win2008 服务器安全设置部署
下面就将写好的《服务器安全部署文档》分享出来,希望能对大家有所帮助。当然本人不是黑客,也不知道所有的攻击手段,所以其中可能存在遗漏的地方,也请大家提出建议。按本文档的安全设置思想配置服务器(不同平台、操作系统不同版本的配置都有一定的不同之处,但安全设置思路是共通的),管理的众多服务器(其中包括各种Web服务器、数据库服务器、流媒体服务器、游戏服务器(Linux系统))从2005年到现在,还没发现给入侵成功的例子,当然也有可能没有非常利害的黑客来进行攻击有关,但从中也可以看到安全方面还是有一些保障的(呵呵...自夸的得多了,都不好意思了)。如果手上没有服务器的朋友,也可以在自己电脑用虚拟机安装配置试试(在我公司技术部,将文档发给大家后,不少同事都尝试按文档指引操作过,对提升服务器安全部署还是相当有帮助的)。当然虚拟机在配置时,有一些地方与实际服务器上操作还是有些细微的差别的。
1. 前言.. 3
2.1 服务器环境信息.. 3
4. 安装操作系统.. 4
5.1 安装磁盘碎片整理程序.. 4
5.3 安装IIS. 6
5.5 安装SQL2008. 9
5.7 安装杀毒软件与防火墙.. 17
6.1. 修改系统默认帐户名.. 22
6.3. 服务器硬盘安全访问安全配置.. 28
6.5. 配置跨服务器同步更新图片网站.. 68
6.7. 设置网络访问策略.. 76
6.9. 关闭默认共享.. 79
6.11. 修改审核策略.. 81
6.13. 开启远程桌面功能.. 83
6.15. 配置McAfee防火墙.. 97
其实要配置一台安全的服务器,简单来说就几句话:
使用可进行端口通讯访问策略配置的防火墙;
对于网站目录,能写入的目录或文件不能有执行权限,有执行权限的目录不可以赋给写入权限。(这条最为关键)
2. 部署环境
2.1 服务器环境信息
服务器硬件配置:
服务器软件环境:
3. 磁盘阵列配置
4. 安装操作系统
具体安装操作步骤,请查看《R820服务器安装指南》
1) 通过Lifecycle 安装 windows 2008:
http://zh.community.dell.com/support_forums/poweredge/f/279/t/2812.aspx
这个方法是开机直接按F10,进行安装操作系统,可以快速的安装。其它官方支持的系统安装,只是在选择操作系统的时候,选择对应的就可以进行快速的安装。
2) 手动安装2012 :
http://zh.community.dell.com/support_forums/poweredge/f/279/t/9621.aspx
这个方法是直接通过2012的安装光盘,从光驱启动进行安装的操作方法。
在选择安装磁盘时,可将本文档所在文件夹中的RAID驱动解压到U盘中,将U盘插入服务器后手动选择载入驱动进行安装。
其他安装过程的操作方法同平时安装操作系统一样,这里就不做详细描述了。
由于服务器的相关文件、图片和各种日志文件会不停的创建与删除,服务器运行时间长了以后,磁盘上会存在很多文件碎片,这样就会降低服务器的性能,缩短硬盘寿命。
Diskeeper2011_ProPremier是一个实时碎片整理程序,它不干扰系统资源,自动化运行,可以自动防止关键系统文件产生碎片,实时监控磁盘,一旦产生碎片就进行整理,最大程度地保证系统稳定性和速度,而它的智能文件访问加速顺序技术I-FAAST2.0最高可将最常用文件的访问速度提高80%(平均10%~20%)。(具体介绍请查看官方相关文档)
运行安装:
略
5.3 安装IIS
运行dotNetFx40_Full_x86_x64.exe安装.net4框架(这个必须在IIS安装完成后才进行安装,这样才会在IIS的相关属性中自动绑定.net4框架)
5.5 安装SQL2008
继续安装SQL2008,请先操作第6.1修改系统默认帐户名步骤后的管理员用户再进行下面步骤
按6.1操作后,将SQL2008_CHS.iso载入虚拟光盘,运行安装
选择“安装”=》 “全新SQL Server 独立安装或向现有安装添加功能”
操作到这一步时请注意:
1)身份验证模式选择混合模式
2)设置的SA密码必须为长于32位的中英文(大小写)+数字,谁也记不住的乱码,设置好后都不再使用该账号与密码。
3)指定的SQL Server管理员为当前用户(必须是操作第6.1修改系统默认帐户名步骤后的管理员用户,如果不是的话有可能导致登陆不了SQL)
有时候运行到最后一步时会显示安装出错,这时重启后进入控制面板,点击卸载程序,将刚安装的SQL2008删掉后再次重启电脑,进行安装就可以了,当然我试过一次通过,也试过这样操作三四次后才成功,为什么会这样就不知道了。
略
5.7 安装杀毒软件与防火墙
直接运行McAfeeHIP_ClientSetup.exe (注:正版的安装方法与下面是不一样的,有一些区别)
运行后不会有任何安装界面出来,等待一会后再运行补丁,如下图
双击鼠标左键就可以了,然后进入下图路径,找到已经安装好的防火墙程序
运行McAfeeFire.exe,就可以打开防火墙软件了
修改系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组),同样改名禁用掉Guest用户。
先对原Administrator用户进行重命名
修改为你自己喜欢的名称
6.2. 配置帐户锁定策略
所有磁盘除CREATOR OWNER、administrators和system的用户权限全部删除(C盘必须保留Users用户组,理论上来说是要删除Users用户组的,但很多朋友如果这里直接删除,操作不当的话,网站有可能就访问不了,必须对系统目录下的不少目录重新配置权限非常麻烦,所以本文建议保留,只要按下面的一些设置做到位,这里也不会有多大的安全隐患的)
6.4. 配置网站
(由于本站的前后端分开,图片站也是独立的,另外做了一个图片异步跨服务器更新程序,所以有下面四个文件夹)
打开服务器管理器,进入本地用户和组管理,为上面几个网站添加对应的绑定用户,并分别设置超长混合密码,并记录下来,后面备用
然后将创建好的几个帐户所隶属的默认组删除,添加Guests组
设置网站的默认文档为Index.aspx
设置ISAPI和CGI限制
双击ASP打开属性编辑,将启用父路径修改为True
附加数据库操作
打开SQL2008
找到数据库存放位置
将红框框住的两个帐户设置可修改权限
禁用可写入目录的执行权限(也可以将所有不用运行ASPX脚本的目录都禁用执行权限,比如css、js等)
略
进入安装好的SQL目录搜索 xplog70.dll 然后将找到的文件删除(这样操作会使SQL代理服务停止运行,所以如果使用代理功能的朋友请不要删除)
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-本地策略-安全选项,将
网络访问:可匿名访问的共享;
网络访问:可匿名访问的命名管道;
网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径;
以上四项清空
6.8. 设置用户权限分配策略
另外,在添加新站点时,也必须将创建的新用户添加到这里
6.9. 关闭默认共享
打开服务器管理器,进入“服务”管理,将下列服务禁用(用黄色标识的服务在2008系统中可能不存在)
6.11. 修改审核策略
开启系统防火墙(控制面板=》系统和安全=》Windwos防火墙=》打开或关闭Windows防火墙),如果远程操作的话就要小心,不要将自己的连接也给禁用了
关闭“文件和打印共享”功能
6.13. 开启远程桌面功能
修改远程桌面链接端口
点击开始菜单,输入regedit打开注册表
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp项的PortNumber值由3389修改为比如:12345这些高端端口
设置后重新电脑就马上生效了
注:如果是远程修改端口的话,需要同时修改McAfee防火墙,添加新的端口规则,这样才不会出现无法远程登陆的情况
打开VirusScan控制台
启用访问保护
打开访问保护属性
要排除的进程:
FrameworkService.exe, mmc.exe, svchost.exe
开启防火墙的各项阻止规则
按下面要求,在对应的规则里添加排除的进程
这些规则的添加,需要经常查看“访问保护日志”,看那些程序是我们请允许执行的,但却给防火墙阻止了,将它们到对应的排除进程当中(具体操作如果不懂的可以查查百度,或者查看我下一篇文章《服务器安全检查指引——日常维护说明》,它属性服务器的日常维护内容)
6.15. 配置McAfee防火墙
启用防火墙功能——如果是远程桌面操作的话,这一步操作后远程桌面会马上无法联接,需要在服务器本地设置请允许才能再联接上
启用后用远程桌面联接一下,并给予授权
7. 部署注意事项
8. 结束语
作为一个服务器维护人员,除了日常的维护工作外,有时间的话还须学习掌握各种常用的黑客工具,熟悉各种攻击手段,多点上上乌云网等这种类型的网站,去看看别人是怎么入侵的,以做到更好的防护。