手把手教你如何加固你的服务器

摘要为提升效劳器平安性，减少信息资产的泄漏风险，我们需要对效劳器进行平安加固，从系统策略、应用程序、帐号密码等各方面进行加强，防止一些低级平安问题的出现。本文基于集团信息化平安规定，针对效劳器平安配置的方法进行详细描述。并提供了效劳器加固检查表模板，方便系统管理员对加固的步骤及结果进行检查。效劳器平安加固检查表注意：请先将如下工具包复制到本地：\\ufnas1\网络平安\效劳器平安工具包；对于操作熟练的管理员，可以按照如下表格进行加固：效劳器加固检查表效劳器IP：加固日期：加固人：效劳器用途：□应用□数据库□其他类型加固内容影响对策1效劳器加固更改系统管理员(Administrator)帐号及密码使用管理员帐号的效劳将会受到影响检查效劳及DTS看所有者是否为管理员2禁用guest用户使用guest将无法登陆3禁用远程桌面连接，并更改3389端口将无法使用mstsc进行访问使用DameWare连接4启用windows防火墙，翻开1433、80、6129、3500将无法PING通该机器，并且无法通过网络直接访问；应用没有没有翻开的端口的效劳将关闭检查IIS中的应用；通知应用管理员5将效劳器参加域需要重启。域管理员可以访问，并默认应用域平安策略，自动打补丁6安装平安卫士360，安装所有补丁需要重启7加固效劳器〔禁止空连接和远程操作注册表/取消上次登陆名显示〕无影响8关闭所有共享目录将无法通过共享目录访问效劳器文件使用DameWare连接9检查影子帐号无影响10数据库加固禁用sa帐号使用sa验证的数据库连接将失败修改所有数据库连接，创立新的登录帐号11删除不平安存储过程未知12IIS加固关闭上传文件的文件夹执行权限未知13关闭目录浏览权限未知14关闭目录写入权限未知15更改IIS默认主目录未知加固步骤详解加固效劳器使用工具“”〔两个SQL文件是其专用文件〕，重启计算机。修改管理员帐号与密码在“我的电脑”右键，点击“管理”，进入“本地用户和组”，点击“用户”，在“Administrator”用户上右键点击“重命名”和“设置密码”。然后点击“确认”按钮完成该步骤。修改远程访问端口一般建议把效劳器的远程桌面访问功能禁用，并且修改默认端口号。注意，第二步设置了新的远程访问端口号后要将新的终端号〔如8190〕在防火墙中的例外中参加，再次远程时请使用IP加新端口号登录〔例子：192.168.8.123:8190〕如果运行失败，可通过注册表进行修改，包括两个地方：

修改注册表访问点击“开始”执行该操作

翻开windows防火墙：“开始”-“控制面板”-“windows防火墙”，选择启用，这时不要点击确认，需要做如下操作：

添加例外端口进入“例外”标签，把需要的端口好加上设置平安日志进入“高级”标签，点击平安日志记录的设置按钮。

设置ICMP如果需要PING通效劳器，点击ICMP的“设置”按钮选择“允许传入回显请求”。最后点击“确定”按钮。

开启防护软件运行“效劳器平安工具包”中的“”，开启所有防护。退出360，安装360病毒码升级，文件位置在“\\ufnas1\网络平安\360补丁\补丁”安装后请点击“实时保护”，将其中选项全部启用，然后点击首页的“全面检测”按钮，进行一次全面的检测，找出平安漏洞根据检查结果，安装所有补丁并解决所有不平安项。

更改平安策略更改本地平安策略，修改“审核帐户登录事件”和“审核帐户管理”，翻开“成功”和“失败”的操作审核。

定期检查影子帐号定期运行“”，防止有人攻击建立隐藏的帐号，如有发现请速上报

加固数据库禁用xp_cmdshell功能对于SQLServer2000,请运行“”，对于SQLServer2000,请运行“”，注意：删除以下代码后执行REVOKEEXECUTEONxp_getfiledetailsTOpublic;GORECONFIGURE;GO

禁用sa帐号注意：禁用sa之前，先去“用户映射”中查看其关联的数据库，并建立一个帐号关联到这些数据库以保证数据访问的正常执行。加固IIS在IIS站点中，取消“脚本资源访问”、“写入”和“目录浏览”。

在上传目录中，将执行权限设置为“无”。

其他平安提示：限制系统执行文件权限尤其是C:\WINDOWS