暴露于Internet的服务器安全配置步骤-华夏新达维护

第1页（共18页）暴露于Internet中的服务器安全配置步骤第2页（共18页）目录1.配置Windows2000Server.....................................................................32.配置防火墙...............................................................................................32.1天网防火墙个人版（自定义IP规则）........错误!未定义书签。3.修改本地用户...........................................................................................34.设置本地安全策略...................................................................................44.1账户锁定策略....................................................................................44.2审核策略............................................................................................54.3用户权利指派....................................................................................64.4安全选项............................................................................................75.配置路由和远程访问...............................................................................76.配置VPN...............................................................................................127.日常例行检查.........................................................................................13第3页（共18页）请在任何时候都记住：再好的安全措施、防火墙，也无法抵御来自内部的攻击，特别是具有管理员权限内部人员的恶意攻击。1.配置Windows2000Server必须安装直到目前的所有补丁：sp1、sp2、sp3。经常使用“开始”---“WindowsUpdata”功能进行安全更新。2.配置应用程序如果系统中的应用程序有补丁，必须全部打上补丁，特别是SQLSERVER2000,必须依次打到SP3以上。3.IIS的处理在一般情况下，请去掉IIS服务。请将C:\INTEPUB这个文件夹改名。4.配置防火墙我们一般建议使用诺顿网络特警2003（请见《诺顿网络特警2003操作手册》）5.修改本地用户打开“开始－程序－管理工具－计算机管理”，展开“计算机管理（本地）－系统工具－本地用户和组”。设置所有属于“administrator”组的用户密码必须在18位以上。双击“组”，建立组VPN。双击“用户”新建“sql”帐号，专用于SQLSERVER2000服务启动使用。并加入administrator组。密码至少18位长并且必须包含字母和数字，并修改其拨入属性为“拒绝访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。设置administrator密码至少18位长并且必须包含字母和数字，并修改其拨入属性为“拒绝访问”。禁用guest账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。禁用SQLDebugger账户。并修改其拨入属性为“拒绝访问”。“终第4页（共18页）端服务配置文件”—“允许登录到终端服务”的选项必须去掉。禁用IUSR_xx和IWAM_xx账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。禁用TsInternetUser账户。并修改其拨入属性为“拒绝访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。建立用户hxxddialin，密码至少18位长并且必须包含字母和数字，属于本机VPN组和users组，拨入属性为“允许访问”。“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。6.设置本地安全策略6.1设置密码策略打开“开始－程序－管理工具－本地安全策略”，展开“安全设置－账户策略－密码策略”。“密码必须符合复杂性要求”-设置为“启用”。“密码长度最小值”为：10位。6.2账户锁定策略第5页（共18页）“复位帐号锁定计数器”定义为：30分钟；“帐号锁定时间”定义为：0分钟（特别重要）；“帐号锁定阀值”定义为2次。本项设置好5分钟之后，在另外一台机器上的“我的电脑”的“地址栏”上输入\\VPNserver（VPNserver为VPN服务器名称），电脑会提示用户名、密码连接，用户名依次输入“guest”、“TsInternetUser”、“IUSR_xx”、“IWAM_xx”等，并故意5次输入错误密码，以使这些帐号被“锁定”，以保证这些帐号不仅被“禁用”，同时也被“锁定”，彻底保证安全。6.3审核策略打开“开始－程序－管理工具－本地安全策略”，展开“安全设置－本地策略－审核策略”。修改为与下图相同。第6页（共18页）6.4用户权利指派打开“开始－程序－管理工具－本地安全策略”，展开“安全设置－本地策略－用户权利指派”。双击“从网络访问此计算机”策略，按“添加”按钮，只保留如下两个项目双击“拒绝从网络访问这台计算机”策略，按“添加”按钮，增加如下项目第7页（共18页）6.5安全选项打开“开始－程序－管理工具－本地安全策略”，展开“安全设置－本地策略－安全选项”。双击“重命名系统管理员账户”和“重命名来宾帐户”策略，进行如下修改7.配置路由和远程访问打开“开始－程序－管理工具－路由和远程访问”，展开“路由和远程访问－XXX（本地）－远程访问策略”。右键“新建远程访问策略”，显示第8页（共18页）策略名称为“如果启用拨入许可，就允许访问”，按“下一步”，显示按“添加”，如下界面选择第9页（共18页）按“添加”，如下界面选择按“确定”，界面如下第10页（共18页）按“添加”，如下界面选择按“添加”，再按“添加”，选择“VPN”组，按“确定”，再按“确定”，界面如下第11页（共18页）按“下一步”，如下界面选择按“下一步”第12页（共18页）按“编辑配置文件”，如下界面选择按“确定”，“完成”。8.配置VPN参见文档《如何用VPN连接远程网络》。第13页（共18页）9.日常例行检查Windows任务管理器查看是否有不能确认的任务在运行。停止每个任务前必须慎重，否则可能会造成Windows系统崩溃。打开“事件查看器”-“安全性”：看看是否有非法使用帐号、更改帐号密码、登录等情况；打开“事件查看器”-“系统”：看看系统运行情况，并注意是否有“终端联接”的记录；检查“路由和远程访问”，看看是否有不能确定的VPN连接正在运行；检查“计算机管理”-“本地用户和组”：是否被非法增加了用户、administrator、Power组中是否被增加了用户、guest等其它帐号的属性被更改了、是否有帐号被锁定了等；打开“服务”，看看是否有非法的服务在运行；看看“开始”-“程序”-“启动”中是否有其它非法程序在这里；注意“开始栏”的系统托盘上是否有不明的图标；看看c：\autoexec.bat是否有非法内容；看看D:\WINNT\win.INI是否有非法内容；注册表启动项目在下面的位置是否有不能确认的启动项目：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run修改注册表前必须要备份。10.微软推荐的安全三步骤10.1步骤1：设置防火墙将计算机连接到Internet之前，您应该安装防火墙。这是有助于防止黑客和多种计算机病毒及蠕虫访问您的计算机的软件或硬件。防火墙是保证计算机安全的最重要的第一道防线。您还应该使用Windows®Update和防病毒软件来帮助保护您的PC。第14页（共18页）如果您的计算机使用的是Windows2000Professional、WindowsMillenniumEdition(Me)、Windows98、Windows95或WindowsNT，则应该获得并安装硬件或软件防火墙。以下资源提供关于某些防火墙选项的更多信息。硬件防火墙对早期版本的Windows来说，硬件防火墙是比较好的选择。许多无线接入点和家庭网络宽带路由器都有内置的硬件防火墙。它们为大多数家庭网络提供了可靠的保护。MicrosoftBroadbandNetworkingWirelessBaseStation（Microsoft宽带网络无线基站）就是一个内置了硬件防火墙和其他集成的家庭网络功能的无线接入点实例。软件防火墙提供软件防火墙的有几个厂家，包括：BlackICEPCProtectionMcAfeeSecuritySymantecTinySoftware：TinyPersonalFirewallZoneAlarm要了解有关防火墙的更多信息，请阅读清单：安装防火墙（MicrosoftSecurityWeb站点）。这篇文章中包含了对其他公司生产的软件防火墙的讨论，并且讨论了硬件防火墙和网络路由器。如果您在计算机上使用早期版本的Windows，这些信息有助于您选择防火墙解决方案。如果您有不同的配置、小型网络，或者如果您遇到了与防火墙有关的问题，请参阅有关防火墙的常见问题。10.2步骤2：打开自动更新打开“自动更新”如果您使用MicrosoftWindows2000ServicePack3(SP3)或更高版本，您可以使用自动更新，它可以在计算机开机并连接到Internet的时候自动下载最新的Microsoft安全更新。（如果不能确信您是否安装了最新的ServicePack，您可以按照检查操作系统版本的操作说明来查找版本信息）。要使用自动更新从Microsoft下载和安装将来的任何重要安全更新：1.单击“开始”，然后单击“控制面板”。2.单击“性能和维护”。如果看不到“性能和维护”类别，请单击窗口左上角的“切换到分类视图”。3.单击“系统”图标打开“系统属性”对话框。您会看到类似以下的屏幕。第15页（共18页）4.在“自动更新”选项卡中，选中“保持我的计算机最新”旁的复选框。5.选择一项设置。我们强烈建议您选择“自动下载更新，并按照我指定的日程安排安装它们”。6.如果您选择了自动下载和安装更新的选项，请选择一个计算机开机的日期和时间，以便完成安装过程。注意：我们建议每天更新。选择“自动下载更新，并按照我指定的日程安排安装它们”设置自动更新后，在准备安装新的更新时，您会看到一个类似以下的通知气球单击通知气球以查看并安装可下载的程序。单击该气球以安装新的更新从现在开始，您可以自动下载将来的所有更新。使用WindowsUpdate自动更新不会下载不重要的更新。此外，它也不会下载在您设置自动更新之前发布的关键更新。以下是您如何将计算机更新到最新状态的说明。您还可以使用这些操作说明来安装最新的非关键更新：第16页（共18页）1.转到WindowsUpd