1、华拓数码科技有限公司 服务器安全策略 SOP服 务 器 安 全 策 略 SOP版本: V1.0华拓数码科技有限公司2016.02.22华拓数码科技有限公司 服务器安全策略 SOP目 录1 安装 Win 200x 安全概览21.1 硬盘分区的文件系统选择21.2 组件的定制21.3 接入网络时间21.4 账户安全管理21.5 安全审核21.6 卸载无用的组件模块22 基本系统设置.32.1 安装补丁32.2 分区内容规划32.3 协议管理32.4 关闭所有以下不需要的服务32.5 删除 OS/2 和 POSIX 子系统42.6 帐号和密码策略.42.7 设置文件和目录权限.42.8 注册表一些条
2、目的修改.52.9 启用 TCP/IP 过滤52.10 移动部分重要文件并加访问控制.52.11 下载 Hisecweb.inf 安全模板来配置系统.62.12 服务器上其他工具程序的替代.62.13 设置陷阱脚本62.14 取消部分危险文件扩展名63 IIS 安全设置 .63.1 关闭并删除默认站点63.2 建立自己的站点,与系统不在一个分区63.3 删除 IIS 的部分目录63.4 删除不必要的 IIS 映射和扩展73.5 禁用父路径73.6 在虚拟目录上设置访问控制权限73.7 启用日志记录83.8 备份 IIS 配置83.9 修改 IIS 标志84 数据及备份管理94.1 备份94.2
3、 设置文件共享权限94.3 防止文件名欺骗94.4 Access 数据库的安全概要94.5 MSSQL 注入攻击的防范 .11华拓数码科技有限公司 服务器安全策略 SOP第 0 页5 其他辅助安全措施116 简单设置防御小流量 DDOS 攻击.127 日常安全检查15华拓数码科技有限公司 服务器安全策略 SOP第 1 页1 安装 Win 200x 安全概览1.1 硬盘分区的文件系统选择在安装 Win 200x 时,如条件许可,应至少建立两个逻辑分区,一个用作系统分区,另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系统分区
4、。对提供服务的机器,可按如下设置分区: 分区 1:系统分区,安装系统和重要日志文件。分区 2:提供给 IIS 使用。分区 3:提供给 FTP 使用。分区 4:放置其他一些资料文件。 (以上为示例,可灵活把握)1.2 组件的定制不要按 Win 200x 的默认安装组件,根据安全原则“最少的服务+最小的权限=最大的安全” ,只选择确实需要的服务安装即可。典型 Web 服务器需要的最小组件是:公用文件、Internet 服务管理器、 WWW 服务器。1.3 接入网络时间在安装完成 Win 200x 操作系统时,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病
5、毒和被入侵。补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS 的 HotFix 要求每次更改 IIS 的配置时都需要重新安装。1.4 账户安全管理1)账户要尽可能少,并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。2)停用 Guest 账号,并给 Guest 加一个复杂的密码。3)把系统 Administrator 账号改名,尽量把它伪装成普通用户,名称不要带有 Admin 字样。4)不让系统显示上次登录的用户名,具体操作如下: 修改注册表“HKLMSoftwar
6、eMicrosoft WindowsNT Current VersionWinlogonDont Display Last User Name”的键值,把 REG_SZ 的键值改成 1。1.5 安全审核在“管理工具远程控制服务配置连接”处,右键点击“RPD-TCP”连接,选择“属性” ,在其窗口选中“权限” ,点击右下角的“高级” ,选择“审核” ,增加一个“everyone”组,审核它的“连接” 、 “断开” 、 “注销”和“登录”的成功和失败。在“管理工具日记查看安全日记”可看到该审核记录。1.6 卸载无用的组件模块将Winntinf 下的 sysoc.inf 文件中的所有 hide 用替
7、换法删除;然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。华拓数码科技有限公司 服务器安全策略 SOP第 2 页2 基本系统设置2.1 安装补丁安装 Service Pack 和最新的 hotfix;安装 SQL 和 IIS 系列补丁。2.2 分区内容规划1)操作系统、Web 主目录、日志分别安装在不同的分区。2)关闭任何分区的自动运行特性:可以使用 TweakUI 等工具进行修改。以防万一有人放入 Autorun 程序实现恶意代码自动加载。2.3 协议管理卸载不需要的协议,比如 IPX/SPX, NetBIOS;在连接属性对话框的 TCP)/IP 属性的高级选项卡中,选择“WINS
8、” ,选定“禁用 TCP/IP 上的NETBIOS”。2.4 关闭所有以下不需要的服务以下仅供参考,具体还要看服务器上运行的应用来确定!要特别注意各服务之间的依赖关系,设置不当可能导致某些功能的异常,甚至服务器不能工作!建议每次只设置两三个项目,重启测试无误后再设置其他项目!* Alerter (disable) * ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disabl
9、e)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Sched
10、ule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)*Telephone Service (disable)在必要时禁止如下服务:* SNMP service (optional)华拓数码科技有限公司 服务器安全策略 SOP第 3 页* SNMP trap (optional)* UPS (optional设置如下服务为自动启动:* Eventlog ( required )* NT LM Security Provider (
11、required)* RPC service (required)* WWW (required)* Workstation (leave service on: will be disabled later in the document)* MSDTC (required)* Protected Storage (required)2.5 删除 OS/2 和 POSIX 子系统:删除如下目录的任何键:HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2 Subsystem for NT删除如下的键:HKEY_LOCAL_MACHINESYSTEMCurrentC
12、ontrolSetControlSession ManagerEnvironmentOs2LibPath删除如下的键:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptionalHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosixHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2删除如下目录
13、:c:winntsystem32os22.6 帐号和密码策略1)保证禁止 guest 帐号2)将 administrator 改名为比较难猜的帐号3)密码唯一性:记录上次的 6 个密码4) 最短密码期限:25) 密码最长期限:426) 最短密码长度:87) 密码复杂化(passfilt.dll):启用8) 用户必须登录方能更改密码:启用9) 帐号失败登录锁定的门限:610)锁定后重新启用的时间间隔:720 分钟11)本地安全策略:设置“本地安全策略本地策略选项”中的 RestrictAnonymous(匿名连接的额外限制)为“不容许枚举 SAM 账号和共享” 。在安全选项中,不显示上次登录用户
14、名、重命名管理员账号名称(某些情况下可能导致个别程序运行异常!) ;在用户权力指派中,限制更改系统时间、关闭系统的权力仅管理员。2.7 设置文件和目录权限将 C:winnt(C:windows), C:winntconfig(C:windowsconfig), 华拓数码科技有限公司 服务器安全策略 SOP第 4 页C:winntsystem32(C:windowssystem32), C:winntsystem(C:windowssystem)等目录的访问权限做限制,限制 everyone 的写权限,限制 users 组的读写权限;将各分区的根目录的 everyone 从权限列表中删除,然后分
15、别添加Administrators、 PowerUsers、Users、IUSR_*以不同的权限。不要给 Guests 任何权限。运行 Sfc /enable 启动文件保护机制。2.8 注册表一些条目的修改1) 去除 logon 对话框中的 shutdown 按钮将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中ShutdownWithoutLogon REG_SZ 值设为 02)去除 logon 信息的 cashing 功能将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi
16、ndows NTCurrent VersionWinlogon中CachedLogonsCount REG_SZ 值设为 03)隐藏上次登陆的用户名将 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中DontDisplayLastUserName REG_SZ 值设为 14)限制 LSA 匿名访问将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA 中RestricAnonymous REG_DWORD 值设为 15)去除所有网络共享将 HKEY_LO
17、CAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters中AutoShareServer REG_DWORD 值设为 0再创建一个 AutoShareWks 双字节值,设置为 0(注意大小写) 。6)禁止建立空连接默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成 17)修改终端服务的默认端口终端服务的默认端口为 3389,可考虑修改为别的
18、端口。修改方法为: 打开注册表,在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations”处找到类似 RDP-TCP 的子键,修改 PortNumber 值。2.9 启用 TCP/IP 过滤只允许 TCP 端口 80 和 443(如果使用 SSL)以及其他可能要用的端口;不允许 UDP 端口;只允许 IP Protocol 6 (TCP)。2.10 移动部分重要文件并加访问控制华拓数码科技有限公司 服务器安全策略 SOP第 5 页创建一个只有系统管理员能够访问的目录,将 system32 目录下的一些重要文件移动到此目录(
19、注意同时处理 System32Dllcache 目录中的同名文件!) 。但有时会因系统文件保护功能被启用而无法实现顺利删除。变通办法是选中这些文件,然后禁止任何人访问。为稳妥起见,应当事先将这些文件存放到其他比较安全的位置供管理员自己使用。xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, qbasic.exe,runonce.exe,syskey
20、.exe,cacls.exe, ipconfig.exe, rcp.exe, secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe, , netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe2.11 下载 Hisecweb.inf 安全模板来配置系统Http:/ Windows 2000 系统安全策略。将该模板复制到 %windir%securitytemplates 目录。打开“安全模板”工具,查看这些设置。打开“安全配置和分析”工具
21、,然后装载该模板。右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即分析计算机” 。 等候操作完成。查看结果,如有必要就更新该模板。右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即配置计算机” 。2.12 服务器上其他工具程序的替代浏览器建议使用 FireFox,以免最新的针对 IE 的漏洞造成的危害。平时尽量不在服务器上上网。2.13 设置陷阱脚本既要防范被人启用 Telnet 服务,又要考虑万一被入侵后的对策。除 Telnet 服务外,对 System32 目录下的 Telsrv.exe 等文件设置访问权限;关闭相关服务;然后再编辑 System32login.cmd
22、 文件,在其中添加脚本,目的是导致对方登录后出现异常,无法正常连接和工作。脚本的内容可以自由发挥,以阻断对方操作为准。2.14 取消部分危险文件扩展名如 reg VBS VBE JS 等。3 IIS 安全设置3.1 关闭并删除默认站点1)默认 FTP 站点 2)默认 Web 站点3)管理 Web 站点3.2 建立自己的站点,与系统不在一个分区如:D:wwwroot3建立 E:Logfiles 目录,以后建立站点时的日志文件均位于此目录,确华拓数码科技有限公司 服务器安全策略 SOP第 6 页保此目录上的访问控制权限是: Administrators(完全控制)System (完全控制)3.3
23、删除 IIS 的部分目录1) IISHelp C:winnthelpiishelp 2) IISAdmin C:system32inetsrviisadmin 3) MSADC C:Program FilesCommon FilesSystemmsadc 4)删除 C:inetpub 3.4 删除不必要的 IIS 映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时,该调用由 DLL 处理。如果您不使用其中的某些扩展或功能,则应删除该映射,步骤如下: 打开 Internet 服务管理器: 选择计算机名,点鼠标右键,选择属性:然
24、后选择编辑然后选择主目录,点击配置 选择扩展名 “.htw“, “.htr“,“.idc“,“.ida“,“.idq“和,点击删除如果不使用 server side include,则删除“.shtm“ “.stm“ 和 “.shtml“3.5 禁用父路径 (有可能导致某些使用相对路径的子页面不能打开)“父路径”选项允许您在对诸如 MapPath 函数调用中使用“ ”。在默认情况下,该选项 处于启用状态,应该禁用它。禁用该选项的步骤如下:右键单击该 Web 站点的根,然后从上下文菜单中选择“属性” 。 单击“主目录”选项卡。单击“配置” 。单击“应用程序选项”选项卡。取消选择“启用父路径”复选
25、框。3.6 在虚拟目录上设置访问控制权限主页使用的文件按照文件类型应使用不同的访问控制列表:CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators(完全控制)System(完全控制)脚本文件 (.asp) Everyone (X) Administrators(完全控制)System(完全控制)include 文件 (.inc, .shtm, .shtml) Everyone (X) Administrators(完全控制)System(完全控制)华拓数码科技有限公司 服务器安全策略 SOP第 7 页静态内容 (.txt, .gif, .
26、jpg, .html) Everyone (R) Administrators(完全控制)System(完全控制)在创建 Web 站点时,没有必要在每个文件上设置访问控制权限,应该为每个文件类型创建一个新目录,然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。 例如,目录结构可为以下形式:D:wwwrootmyserverstatic (.html) D:wwwrootmyserverinclude (.inc) D:wwwrootmyserver script (.asp) D:wwwrootmyserver executable (.dll) D:wwwrootmyserve
27、r images (.gif, .jpeg) 3.7 启用日志记录1)日志的审核配置确定服务器是否被攻击时,日志记录是极其重要的。应使用 W3C 扩展日志记录格式,步骤如下: 打开 Internet 服务管理器: 右键单击站点,然后从上下文菜单中选择“属性” 。单击“Web 站点”选项卡。 选中“启用日志记录”复选框。从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式” 。单击“属性” 。单击“扩展属性”选项卡,然后设置以下属性:* 客户 IP 地址 * 用户名* 方法* URI 资源* HTTP 状态* Win32 状态* 用户代理* 服务器 IP 地址 * 服务器端口2)日志的安全
28、管理 启用操作系统组策略中的审核功能,对关键事件进行审核记录; 启用 IIS、FTP 服务器等服务本身的日志功能;并对所有日志存放的默认位置进行更改同时作好文件夹权限设置! 安装 Portreport 对所有网络访问操作进行监视(可选,可能增大服务器负荷) ; 安装自动备份工具,定时对上述日志进行异地备份,起码是在其他分区的隐蔽位置进行备份,并对备份目录设置好权限(仅管理员可访问) 。 准备一款日志分析工具,以便随时可用。 要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。3.8 备份 IIS 配置华拓数码科技有限公司 服务器安全策略 SOP第 8 页可使用 IIS 的备份功能,将设定好
29、的 IIS 配置全部备份下来,这样就可以随时恢复。3.9 修改 IIS 标志1)使用工具程序修改 IIS 标志修改 IIS 标志 Banner 的方法:下载一个修改 IIS Banner 显示信息的软件IIS/PWS Banner Edit。利用它我们可以很轻松地修改 IIS 的 Banner。但要注意在修改之前我们首先要将 IIS 停止(最好是在服务中将World Wide Web Publishing 停止) ,并要将 DLLcache 下的文件全部清除。否则你会发现即使修改了一点改变也没有。IIS/PWS Banner Edit 其实是个傻瓜级的软件,我们只要直接在 New Banner
30、 中输入想要的Banner 信息,再点击 Save to file 就修改成功了。用 IIS/PWS Banner Edit 简单地修改,对菜鸟黑客来说他可能已被假的信息迷惑了,可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改 IIS 的 Banner 信息,这样才能做到万无一失。高版本 Windows 的文件路径为 C:WINDOWSsystem32inetsrvw3svc.dll,可以直接用Ultraedit 打开 W3SVC.DLL,然后以“Server:”为关键字查找。利用编辑器将原来的内容替换成我们想要的信息,比如改成 Apache 的显示信息,这样入侵者就无法判断
31、我们的主机类型,也就无从选择溢出工具了。2)修改 IIS 的默认出错提示信息等。4 数据及备份管理4.1 备份1)要经常把重要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。可采用自动的备份工具进行,要求支持 FTP 方式备份。2)使用系统的备份功能对安装好的系统进行阶段性备份。3)使用 WinRescue 等工具对注册表进行阶段性备份。4)使用 Ghost 对全面配置完毕的系统分区进行映像备份,并存放到隐藏的分区中。4.2 设置文件共享权限1)限制共享权限设置共享文件时,要注意把共享文件的权限从“everyone”组改成“授权用户” ,包括打印共享。2)关闭默认共享Win
32、200x 安装好以后,系统会创建一些隐藏的共享,在 cmd 下可用 net share 命令查看它们。要禁止这些共享。操作方法是:打开“管理工具计算机管理共享文件夹共享” ,在相应的共享文件夹上按右键,点“停止共享”即可。不当过机器重新启动后,这些共享又会重新开启。 4.3 防止文件名欺骗设置以下选项可防止文件名欺骗,如防止以.txt 或.exe 为后缀的恶意文件被显示为.txt 文件,从而使人大意打开该文件: 双击“我的电脑工具文件夹选项查看” ,选择“显示所有文件和文件夹”属性设置,去掉“隐藏已知文件类型扩展名”属性设置。4.4 Access 数据库的安全概要华拓数码科技有限公司 服务器安
33、全策略 SOP第 9 页1)新生成的数据库在保证干净的前提下,主动在尾部合并一行 ASP 代码,内容一般可以为重定向,以免费别人通过论坛发帖等方式嵌入有害代码后被得到执行;2)对 MDB 文件创建一个无效的映射,以便在 IE 中下载时出错;3)修改出错页面,建议将出错页面设计为正常被曝库后的内容,但给一个数据库的虚假地址(最好存在相应的虚假数据库文件,比如一个改名后的病毒等) ;4)在防火墙中对 MDB 类型的扩展名进行过滤;5)删除或禁用网站的后台数据库备份功能,而用本地安装的专门自动备份程序进行自动增量备份。6) ASP 通用防止注入的程序:功能简单说明:1.自动获取页面所有参数,无需手工
34、定义参数名。2.提供三种错误处理方式供选择。(1).提示信息。(2).转向页面。(3).提示信息,再转向页面。3.自定义转向页面。使用方法很简单,只需要在 ASP 页面头部插入代码包含 Fy_SqlX.Asp 就可以了 简单实用“ ThenIf Instr(LCase(Request(Fy_Cs(Fy_x),“)0 or Instr(LCase(Request(Fy_Cs(Fy_x),“select“)0 or Instr(LCase(Request(Fy_Cs(Fy_x),“chr“)0 or Instr(LCase(Request(Fy_Cs(Fy_x),“;“)0 or Instr(LC
35、ase(Request(Fy_Cs(Fy_x),“mid“)0 ThenSelect Case Fy_ClCase “1“Response.Write “alert( 出现错误!参数 “,and,select,update,insert,delete,chr 等非法字符!);window.close();“Case “2“Response.Write “location.href=“,and,select,update,insert,delete,chr 等非法字符!);location.href=“End SelectResponse.EndEnd IfEnd IfNext%4.5 MSSQ
36、L 注入攻击的防范攻击者可调用 SQL 里的 Master 里的扩展存储过程中的 xp_cmdshell 来执行系统指令。1)删除扩展存储过程在控制面板计算机管理Microsoft SQL Server(Local)数据库master扩展存储过程xp_cmdshell,右击然后删除!也可以使用命令删除:sp_dropextendedproc xp_cmdshell接着在系统分区搜索并删除或改名、移除 xplog70.dll 文件防止恶意者恢复上述配置。2)删除注册表操作功能删除上述位置下的:xp_regaddmultistring(向注册表添加项目)xp_regdeletekey(向注册表删除
37、一个项)xp_regdeletevalue(向注册表删除一个键值)xp_regnumvalues(列举主键下的键值)xp_regread(读取一主键下的键值)xp_regremovemultistring(从注册表中删除项目)xp_regwrite(向注册表中数据)3)防范跨库查询每个数据库分别设置一个数据库用户,该用户只能对其拥有的数据库进行查询,禁止其他数据库(包括 4 个系统数据库 Master Model Tempdb Msdb 和两个用户数据库 Pubs t Northwind) 。5 其他辅助安全措施5.1 安装可靠的杀毒软件并立即升级;5.2 安装一款可能强大且配置灵活的网络防火
38、墙,并认真做好规则设置;防火墙的选择、安装和配置概览:选择:1)一定要有出站审核功能的防火墙,防止反向连接的木马后门;华拓数码科技有限公司 服务器安全策略 SOP第 11 页2)设置适当的安全级别,安装初期可采用学习模式并小心配置,随后入为最高安全级别;3)配置好防火墙规则。建议默认为无匹配规则则拒绝,然后一一添加必须的规则;4)防火墙规则要经常备份和检查,发现可疑规则要高度警惕,或者不保存恢复备份规则。5)选择建议:天网;Look n Stop、ZoneAlarm;服务器建议 Deer Field。6)常用端口:FTP:21 WEB:80 SMTP:25 POP3:110 终端服务:3389
39、 (不建议使用;建议修改)MYSQL:3306 可在数据库的配置文件中将端口改一下,比如 3389,其他如远程管理工具的端口也不建议使用默认端口。7)服务器建议使用 DeerField 对各种注入等手段通过 URL 提交的命令的关键字以及敏感文件的扩展名进行过滤,如.MDB、 、-、NULL、select、%5c、c:、cmd 、system32、xp_ cmdshell、exec 、a、dir、alert()、 or=、WHERE、count(*)、between、and、inetpub 、wwwroot、nchar、 ,%2B、%25 等。对于提交有上述字串请示的IP,一般都是人为有意进行
40、,因此可令防火墙对这类访问的 IP 进行较长时间的屏蔽。其他安全工具安装安全工具:如 Urlscn、IISLock 等。5.3 修改系统目录和程序目录中所有文件的日期、时间为一个特定的值,以便日后查找可疑程序时筛选方便;全部配置完毕,对系统目录和程序目录分别制作文件列表,将列表保存到隐藏分区中。5.4 在网络的另一台计算机上,使用多种流行的扫描工具对服务器进行扫描,检测是否仍然有未处理好的已知漏洞。5.5 针对现有免费代码的利用安全问题免费程序不要真的就免费用,既然你可以共享原码,那么攻击者一样可以分析代码。如果有能力的站长最好还是更改一下数据库表名,字段名,只修改关键的 admin, use
41、rname, password 就可以了,比如 forum_upasswd 这样的字段名谁能猜到?如果你猜到了,最好赶快去买彩票吧,特等奖不是你还会有谁呢?另外,一般站点的关键就在于管理员的密码,很好的保护好你的管理员密码那是至关重要的,至少 10 位的数字字母组合。另外加上现在大多数站点程序都会使用 MD5 来加密用户密码,加上你密码的强壮性,那样你站点的安全性就大大的提高了。即使出现了 SQL Injection 漏洞,攻击者也不可能马上拿下你的站点。5.6 文件列表、任务列表和服务列表的生成和利用生成各种目录列表备份对于日后查找可疑文件是非常重要的,一般在服务器部署完毕后必须立即进行!1
42、)文件列表全部配置完毕,制作系统目录和程序目录等位置的文件列表备份,并保存为文件。建议分别进行完整列表、DLL 文件列表和 EXE 文件列表、 TMP 文件列表、COM 文件列表、CMD 文件列表、 SCR 文件列表的制作。2)任务管理器任务列表可以采用抓图的方法保存任务管理器的任务列表;建议采用专门的进程查看工具导出详细的进程及模块列表备查!3)系统服务列表可对“已启动”和“自动”的服务类型进行排序,然后抓图保存。华拓数码科技有限公司 服务器安全策略 SOP第 12 页6 简单设置防御小流量 DDOS 攻击 防范 DDOS 攻击并不一定非要用防火墙。一部份 DDOS 我们可以通过 DOS 命
43、令 netstat -an|more 或者网络综合分析软件: sniff 等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方 IP 等。这样我们可以利用 w2k 自带的远程访问与路由或者 IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范 DDOS 攻击。如果通过对服务器设置不能有效解决,那么就可以考虑购买抗 DDOS 防火墙了。 其实从操作系统角度来说,本身就藏有很多的功能,只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何在Win2000 环境下通过修改注册表,增强系统的抗 DoS 能力。
44、请注意,以下的安全设置均通过注册表进行修改,该设置的性能取决于服务器的配置,尤其是 CPU 的处理能力。如按照如下进行安全设置,采用双路至强 2.4G 的服务器配置,经过测试,可承受大约 1 万个包的攻击量。关闭无效网关的检查。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters当服务器设置了多个网关,这样在网络不通畅的时候系统会尝试连接第二个网关,通过关闭它可以优化网络。“EnableDeadGWDetect“=dword:00000000禁止响应 ICMP 重定向报文。此类报文有可能用以攻击,所以系统应该拒绝接受
45、ICMP 重定向报文。“EnableICMPRedirects“=dword:00000000不允许释放 NETBIOS 名。当攻击者发出查询服务器 NETBIOS 名的请求时,可以使服务器禁止响应。注意系统必须安装 SP2 以上“NonameReleaseOnDemand“=dword:00000001发送验证保持活动数据包。该选项决定 TCP 间隔多少时间来确定当前连接还处于连接状态,不设该值,则系统每隔 2 小时对 TCP 是否有闲置连接进行检查,这里设置时间为 5 分钟。“KeepAliveTime“=dword:000493e0禁止进行最大包长度路径检测。该项值为 1 时,将自动检测
46、出可以传输的数据包的大小,可以用来提高传输效率,如出现故障或安全起见,设项值为 0,表示使用固定 MTU 值576bytes。“EnablePMTUDiscovery“=dword:00000000启动 syn 攻击保护。缺省项值为 0,表示不开启攻击保护,项值为 1 和 2 表示启动 syn 攻击保护,设成 2 之后安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 值设定的条件来触发启动了。这里需要注意的是,NT4.0 必须设为 1,设为 2 后在某种特殊数据包下会导致系统重启。“SynAttackProtec
47、t“=dword:00000002同时允许打开的半连接数量。所谓半连接,表示未完整建立的 TCP 会话,用 netstat 命令可以看到呈 SYN_RCVD 状态的就是。这里使用微软建议值,服务器设为 100,高级服务器设为 500。建议可以设稍微小一点。“TcpMaxHalfOpen“=dword:00000064判断是否存在攻击的触发点。这里使用微软建议值,服务器为 80,高级服务器为 400。“TcpMaxHalfOpenRetried“=dword:00000050设置等待 SYN-ACK 时间。缺省项值为 3,缺省这一过程消耗时间 45 秒。项值为 2,消耗时华拓数码科技有限公司 服务器安全策略 SOP第 13 页间为 21 秒。项值为 1,消耗时间为 9 秒。最低可以设为 0,表示不等待,消耗时间为 3 秒。这个值可以根据遭受攻击规模修改。微软站点安全推荐为 2。“TcpMaxConnectResponseRetransmissions“=dword:00000001设置 TCP 重传单个数据段的次数。缺省项值为 5,缺省这一过程消耗时间 240 秒。微软站点安全推荐为 3。“TcpMaxDataRet
