手把手教你如何加固你的服务器

1/10摘要为提升服务器安全性，减少信息资产的泄漏风险，我们需要对服务器进行安全加固，从系统策略、应用程序、帐号密码等各方面进行加强，避免一些低级安全问题的出现。本文基于集团信息化安全规定，针对服务器安全配置的方法进行详细描述。并提供了服务器加固检查表模板，方便系统管理员对加固的步骤及结果进行检查。服务器安全加固检查表注意：请先将如下工具包复制到本地：\\ufnas1\网络安全\服务器安全工具包；对于操作熟练的管理员，可以按照如下表格进行加固：服务器加固检查表服务器IP：加固日期：加固人：服务器用途：□应用□数据库□其他类型加固内容影响对策1服务器加固更改系统管理员(Administrator)帐号及密码使用管理员帐号的服务将会受到影响检查服务及DTS看所有者是否为管理员2禁用guest用户使用guest将无法登陆3禁用远程桌面连接，并更改3389端口将无法使用mstsc进行访问使用DameWare连接4启用windows防火墙，打开1433、80、6129、3500将无法PING通该机器，并且无法通过网络直接访问；应用没有没有打开的端口的服务将关闭检查IIS中的应用；通知应用管理员5将服务器加入域需要重启。域管理员可以访问，并默认应用域安全策略，自动打补丁6安装安全卫士360，安装所有补丁需要重启7加固服务器（禁止空连接和远程操作注册表/取消上次登陆名显示）无影响8关闭所有共享目录将无法通过共享目录访问服务器文件使用DameWare连接9检查影子帐号无影响10数据库加固禁用sa帐号使用sa验证的数据库连接将失败修改所有数据库连接，创建新的登录帐号11删除不安全存储过程未知12IIS加固关闭上传文件的文件夹执行权限未知13关闭目录浏览权限未知14关闭目录写入权限未知15更改IIS默认主目录未知2/101.加固步骤详解1.1加固服务器使用工具“安全加固工具.exe”（两个SQL文件是其专用文件），重启计算机。1.1.1修改管理员帐号与密码在“我的电脑”右键，点击“管理”，进入“本地用户和组”，点击“用户”，在“Administrator”用户上右键点击“重命名”和“设置密码”。然后点击“确认”按钮完成该步骤。1.1.2修改远程访问端口一般建议把服务器的远程桌面访问功能禁用，并且修改默认端口号。注意，第二步设置了新的远程访问端口号后要将新的终端号（如8190）在防火墙中的例外中加入，再次远程时请使用IP加新端口号登录（例子：192.168.8.123:8190）如果运行失败，可通过注册表进行修改，包括两个地方：3/101.1.3修改注册表访问点击“开始”执行该操作4/101.2打开windows防火墙：“开始”-“控制面板”-“windows防火墙”，选择启用，这时不要点击确认，需要做如下操作：1.2.1添加例外端口进入“例外”标签，把需要的端口好加上1.2.2设置安全日志进入“高级”标签，点击安全日志记录的设置按钮。5/101.2.3设置ICMP如果需要PING通服务器，点击ICMP的“设置”按钮选择“允许传入回显请求”。最后点击“确定”按钮。6/101.3开启防护软件1.运行“服务器安全工具包”中的“360setup.exe”，开启所有防护。2.退出360，安装360病毒码升级，文件位置在“\\ufnas1\网络安全\360补丁\补丁20090618.exe”3.安装后请点击“实时保护”，将其中选项全部启用，然后点击首页的“全面检测”按钮，进行一次全面的检测，找出安全漏洞4.根据检查结果，安装所有补丁并解决所有不安全项。1.4更改安全策略更改本地安全策略，修改“审核帐户登录事件”和“审核帐户管理”，打开“成功”和“失败”的操作审核。1.5定期检查影子帐号定期运行“检查影子帐号.exe”，防止有人攻击建立隐藏的帐号，如有发现请速上报7/101.6加固数据库1.6.1禁用xp_cmdshell功能对于SQLServer2000,请运行“sql.sql”，对于SQLServer2000,请运行“sql05.sql”，注意：删除以下代码后执行REVOKEEXECUTEONxp_getfiledetailsTOpublic;GORECONFIGURE;GO1.6.2禁用sa帐号注意：禁用sa之前，先去“用户映射”中查看其关联的数据库，并建立一个帐号关联到这些数据库以保证数据访问的正常执行。8/101.7加固IISo在IIS站点中，取消“脚本资源访问”、“写入”和“目录浏览”。o在上传目录中，将执行权限设置为“无”。9/101.8其他安全提示：1.8.1限制系统执行文件权限尤其是C:\WINDOWS\system32下的cmd.exe等命令文件，建议只打开Administrators组和Service(服务帐户).10/101.8.2避免共享文件,尤其是Everyone权限或完全控制权限。1.8.3安装专业防火墙PCToolsFirewallPlus，免费软件，文件名：fwinstall.exe参考文档【1】苏智：安全加固6步走.txt