1、服務器安全配置方案1. 服務器硬件配置1.1 教務軟件與數(shù)據(jù)庫分別安裝在兩臺服務器上。1.2 教務軟件服務器（windows server2003系統(tǒng)），開放內網、外網。同時只開放80 、 1433端口。1.3 數(shù)據(jù)庫服務器（sql server2008數(shù)據(jù)庫），不開放外網，只允許教務軟件服務器訪問。同時只開放1433端口。2 Windows Server 2003服務器安全。2.1 安裝網絡殺毒軟件和網絡防火墻（建議：卡巴斯基）2.2 將<systemroot>System32cmd.exe轉移到其他目錄或更名；2.3 系統(tǒng)帳號盡量少，更改默認帳戶名（如Administrator

2、）和描述，密碼盡量復雜；2.4 拒絕通過網絡訪問該計算機（匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統(tǒng)服務帳戶）2.5 建議對一般用戶只給予讀取權限，而只給管理員和System以完全控制權限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成，這時需要對這些文件所在的文件夾權限進行更改，建議在做更改前先在測試機器上作測試，然后慎重更改。2.6 禁止C$、D$一類的缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShare

3、Server、REG_DWORD、0x02.7 禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareWks、REG_DWORD、0x0 2.8 限制IPC$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous REG_DWORD 0x0 缺省0x1 匿名用戶無法列舉本機用戶列表 0x2 匿名用戶無法連接本機IPC$共享 說明:不建議使用2，否則可能會造成你的一些服務無

4、法啟動，如SQL Server2.9 僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障 2.10 在網絡連接的協(xié)議里啟用TCP/IP篩選，僅開放必要的端口（如80）2.11 通過更改注冊表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止139空連接2.12 修改數(shù)據(jù)包的生存時間(TTL)值2.13 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 2.14 DefaultTTL REG_DWORD 0-0xff(0

5、-255 十進制,默認值128)2.15 防止SYN洪水攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAttackProtect REG_DWORD 0x2(默認值為0x0)2.16 禁止響應ICMP路由通告報文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface PerformRouterDiscovery REG_DWORD 0x0(默認值為0x2)2.17 防止ICMP重定向報文

6、的攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默認值為0x1)2.18 不支持IGMP協(xié)議 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters IGMPLevel REG_DWORD 0x0(默認值為0x2)2.19 設置arp緩存老化時間設置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipPar

7、ameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認值為120秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認值為600)2.20 禁止死網關監(jiān)測技術 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1) 安裝和配置 IIS 服務：1.僅安裝必要的 IIS 組件。（禁用不需要的如FTP 和 SMTP 服務）2.僅啟用必要的服

8、務和 Web Service 擴展，推薦配置:UI中的組件名稱設置設置邏輯后臺智能傳輸服務 (BITS)服務器擴展啟用BITS是 Windows Updates和“自動更新”所使用的后臺文件傳輸機制。如果使用 Windows Updates或“自動更新”在 IIS服務器中自動應用 Service Pack和熱修補程序，則必須有該組件。公用文件啟用IIS需要這些文件，一定要在 IIS服務器中啟用它們。文件傳輸協(xié)議 (FTP)服務禁用允許 IIS服務器提供 FTP服務。專用 IIS服務器不需要該服務。FrontPage 2002 Server Extensions禁用為管理和發(fā)布 Web站點提供

9、FrontPage支持。如果沒有使用 FrontPage擴展的 Web站點，請在專用 IIS服務器中禁用該組件。Internet信息服務管理器啟用IIS的管理界面。Internet打印禁用提供基于 Web的打印機管理，允許通過 HTTP共享打印機。專用 IIS服務器不需要該組件。NNTP服務禁用在 Internet中分發(fā)、查詢、檢索和投遞 Usenet新聞文章。專用 IIS服務器不需要該組件。SMTP服務禁用在 Internet中分發(fā)、查詢、檢索和投遞 Usenet新聞文章。專用 IIS服務器不需要該組件。SMTP服務禁用支持傳輸電子郵件。專用 IIS服務器不需要該組件。萬維網服務啟用為客戶端

10、提供 Web服務、靜態(tài)和動態(tài)內容。專用 IIS服務器需要該組件。萬維網服務子組件UI中的組件名稱安裝選項設置邏輯Active Server Page啟用提供 ASP支持。如果 IIS服務器中的 Web站點和應用程序都不使用 ASP，請禁用該組件；或使用 Web服務擴展禁用它。Internet數(shù)據(jù)連接器禁用通過擴展名為 .idc的文件提供動態(tài)內容支持。如果 IIS服務器中的 Web站點和應用程序都不包括 .idc擴展文件，請禁用該組件；或使用 Web服務擴展禁用它。遠程管理 (HTML)禁用通過擴展名為 .idc的文件提供動態(tài)內容支持。如果 IIS服務器中的 Web站點和應用程序都不包括 .id

11、c擴展文件，請禁用該組件；或使用 Web服務擴展禁用它。遠程桌面 Web連接禁用包括了管理終端服務客戶端連接的 Microsoft ActiveX®控件和范例頁面。改用 IIS管理器可使管理更容易，并減少了 IIS服務器的攻擊面。專用 IIS服務器不需要該組件。服務器端包括禁用提供 .shtm、.shtml和 .stm文件的支持。如果在 IIS服務器中運行的 Web站點和應用程序都不使用上述擴展的包括文件，請禁用該組件。WebDAV禁用WebDAV擴展了 HTTP/1.1協(xié)議，允許客戶端發(fā)布、鎖定和管理 Web中的資源。專用 IIS服務器禁用該組件；或使用 Web服務擴展禁用該組件。

12、萬維網服務啟用為客戶端提供 Web服務、靜態(tài)和動態(tài)內容。專用 IIS服務器需要該組件3. 將IIS目錄數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內。4. 在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）5. 在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件6. Web站點權限設定（建議）Web站點權限：授予的權限：讀允許寫不允許腳本源訪問不允許目錄瀏覽建議關閉日志訪問建議關閉索引資源建議關閉執(zhí)行推薦選擇 “僅限于腳本”7.建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，H

13、TTP狀態(tài)，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和system為Full Control）。 3 SQL SERVER2008 數(shù)據(jù)庫服務器安全步驟說明MDAC 升級安裝最新的MDAC密碼策略由于SQL Server不能更改sa用戶名稱，也不能刪除這個超級用戶，所以，我們必須對這個帳號進行最強的保護，當然，包括使用一個非常強壯的密碼，最好不要在數(shù)據(jù)庫應用中使用sa帳號。新建立一個擁有與sa一樣權限的超級用戶來管理數(shù)據(jù)庫。同時養(yǎng)成定期修改密碼的好習慣。數(shù)據(jù)庫管理員應該定期查看是否有不符合密碼要求的帳號。比如使用下

14、面的SQL語句：Use masterSelect name,Password from syslogins where password is null數(shù)據(jù)庫日志的記錄核數(shù)據(jù)庫登錄事件的“失敗和成功”，在實例屬性中選擇“安全性”，將其中的審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細記錄了所有帳號的登錄事件。管理擴展存儲過程xp_cmdshell是進入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。請把它去掉。使用這個SQL語句： use master sp_dropextendedproc 'xp_cmdshell'如果你需要這個存儲過程，請用這個語句也

15、可以恢復過來。sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'OLE自動存儲過程（會造成管理器中的某些特征不能使用），這些過程包括如下（不需要可以全部去掉： Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注冊表訪問的存儲過程，注冊表存儲過程甚至能夠讀出操作系統(tǒng)管理員的密碼來，如下： Xp_regaddmultistring Xp_regdeletekey Xp

16、_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite防TCP/IP端口探測在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏SQL Server實例。請在上一步配置的基礎上，更改原默認的1433端口。在IPSec過濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQL Server。對網絡連接進行IP限制使用操作系統(tǒng)自己的IPSec可以實現(xiàn)IP數(shù)據(jù)包的安全性。請對IP連接進行限制，保證只有自己的IP能夠訪問，拒絕其他IP進行的端口連接。附：Win2003系統(tǒng)建議禁用服務列表名稱服務名建

17、議設置自動更新wuauserv禁用Background Intelligent Transfer ServiceBITS禁用Computer BrowserBrowser禁用DHCP ClientDhcp禁用NTLM Security Support ProviderNtLmSsp禁用Network Location AwarenessNLA禁用Performance Logs and AlertsSysmonLog禁用Remote Administration ServiceSrvcSurg禁用Remote Registry ServiceRemoteRegistry禁用Serverlanmanser