文章簡(jiǎn)介:本文將為大家介紹在應(yīng)用微軟Windows系列OS服務(wù)器中,在對(duì)服務(wù)器安全性做評(píng)估、檢查時(shí)所需的安全檢查要素與注意事項(xiàng)。筆者意愿旨在提高國(guó)內(nèi)企業(yè)的安全認(rèn)識(shí)以及個(gè)人的安全意識(shí)與服務(wù)器管理人員的安全技術(shù)水平;為創(chuàng)造綠色的安全網(wǎng)絡(luò)環(huán)境而微盡薄力。

服務(wù)器安全檢查十大要素正文內(nèi)容:
(注:本文所講訴的觀點(diǎn)針對(duì)Win 2K、Win Server 2003等Win系統(tǒng)服務(wù)器平臺(tái);Unix、Linux不在本文講述范圍)

一、基本安全策略的部署宗旨:"最小權(quán)限+最少應(yīng)用+最細(xì)的設(shè)置+日常的檢查=最大的安全"(最少權(quán)限是指各種服務(wù)與應(yīng)用程序運(yùn)行在最小的權(quán)限范圍;最少應(yīng)用是指服務(wù)器僅安裝必需的應(yīng)用軟件與程序;最細(xì)的設(shè)置是指在應(yīng)用安全策略時(shí)必需得周全、細(xì)心;日常檢查是指服務(wù)器 的日常檢查、系統(tǒng)優(yōu)化、垃圾臨時(shí)文件清理、Log數(shù)據(jù)的分析等常規(guī)工作。)

二、操作系統(tǒng)本身安全:"是否將所有系統(tǒng)補(bǔ)丁都完全更新到最新?如果不是特別原因您可以將補(bǔ)丁的更新設(shè)置為自動(dòng)進(jìn)行;是否對(duì)Win系統(tǒng) 本身存在的一些己知或者未知的漏洞與隱患進(jìn)行了修正或者彌補(bǔ)?例如:采用ACLs控制系統(tǒng)的關(guān)鍵命令與關(guān)鍵服務(wù)、降底某些服務(wù)器的服務(wù)或 應(yīng)用程序的默認(rèn)運(yùn)行權(quán)限、防范程序Overflow溢出攻擊、提權(quán)等(注:關(guān)于防溢出提權(quán)參考下筆者以前的文章:《防溢出提權(quán)攻擊解決辦法》)

三、密碼/口令安全:"所有系統(tǒng)口令、以及各種應(yīng)用程序與服務(wù)、Web、數(shù)據(jù)庫(kù)等口令是否全是強(qiáng)悍的口令?在這里本人建議大家在使用口令時(shí) 盡量的用到轉(zhuǎn)義字符,因?yàn)檗D(zhuǎn)義字符存在破解與直接讀取較難的特點(diǎn)�；蛘呃�用加密字串不作口令。例如:“Leebolin$)^_^1688!@#”這樣的口令。"

四、WEB服務(wù)器安全:"包括 1、IIS自身的安全,以及用戶在設(shè)置時(shí)的安全極別的高底、以及虛擬主機(jī)的安全、網(wǎng)頁(yè)目錄讀寫權(quán)限Acls、腳本權(quán)限使用是否適當(dāng)?shù)鹊?..這里就不再詳述,不太明白的讀者可以去服安論壇參考一下本人以前寫過的幾篇關(guān)于Web安全的文章如:《FSO安全隱患解決辦法》、《ASP木馬Webshell之安全防范解決辦法》、《ASP.NET木馬及Webshell安全解決方案》。2、擴(kuò)展腳本或三訪Web服務(wù)器的安全,如加強(qiáng)PHP的安全設(shè)置,加強(qiáng)Apache、TomCat、Resin等的安全)。3、如有必要請(qǐng)啟動(dòng)WEB服務(wù)的SSL連接,以加強(qiáng)安全性。"

五、TCP/IP協(xié)議相關(guān):"1、TCP/UDP端口安全;2、ACLs訪問控制列表;3、防火墻安全策略;4、NetBIOS,IPX,ICMP,IGMP
等協(xié)議安全"(詳細(xì)情況情可以去服務(wù)器安全討論區(qū)相關(guān)版塊查看一下相關(guān)文章與教程,以保證TCP/IP協(xié)議應(yīng)用的相關(guān)安全性。例如:禁用ICMP、改注冊(cè)表加強(qiáng)系統(tǒng)對(duì)SYN攻擊、ICMP、IGMP等攻擊的抗衡能力,及采用IPSec或者Firewall、Tcp/IP Filter封端常見木馬端口與不安全協(xié)議等)本文筆者:李泊林,英文名:LeeBolin.(AD^_^:游刃在技術(shù)鬼神邊緣,打造服務(wù)器安全神話!創(chuàng)世紀(jì)網(wǎng)絡(luò)技術(shù)前瞻,成就互聯(lián)網(wǎng)革命先驅(qū)!服務(wù)器安全討論區(qū) [S.S.D.A] http://www.31896.net) 　　

六、數(shù)據(jù)庫(kù)的安全:"1、如果采用SQL Server數(shù)據(jù)庫(kù),請(qǐng)確保SQL的安全:刪除危險(xiǎn)的擴(kuò)展存儲(chǔ)過程xp_cmdshell、 Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、 xp_regread、Xp_regwrite、Xp_regremovemultistring之類或降SQL SERVER不要以system權(quán)限運(yùn)行;如果采用MySQL請(qǐng)如實(shí)做相關(guān)的安全。2、數(shù)據(jù)庫(kù)服務(wù)器請(qǐng)用最新版本軟件,如用SQL 2000請(qǐng)必需打上Sp4。3、如數(shù)據(jù)庫(kù)服務(wù)器不需要外部連接,請(qǐng)最好不要開放TCP1433/TCP3306、UDP1434等等。"(詳細(xì)細(xì)節(jié)情況請(qǐng)參相關(guān)資料,這里不再詳述)如無數(shù)據(jù)庫(kù)服務(wù)器則略過此項(xiàng)..

七、郵件服務(wù)器安全:"1、郵件服務(wù)器不管您選擇那一款軟件,建議都用新版...因?yàn)榕f版的漏洞太多;諸如像Imail以前的N個(gè)溢出與三地提升權(quán)限的漏洞而引起的攻擊。2、郵件服務(wù)器做好反垃圾處理,以及做好服務(wù)器的優(yōu)化。"(詳細(xì)細(xì)節(jié)情況請(qǐng)參相關(guān)資料,這里不再詳述)如無郵件服務(wù)器則略過此項(xiàng)..)

八、FTP服務(wù)器的安全:"1、 FTP服務(wù)器當(dāng)然是一般WEB服務(wù)器所需必的了,就Win下常見的較多有Microsoft的IIS FTP以及Serv-U。2、如用Serv-U或其它三方FTP服務(wù)器軟件,請(qǐng)確保新版本,并加固安全設(shè)置。如:詳細(xì)的控制各用戶的上傳下載權(quán)限、更換默認(rèn)的FTP連接端口、以及采用SSL加密碼連接方式,對(duì)FTP的連接數(shù)進(jìn)行適當(dāng)限制防攻擊與暴破等等。3、如用Win自帶的FTP,請(qǐng)將FTP所用的 User加上強(qiáng)狀的口令,并配合NTFS的ACLs對(duì)FTP站點(diǎn)目錄進(jìn)行嚴(yán)格控制..."(詳細(xì)細(xì)節(jié)情況請(qǐng)參相關(guān)資料,這里不再詳述)如FTP服務(wù)器則略過此項(xiàng)..)

九、其它三方安全:"1、盡量少在服務(wù)器主安裝不必要的一些三方軟件。2、確保服務(wù)器上的所有三方軟件的安全,及時(shí)更新并升級(jí)...3、確保經(jīng)常遠(yuǎn)程連接服務(wù)器的個(gè)人電腦的安全。4、確保機(jī)房的網(wǎng)絡(luò)運(yùn)行環(huán)境的安全。5、如非必要一定不要在服務(wù)器上開網(wǎng)頁(yè),上QQ之類;最好是封避服務(wù)器的對(duì)外連接。6、盡量不要在服務(wù)器上運(yùn)行不明的程序、服務(wù)器不是測(cè)試機(jī)。6、如果您對(duì)服務(wù)器的安全沒底的話,還是最好安裝個(gè)不錯(cuò)的防毒系統(tǒng)并及時(shí)更新病毒庫(kù);以及加上防火墻并設(shè)置好安全規(guī)則。 "

十、安全數(shù)據(jù)備份與安全制度:"建立起良好的服務(wù)器數(shù)據(jù)備份機(jī)制,確保發(fā)生不測(cè)時(shí)能第一時(shí)間進(jìn)行災(zāi)難恢復(fù)。以及建立起良好的服務(wù)器日常安全維護(hù)與安全維護(hù)制度、責(zé)任落實(shí)人頭,定期有工作人員對(duì)服務(wù)器進(jìn)行查看。"

筆者后記:在這里為大家簡(jiǎn)單介紹的是筆者在進(jìn)行服務(wù)器安全檢查時(shí)所注意的常規(guī)安全要素。在下一篇中將為大家陸續(xù)的推出系列的服務(wù)器安全、網(wǎng)絡(luò)安全、電子信息安全解決方案的文章...其實(shí)服務(wù)器的安全是個(gè)整體的概念;遠(yuǎn)遠(yuǎn)不止這些,有可能你在應(yīng)用安全策略時(shí)有一小點(diǎn)的疏忽就可以讓你的網(wǎng)站、甚至整個(gè)服務(wù)器淪陷。因此安全策略必需走防患未然、把危險(xiǎn)與隱患消滅在萌芽狀態(tài)的宗旨,任何一個(gè)小地方都不能馬虎、今天關(guān)于“服務(wù)器安全檢查十大要素”就為大家介紹到這里...

其它方面的服務(wù)器安全經(jīng)驗(yàn)讓我們?cè)谙乱黄�文章中再共同分享�?-) (注:由于本人才疏學(xué)淺,如文中有錯(cuò)誤實(shí)為在所難免,還請(qǐng)各位看官見諒!旨在拋磚引玉。

                                                      海騰數(shù)據(jù)中心(技術(shù)部整理)
                                                    2007-10-12