服务器安全管理文档 服务器安全设置在哪

系统与服务器安全管理

Windows 2000 Server、Freebsd是两种常见的服务器。第一种是微软的产品，方便好用，但是，你必须要不断的patch它。Freebsd是一种优雅的操作系统，它简洁的内核和优异的性能让人感动。关于这几种操作系统的安全，每种都可以写一本书。我不会在这里对它们进行详细描述，只讲一些系统初始化安全配置。

网站建设哪家好，找创新互联建站！专注于网页设计、网站建设、微信开发、重庆小程序开发、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了青海免费建站欢迎大家使用！

Windows2000 Server的初始安全配置

Windows的服务器在运行时，都会打开一些端口，如135、139、445等。这些端口用于Windows本身的功能需要，冒失的关闭它们会影响到Windows的功能。然而，正是因为这些端口的存在，给Windows服务器带来诸多的安全风险。远程攻击者可以利用这些开放端口来广泛的收集目标主机信息，包括操作系统版本、域SID、域用户名、主机SID、主机用户名、帐号信息、网络共享信息、网络时间信息、Netbios名字、网络接口信息等，并可用来枚举帐号和口令。今年8月份和9月份，微软先后发布了两个基于135端口的RPCDCOM漏洞的安全公告，分别是MS03-026和 MS03-039，该漏洞风险级别高，攻击者可以利用它来获取系统权限。而类似于这样的漏洞在微软的操作系统中经常存在。

解决这类问题的通用方法是打补丁，微软有保持用户补丁更新的良好习惯，并且它的Windows2000SP4安装后可通过WindowsUpdate来自动升级系统补丁。另外，在防火墙上明确屏蔽来自因特网的对135-139和445、593端口的访问也是明智之举。

Microsoft的SQLServer数据库服务也容易被攻击，今年3月份盛行的SQL蠕虫即使得多家公司损失惨重，因此，如果安装了微软的'SQLServer，有必要做这些事：1）更新数据库补丁；2）更改数据库的默认服务端口（1433）；3）在防火墙上屏蔽数据库服务端口；4）保证 sa口令非空。

另外，在Windows服务器上安装杀毒软件是绝对必须的，并且要经常更新病毒库，定期运行杀毒软件查杀病毒。

不要运行不必要的服务，尤其是IIS，如果不需要它，就根本不要安装。IIS历来存在众多问题，有几点在配置时值得注意：1）操作系统补丁版本不得低于SP3;2）不要在默认路径运行WEB（默认是c:inetpubwwwroot）；3）以下ISAPI应用程序扩展可被删掉：。 ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在设计之初就考虑了安全问题，在初次安装完成后，它基本只打开了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也应该把它关闭（因为历史上Sendmail存在诸多安全问题）。方式是编辑/etc/rc.conf文件，改动和增加如下四句：

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

这样就禁止了Sendmail的功能，除非你的服务器处于一个安全的内网（例如在防火墙之后并且网段中无其他公司主机），否则不要打开Sendmail。

禁止网络日志：在/etc/rc.conf中保证有如下行：

syslogd_flags="-ss"

这样做禁止了来自远程主机的日志记录并关闭514端口，但仍允许记录本机日志。

禁止NFS服务：在/etc/rc.conf中有如下几行：

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情况下很需要NFS服务，例如用户上传图片的目录通常需要共享出来供几台WEB服务器使用，就要用到NFS。同理，要打开NFS，必须保证你的服务器处于安全的内网，如果NFS服务器可以被其他人访问到，那么系统存在较大风险。保证/etc/inetd.conf文件中所有服务都被注销，跟其他系统不同，不要由inetd运行任何服务。将如下语句加进/etc/rc.conf：

inetd_enable="NO"

所有对/etc/rc.conf文件的修改执行完后都应重启系统。

如果要运行Apache，请编辑httpd.conf文件，修改如下选项以增进安全或性能：

1） Timeout 300Timeout 120

2） MaxKeepAliveRequests 256

3） ServerSignature onServerSignature off

4） Options IndexesFollowSymLinks行把indexes删掉（目录的Options不要带index选项）

5） 将Apache运行的用户和组改为nobody

6） MaxClients 150——MaxClients 1500

（如果要使用Apache，内核一定要重新编译，否则通不过Apache的压力测试，关于如何配置和管理WEB服务器请见我的另一篇文章）

如果要运行FTP服务，请安装proftpd，它比较安全。在任何服务器上，都不要打开匿名FTP。

Windows 2000 Server和Freebsd两种服务器的安全配置就向大家介绍完了，希望大家已经掌握。

谁有比较详细的网络安全管理程序文件？

玖玖泰丰，十年验厂老品牌，助您一次性通过验厂！以下资料由深圳玖玖泰丰企业管理顾问有限公司提供，

一、 目的

本程序的目的是为了加强公司内的网络安全的管理。

二、 范围

本程序主要适用于公司内的网络使用人员。

三、 工作程序

1. 公司通过使用防火墙、员工密码以及防病毒软件，保护其 IT 系统免被非法使用和进入。

• 公司必须使用防病毒软件和防火墙保护其 IT 系统

• 公司必须要求使用者输入登录名/密码后，方可进入 IT 系统。

• 其它安全措施：

o 锁上存放主服务器的房间：服务器和设备的实际保护。应将其存放在上锁的房间内。

o 128 位加密：针对Internet 通信和交易的最高保护级别。加密时会以电子方式将信息打乱，这样在信息传送过程中，外部人员查看或修改信息的风险就会降低。

o 公钥基础架构 (PKI)：保护通过 Internet 发送的机密/秘密电子信息的方式。信息发送人持有私钥，并可向信息接收人分发公钥。接收人使用公钥将信息解密。

o 虚拟专用网络：此方法将所有网络通信加密或打乱，提供网络安全或保护隐私。

2. 公司定期将数据备份。

• 公司必须备份数据，确保即使主要 IT 系统瘫痪（出于病毒攻击、工厂失火等原因），记录也不会丢失。

• 数据可以不同方式备份，较为简单的方式有软盘或光盘，较复杂的方式有异地备份服务器。

• 计算机系统每日创建或更新的关键数据应每日备份。

• 所有软件（不管是购买的还是自行开发的）都应至少进行一次完整备份以作出保护。

• 系统数据应至少每月备份一次。

• 所有应用程序数据应根据“三代备份原则”每周完整备份一次。

• 所有协议资料应根据“三代备份原则”每周完整备份一次。

• 应制定数据备份政策，确定数据备份归档的方式。要有条理并高效地备份资料，归档是必要的。每次备份数据，应将以下几项内容归档：

a. 数据备份日期

b. 数据备份类型（增量备份、完整备份）

c. 资料的代数

d. 数据备份责任

e. 数据备份范围（文件/目录）

f. 储存操作数据的数据媒体

g. 储存备份数据的数据媒体

h. 数据备份硬件和软件（带版本号）

i. 数据备份参数（数据备份类型等）

j. 备份副本的储存位置

• 每日备份应在办公时间过后、计算机使用率较低的情况下进行。备份数据应储存在磁带备份驱动器中，因为其容量大、可以移动；也可将备份数据储存在硬盘中。对于大型企业，强烈建议使用备份服务器和异地存储。备份数据应存放在安全的异地位置。所有备份媒体应存放在安全可靠的地点。所有每周备份媒体应存放在防火保险箱内。所有软件完整备份和每月备份媒体应存放在异地备份文件室。

3. 公司制定相应的程序，确保员工定期更改密码。

• 所有可以使用计算机系统的员工必须至少每年更改密码两次。

• 程序示例：员工必须至少每半年更改密码一次。

• 网络管理员应负责通知计算机用户更改密码。网络管理员应指定更改密码的频率和日期，服务器运行软件将提醒员工进行更改。

• 对于未能在指定日期内更改密码的员工，应锁闭其对计算机网络的使用，直至系统管理员解除锁闭为止。

• 密码应为字母和数字的组合，长度至少为六个字母和符号。不应采用“明显”密码，例如出生日期、城市名等。

• 为防止密码有可能会被泄漏或破译，员工应经常更改密码。如果员工怀疑密码已被泄漏，应立即使用新密码。

4. 公司制定政策，决定哪些员工有权进入其 IT 系统。

• 公司必须制定书面程序，确定哪些员工有权进入其 IT 系统。

• 程序示例：仅允许以下部门员工进入 IT 系统：行政、薪酬、仓储、订单以及销售部门。

• 公司根据员工的职责赋予其相应的权限。例如，只负责发薪的员工不能使用发票或订单表格。

• 雇用新员工后，其直接主管必须确定该员工是否需要进入 IT 系统。如果确实需要，主管应为此员工申请使用权。主管应向 IT 经理递交一份书面申请表格，注明员工的姓名及其需要使用的应用程序。

5．其他措施

• 公司制定书面的灾后重建计划，以恢复计算机网络及其数据。

• IT 团队应每年至少预演一次灾后重建计划。

• 灾后重建计划可以定义为计划、制定并执行灾后重建管理程序的持续过程，目的是在系统发生意外中断的情况下确保重要的公司运作可以迅速有效地恢复。所有灾后重建计划必须包含以下元素：

o 关键应用程序评估

o 备份程序

o 重建程序

o 执行程序

o 测试程序

o 计划维护

IT 灾后重建计划应为公司企业灾后重建计划的一部分。

o 公司委派一位高级管理人员领导 IT 灾后重建小组。

o IT 灾后重建小组应识别公司网络架构的组件，以便制定并更新应急程序。

o IT 灾后重建小组应对公司的 IT 系统进行风险评估分析并将其归档。

o IT 灾后重建小组应评估并区分需要支持的关键和次要业务功能的优先次序。

o IT 灾后重建小组应为所有关键和次要业务职能制定、维护并记录书面策略性重建程序。

o IT 灾后重建小组应确定、维护并分发可协助工厂灾后重建的关键和次要业务功能人员名单。

o IT 灾后重建小组应制定、维护并向所有 IT 员工和每个关键及次要业务功能的负责人分发书面的 IT 应急计划培训纲要。

o IT 灾后重建小组应从各方面测试 IT 应急计划 - 至少每年一次。这对应急计划的成功至关重要。

o IT 灾后重建小组应制定、维护并记录有效的IT 应急计划年度评估。

服务器如何保护数据安全

服务器安全这问题，很重要，之前服务器被黑，在网上搜索了一些服务器安全设置以及防黑的文章，对着文章，我一个一个的设置起来，费了好几天的时间才设置完，原以为会防止服务器再次被黑，没想到服务器竟然瘫痪了，网站都打不开了，无奈对服务器安全也是一窍不通，损失真的很大，数据库都损坏了，我哪个后悔啊。娘个咪的。最后还是让机房把系统重装了。找了几个做网站服务器方面的朋友，咨询了关于服务器被黑的解决办法，他们都建议我找专业做服务器安全的安全公司来给做安全维护，也一致的推荐了sinesafe，服务器被黑的问题，才得以解决。

一路的走来，才知道，服务器安全问题可不能小看了。经历了才知道，服务器安全了给自己带来的也是长远的利益。 希望我的经历能帮到楼主，帮助别人也是在帮助我自己。

下面是一些关于安全方面的建议！

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1.修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2.创建一个robots.txt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3.修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改conn.asp，防止非法下载，也可对数据库加密后在修改conn.asp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4.限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5.自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6.慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7.谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8. cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9.目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10.自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11.例行维护

a.定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b.定期更改数据库的名字及管理员帐密。

c.借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

如何设置Windows服务器安全设置

如何设置Windows服务器安全设置

一、取消文件夹隐藏共享在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢?方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。二、禁止建立空连接打开注册表编辑器，进入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。三、删掉不必要的.协议对于服务器来说，只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。四、禁用不必要的服务:Automatic Updates(自动更新下载)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(远程修改注册表)Server(文件共享)Task Scheduler(计划任务)TCP/IP NetBIOS HelperThemes(桌面主题)Windows AudioWindows TimeWorkstation五、更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位)，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性六、把Guest及其它不用的账号禁用有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。七、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

● 将注册表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。八、如果开放了Web服务，还需要对IIS服务进行安全配置：

(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”，将“本地路径”指向其他目录。

(2) 删除原默认安装的Inetpub目录。(或者更改文件名)

(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打开审核策略Windows默认安装没有打开任何安全审核，所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件，对于每一类都可以指明是审核成功事件、失败事件，还是两者都审核策略更改：成功或失败登录事件：成功和失败对象访问：失败事件过程追踪：根据需要选用目录服务访问：失败事件特权使用：失败事件系统事件：成功和失败账户登录事件：成功和失败账户管理：成功和失败十、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门.最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的。