将DLLcache下的文件全部清

28、除。否则你会发现即使修改了一点改变也没有。IIS/PWS Banner Edit其实是个傻瓜级的软件，我们只要直接在New Banner中输入想要的Banner信息，再点击Save to file就修改成功了。用IIS/PWS Banner Edit简单地修改，对菜鸟黑客来说他可能已被假的信息迷惑了，可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的Banner信息，这样才能做到万无一失。高版本Windows的文件路径为 C:WINDOWSsystem32inetsrvw3svc.dll,可以直接用Ultraedit打开W3SVC.DLL，然后以“Server：”为关键

29、字查找。利用编辑器将原来的内容替换成我们想要的信息，比如改成Apache的显示信息，这样入侵者就无法判断我们的主机类型，也就无从选择溢出工具了。2）修改IIS的默认出错提示信息等。4数据及备份管理4.1备份1）要经常把重要数据备份到专用的备份服务器，备份完毕后，可将备份服务器与网络隔离。 可采用自动的备份工具进行，要求支持FTP方式备份。2）使用系统的备份功能对安装好的系统进行阶段性备份。3）使用WinRescue等工具对注册表进行阶段性备份。4）使用Ghost对全面配置完毕的系统分区进行映像备份，并存放到隐藏的分区中。4.2设置文件共享权限1）限制共享权限设置共享文件时，要注意把共享文件的权

30、限从“everyone”组改成“授权用户”，包括打印共享。2）关闭默认共享Win 200x安装好以后，系统会创建一些隐藏的共享，在cmd下可用net share命令查看它们。要禁止这些共享。操作方法是：打开“管理工具计算机管理共享文件夹共享”，在相应的共享文件夹上按右键，点“停止共享”即可。不当过机器重新启动后，这些共享又会重新开启。 4.3防止文件名欺骗设置以下选项可防止文件名欺骗，如防止以.txt或.exe为后缀的恶意文件被显示为.txt文件，从而使人大意打开该文件: 双击“我的电脑工具文件夹选项查看”，选择“显示所有文件和文件夹”属性设置，去掉“隐藏已知文件类型扩展名”属性设置。4.4

31、Access数据库的安全概要1）新生成的数据库在保证干净的前提下，主动在尾部合并一行ASP代码，内容一般可以为重定向，以免费别人通过论坛发帖等方式嵌入有害代码后被得到执行；2）对MDB文件创建一个无效的映射，以便在IE中下载时出错；3）修改出错页面，建议将出错页面设计为正常被曝库后的内容，但给一个数据库的虚假地址（最好存在相应的虚假数据库文件，比如一个改名后的病毒等）；4）在防火墙中对MDB类型的扩展名进行过滤；5）删除或禁用网站的后台数据库备份功能，而用本地安装的专门自动备份程序进行自动增量备份。6）ASP 通用防止注入的程序：功能简单说明：1.自动获取页面所有参数，无需手工定义参数名。2.提供三种错误处理方式供选择。(1).提示信息。(2).转向页面。