• 售前

  • 售后

热门帖子
入门百科

win2008 服务器安全设置部署文档(保举)

[复制链接]
哈哈笑417 显示全部楼层 发表于 2021-10-25 20:35:03 |阅读模式 打印 上一主题 下一主题
年前不停在赶项目,到末了几日才拿到新服务器新添加的硬盘,重做阵列设置生产环境,还要编写摆设文档做好安全策略,交给测试部分与相关部分做上线前末了测试,然后将摆设文档交给相关部分同事,让他根据摆设文档再做一次系统,以包管以后其他同事能自己正常摆设服务器,末了终于赶在放假前末了一天匆忙搞定测试后,简单的指导同事按摆设文档将服务器重新摆设了一次就先跑路回家了,剩下的就留给加班的同事负责将服务器托管到机房了。年后回来上班后按工作计划开始做文档(重要对之前编写的摆设文档进行修正和将相关未添加的安全策略添加进文档中,并在测试环境进行安全测试)。等搞定后要对服务器做末了一次安全查抄时,运营部分已将网站推广出去了,真是晕死,都不给人活了......只能是加班加点对已挂到公网的服务器日志和相关设置项做一次体检。当然一查抄发现挂出去的服务器有着各种各样的攻击记载,不过还好都防住了,没有什么标题,然后就是继承添加一些防火墙策略和系统安全设置。
  接下来照旧不绝的忙,要写《服务器安全查抄指引——一样平常维护阐明》。公司新项目要开发,得对新项目分析需求,编写开发文档,然后搭建前后端开发框架,旧系统要增长新功能,又得写V3、V4不同版本的功能升级开发文档......本日终于忙得七七八八了,转头一看,2月份就如许一眨眼就过去了,看来程序员老得快照旧有原理的,时间都不是自己的了。
  前面啰哩啰嗦的讲了一大堆费话,现在开始转入正题。
  对于服务器的安全,信赖许多开发职员都会碰到,但绝大多数人对安全都没有什么概念。记得10年前我刚接手服务器时,仅高兴,又彷徨,而真正面暂时,却无从动手,上百度和谷歌上找,也没有完备的阐明先容,对安全都是一头雾水。刚开始设置的服务器毛病百出,当时险些吃睡在机房,也克制不了服务器给黑的事情发生,而且大多被黑后还一无所知,想想都是忧郁~~~当然履历也是在被黑的过程中逐步升级的,哈哈......
  下面就将写好的《服务器安全摆设文档》分享出来,渴望能对各人有所帮助。当然本人不是黑客,也不知道全部的攻击本领,以是此中可能存在遗漏的地方,也请各人提出发起。按本文档的安全设置头脑设置服务器(不同平台、操纵系统不同版本的设置都有肯定的不同之处,但安全设置思绪是共通的),管理的众多服务器(此中包罗各种Web服务器、数据库服务器、流媒体服务器、游戏服务器(Linux系统))从2005年到现在,还没发现给入侵乐成的例子,当然也有可能没有非常好坏的黑客来进行攻击有关,但从中也可以看到安全方面照旧有一些保障的(呵呵...自诩的得多了,都不美意思了)。如果手上没有服务器的朋侪,也可以在自己电脑用捏造机安装设置试试(在我公司技能部,将文档发给各人后,不少同事都尝试按文档指引操纵过,对提拔服务器安全摆设照旧相称有帮助的)。当然捏造机在设置时,有一些地方与实际服务器上操纵照旧有些细微的差别的。

目次

1.     媒介.. 3
2.     摆设环境.. 3
2.1         服务器环境信息.. 3
3.     磁盘阵列设置.. 4
4.     安装操纵系统.. 4
5.     安装软件.. 4
5.1         安装磁盘碎片整理程序.. 4
5.2         安装捏造光盘.. 6
5.3         安装IIS. 6
5.4         安装.NET Framework4. 9
5.5         安装SQL2008. 9
5.6         安装JMail 17
5.7         安装杀毒软件与防火墙.. 17
6.     服务器网站与安全设置.. 22
6.1.       修改系统默认帐户名.. 22
6.2.       设置帐户锁定策略.. 27
6.3.       服务器硬盘安全访问安全设置.. 28
6.4.       设置网站.. 29
6.5.       设置跨服务器同步更新图片网站.. 68
6.6.       屏蔽xplog70.dll毛病.. 75
6.7.       设置网络访问策略.. 76
6.8.       设置用户权限分配策略.. 77
6.9.       关闭默认共享.. 79
6.10.         禁用不必要的和危险的服务.. 79
6.11.         修改审核策略.. 81
6.12.         系统防火墙安全设置.. 82
6.13.         开启长途桌面功能.. 83
6.14.         设置McAfee访问掩护.. 90
6.15.         设置McAfee防火墙.. 97
7.     摆设注意事项.. 103
1.     媒介

着实要设置一台安全的服务器,简单来说就几句话:
能不开放的端口和可以不运行的服务全部关闭或禁用;
使用可进行端口通讯访问策略设置的防火墙;
严酷控制系统中各种程序对各个目次创建、修改与删除可实行脚本、动态链接库与程序的权限;
对于网站目次,能写入的目次或文件不能有实行权限,有实行权限的目次不可以赋给写入权限。(这条最为关键)

2.    摆设环境
2.1    服务器环境信息
服务器硬件设置:

服务器软件环境:
名称 阐明
磁盘阵列RAID 10
操纵系统      Windwos2008 R2 Enterprise 64Bit
      (着实本人最熟悉的照旧win2003服务器,由于公司购买的Dell R820服务器不再支持低端系统,没办法只能将自己升级起来,当前如果你的服务器照旧使用win2003的话,查看本文照旧有肯定帮助的,两者只是在设置某些地方有不一样,但整体的安全头脑是一致的)
      
IIS7.5
SQLMSSQL2008
.NET Framework.net 4.0
杀毒软件与防火墙      McaFee 64位vse880;
      HostIPS Client700;
      
邮件发送软件JMail
IP地点192.168.1.10
3.     磁盘阵列设置
具体设置请查看《RAID设置中文手册》,链接地点:
http://support1.ap.dell.com/cn/zh/forum/thread.asp?fid=20&tid=61244
设置前,请提前备份好硬盘里的数据,重新做过阵列后,硬盘中的数据将全部丢失。
(笔者使用的是Dell R820服务器,Dell服务器的售后服务确实不错,服务器有什么标题,直接打几个售后电话就可以解决,非常方便)
4.    安装操纵系统
具体安装操纵步骤,请查看《R820服务器安装指南》
1)    通过Lifecycle 安装 windows 2008:
http://zh.community.dell.com/support_forums/poweredge/f/279/t/2812.aspx
这个方法是开机直接按F10,进行安装操纵系统,可以快速的安装。 其它官方支持的系统安装,只是在选择操纵系统的时间,选择对应的就可以进行快速的安装。

2)    手动安装2012 :
http://zh.community.dell.com/support_forums/poweredge/f/279/t/9621.aspx
这个方法是直接通过2012的安装光盘,从光驱启动进行安装的操纵方法。
在选择安装磁盘时,可将本文档地点文件夹中的RAID驱动解压到U盘中,将U盘插入服务器后手动选择载入驱动进行安装。

其他安装过程的操纵方法同平常安装操纵系统一样,这里就不做具体形貌了。


5.安装软件
5.1         安装磁盘碎片整理程序
由于服务器的相关文件、图片和各种日志文件会不绝的创建与删除,服务器运行时间长了以后,磁盘上会存在许多文件碎片,如许就会低落服务器的性能,缩短硬盘寿命。
Diskeeper2011_ProPremier是一个及时碎片整理程序,它不干扰系统资源,自动化运行,可以自动防止关键系统文件产生碎片,及时监控磁盘,一旦产生碎片就进行整理,最大水平地包管系统稳固性和速度,而它的智能文件访问加速序次技能I-FAAST2.0最高可将最常用文件的访问速度进步80%(平均10%~20%)。(具体先容请查看官方相关文档)
运行安装:


5.2         安装捏造光盘

5.3         安装IIS
打开服务器管理器,选择角色=》点击“添加角色”

选择Web服务器(IIS)

点下一步后,按下图所选内容进行勾选




5.4         安装.NET Framework4
运行dotNetFx40_Full_x86_x64.exe安装.net4框架(这个必须在IIS安装完成后才进行安装,如许才会在IIS的相关属性中自动绑定.net4框架)

5.5         安装SQL2008
安装SQL2008前,首先要安装.net3.5框架,打开服务器管理器,点击功能=》添加功能=》勾选.NET Framework3.5.1运行安装


继承安装SQL2008,请先操纵第6.1修改系统默认帐户名步骤后的管理员用户再进行下面步骤

按6.1操纵后,将SQL2008_CHS.iso载入捏造光盘,运行安装
选择“安装”=》 “全新SQL Server 独立安装或向现有安装添加功能”







这里选择的帐户名是SYSTEM,暗码为空


操纵到这一步时请注意:
1)身份验证模式选择混淆模式
2)设置的SA暗码必须为长于32位的中英文(大小写)+数字,谁也记不住的乱码,设置好后都不再使用该账号与暗码。
3)指定的SQL Server管理员为当前用户(必须是操纵第6.1修改系统默认帐户名步骤后的管理员用户,如果不是的话有可能导致登岸不了SQL)




有时间运行到末了一步时会表现安装堕落,这时重启后进入控制面板,点击卸载程序,将刚安装的SQL2008删掉后再次重启电脑,进行安装就可以了,当然我试过一次通过,也试过如许操纵三四次后才乐成,为什么会如许就不知道了。

5.6         安装JMail

5.7         安装杀毒软件与防火墙
杀毒软件与防火墙的安装,最好将 ”6.14.设置McAfee防火墙” 之前的全部步骤全部完成后才进行,否则可能会造成一些设置或操纵无法乐成的环境,因为防火墙安装乐成后,会克制系统软件的运行与操纵。如果已经安装好了的话,则先打开杀毒软件控制台,将“访问掩护”先禁用,而防火墙则先不开启。

具体也不进行细说,直接上图
安装杀毒软件:






安装防火墙
直接运行McAfeeHIP_ClientSetup.exe (注:正版的安装方法与下面是不一样的,有一些区别)

运行后不会有任何安装界面出来,等候一会后再运行补丁,如下图

双击鼠标左键就可以了,然后进入下图路径,找到已经安装好的防火墙程序

运行McAfeeFire.exe,就可以打开防火墙软件了

6.     服务器网站与安全设置
6.1.       修改系统默认帐户名
修改系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长暗码,并去掉全部用户组。(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组),同样改名禁用掉Guest用户。

先对原Administrator用户进行重命名

修改为你自己喜好的名称


然后新建一个Administrator诱骗帐户,设置混淆超长暗码

对它进行编辑

删除从属的组

因这个是诱骗帐户,以是充许网络策略控制访问

将Guest也进行重命名操纵



  设置完成后必须重启电脑,否则安装SQL时可能会导致安装失败,必要重新安装的标题

6.2.       设置帐户锁定策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机设置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登岸无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。


6.3.       服务器硬盘安全访问安全设置
全部磁盘除CREATOR OWNER、administrators和system的用户权限全部删除(C盘必须保留Users用户组,理论上来说是要删除Users用户组的,但许多朋侪如果这里直接删除,操纵不当的话,网站有可能就访问不了,必须对系统目次下的不少目次重新设置权限非常麻烦,以是本文发起保留,只要按下面的一些设置做到位,这里也不会有多大的安全隐患的)


6.4.       设置网站
将网站代码与图片复制到指定文件夹里
(由于本站的前后端分开,图片站也是独立的,另外做了一个图片异步跨服务器更新程序,以是有下面四个文件夹)

打开服务器管理器,进入本地用户和组管理,为上面几个网站添加对应的绑定用户,并分别设置超长混淆暗码,并记载下来,后面备用
注:厥后经同事提醒,原来win2008服务器的IIS访问可以使用应用程序池名称做为帐号来设置(各人可以参考:http://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html),而不消再创建多个独立的账号,不过文档都已经写了,就懒得改了,照旧使用Win2003的设置模式来添加帐户


然后将创建好的几个帐户所从属的默认组删除,添加Guests组


将长途控制去掉

将拨入设置为拒绝

打开IIS,将默认站点删除

对网站点右键,添加网站

创建好对应的站点

点击毗连为按钮,设置访问帐户,设置路径根据为:特定用户,然后输入用户名为刚才创建好的用户名,与相应的暗码

设置身份验证



点击应用程序池,将刚创建好的网站对应程序池.NET Framework版本和托管管道模式

.NET Framework版本设置为.NET Framework v4.0.30319
托管管道模式设置为经典模式

设置网站的默认文档为Index.aspx



设置ISAPI和CGI限定


将Active Server Pages设置为不允许,将ASP.NET v4.0.30319设置为充许

进入C:\Windows\Microsoft.NET\Framework64\v4.0.30319目次,设置Temporary ASP.NET Files文件夹的访问权限

点右键=》属性

添加红框框住的用户,并设置为可修改

进入C:\Windows\Microsoft.NET\Framework64\v2.0.50727目次,对Temporary ASP.NET Files文件夹做同样的操纵

然后为当前创建的网站设置相应的文件夹访问权限



添加刚才创建的,并在IIS里绑定的帐户、Authenticated Users和NETWORK SERVICE三个帐号

设置权限为默认权限(读取和实行、列出文件夹内容、读取)

启用父路径


双击ASP打开属性编辑,将启用父路径修改为True

附加数据库操纵
打开SQL2008

附加数据库


找到数据库存放位置


删除数据库中原绑定用户

新建登岸名

将数据库链接的用户名与暗码填写在SQL新建登岸名对应文本框中,并按下图进行设置

然后点击用户映射,勾选数据,并设置数据库拥有db_owner角色权限(注:点击确定后最好重新查抄新建用户的属性,用户映射项,查看db_owner角色权限是否赋值乐成,这里常常会出现创建后没有赋值乐成的环境,必要手动重新设置事后才可以)

打开网站目次,找到Web.config文件,记事本打开,填上新创建的数据库用户名与暗码

运行ASP.NET State Service服务,并将它设置为自动运行



其他几个网站也按上面的步骤与设置进行设置后,打开欣赏器就可以正常该问了

为可写入目次设置写入权限



将红框框住的两个帐户设置可修改权限

禁用可写入目次的实行权限(也可以将全部不消运行ASPX脚本的目次都禁用实行权限,好比css、js等)




6.5.       设置跨服务器同步更新图片网站

6.6.       屏蔽xplog70.dll毛病
进入安装好的SQL目次搜索 xplog70.dll  然后将找到的文件删除(如许操纵会使SQL代理服务克制运行,以是如果使用代理功能的朋侪请不要删除)



6.7.       设置网络访问策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机设置-Windows设置-安全设置-本地策略-安全选项,将
网络访问:可匿名访问的共享;
网络访问:可匿名访问的命名管道;  
网络访问:可长途访问的注册表路径;
网络访问:可长途访问的注册表路径和子路径;
以上四项清空



6.8.       设置用户权限分配策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机设置-Windows设置-安全设置-本地策略-用户权限分配
将“从网络访问此计算机”策略中的“Everyone”删除


在“拒绝通过长途桌面服务登岸”策略中,添加下面用户组和用户
另外,在添加新站点时,也必须将创建的新用户添加到这里



6.9.       关闭默认共享
打开注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
新建DOWRD值,名称为“AutoShareServer”、“AutoShareWKs”,设置值为“0”


6.10.         禁用不必要的和危险的服务
打开服务器管理器,进入“服务”管理,将下列服务禁用(用黄色标识的服务在2008系统中可能不存在)


6.11.         修改审核策略



6.12.         系统防火墙安全设置
开启系统防火墙(控制面板=》系统和安全=》Windwos防火墙=》打开或关闭Windows防火墙),如果长途操纵的话就要小心,不要将自己的毗连也给禁用了

关闭“文件和打印共享”功能


注:如果为了更安全的话,最好是将长途桌面关闭,使用更安全的第三方长途登岸程序。大概修改长途毗连端口,一样平常来说做了前面的设置后,就算留了“肉鸡”在,标题也不是很大。
添加新的防火墙规则,请参考6.13的相关操纵

6.13.         开启长途桌面功能
对我的电脑点击左键=》属性,打开系统属性窗口


修改长途桌面链接端口
点击开始菜单,输入regedit打开注册表
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp项的PortNumber值由3389修改为好比:12345这些高端端口

将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp项的PortNumber值由3389修改为12345

修改了长途桌面端口后,原防火墙的长途桌面规则就会失效了,必要重新创建规则
打开Windows防火墙,点击“高级设置”







设置后重新电脑就立刻见效了
注:如果是长途修改端口的话,必要同时修改McAfee防火墙,添加新的端口规则,如许才不会出现无法长途登岸的环境

6.14.         设置McAfee访问掩护
打开VirusScan控制台

启用访问掩护

打开访问掩护属性


添加用户定义的规则


要排除的历程:
csc.exe, DTSWizard.exe, Explorer.EXE, FrameworkService.exe, HIPSvc.exe, McScript_InUse.exe, SqlWb.exe, Ssms.exe, vbc.exe, w3wp.exe

要排除的历程:
FrameworkService.exe, mmc.exe, svchost.exe

开启防火墙的各项克制规则





按下面要求,在对应的规则里添加排除的历程
名称 阐明
通用最大掩护:克制将程序注册为服务svchost.exe, mmc.exe, Explorer.EXE
防病毒标准掩护:克制群发邮件蠕虫发送邮件w3wp.exe
通用最大掩护:克制在 Windows 文件夹中创建新的可实行文件w3wp.exe, csc.exe, vbc.exe
这些规则的添加,必要常常查看“访问掩护日志”,看那些程序是我们请允许实行的,但却给防火墙克制了,将它们到对应的排除历程当中(具体操纵如果不懂的可以查查百度,大概查看我下一篇文章《服务器安全查抄指引——一样平常维护阐明》,它属性服务器的一样平常维护内容)




6.15.         设置McAfee防火墙
按下面路径进入防火墙文件夹

运行McAfeeFire.exe打开防火墙软件

点击排除锁定,暗码默认为abcde12345

解锁后对防火墙的相关选项进行设置


启用防火墙功能——如果是长途桌面操纵的话,这一步操纵后长途桌面会立刻无法联接,必要在服务器本地设置请允许才能再联接上

启用后用长途桌面联接一下,并给予授权


点击充许后,再用长途桌面联接就可以登岸了,其他端口、软件或网站的授权访问也是一样的操纵,在给予授权操纵时,请过细注意一下是否是我们请允许的程序访问的,不是的话或不明白的同等给予拒绝,拒绝后发现网站某项功能无法访问或出标题时,再来这里进行排查和修改规则,以包管服务器的安全。





7.     摆设注意事项
1、更新前肯定要经过自测和测试部分职员测试通过;
2、修改网站任何设置都必须提前做好备份,方便回档;
3、修改了服务器端的任何设置都必须提交做好拷屏与记载,方便网站出现任何标题时快速的找出标题;
4、对服务器端的相关端口进行变更时,必须提前在Windows防火墙和McAfee防火墙提前开通对应的端口,修改好端口重启服务器或软件后,记得关闭原端口,而且做好测试工作,防止发生无法访问的环境,特别对于长途访问端口的修改必须小心,否则可能会造成无法长途登岸的环境;
5、当发生某功能无法运行或堕落的时间,请先查抄Windows防火墙、McAfee访问掩护和防火墙,看看是否是给访问掩护规则克制了。
6、必须定期查抄用户管理查看是否有多余的用户和用户从属组是否改变;查抄应用程序日志、安整日志、系统日志、IIS访问日志、网站后台管理记载的日志、网站目次中记载的操纵日志与充值日志、McAfee访问保日志等,并做好备份工作;查看Windows防火墙、McAfee访问掩护和防火墙是否运行中,有没有不小心关闭后忘记开启了;查抄SQL的相关日志与记载增长量,查抄SQL备份环境,备份空间是否充足等;(具体可查看我下一篇文章《服务器安全查抄指引——一样平常维护阐明》)
7、除了做好服务器安全相关设置外,代码的安全也是非常重要的,全部提交的数据必须做好过滤操纵,防SQL注入和XSS攻击,客户端定期杀毒查木马,定期修改登岸暗码,以包管系统安全。


8.     结束语
服务器的安全无小事,事事须小心,一出标题就是大标题,以是真正操纵时必要非常细心+小心。
作为一个服务器维护职员,除了一样平常的维护工作外,有时间的话还须学习把握各种常用的黑客工具,熟悉各种攻击本领,多点上上乌云网等这种范例的网站,去看看别人是怎么入侵的,以做到更好的防护。
由于公司网站的一些特别性,以是发布的内容是经过删减过的,有一些特别设置和设置没有发布出来,呵呵......不过基本的安全防护形貌的差不多了。里面是否还存在有安全标题就不太清楚了,渴望有履历的朋侪多多指教。
如果你觉本篇文章有帮到你,也请帮助点推荐。
版权声明:
  本文由AllEmpty发布于博客园,本文版权归作者和博客园共有,接待转载,但未经作者同意必须保留此段声明,且在文章页面显着位置给出原文链接,如有标题,可以通过1654937#qq.com 联系我,非常感谢。
  发表本编内容,只要主为了和各人共同学习共同进步,有兴趣的朋侪可以加加Q群:327360708 或Email给我(1654937#qq.com),各人一起探究,由于本人工作很繁忙,如果疑问请先留言,复兴不及时也请谅解。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作