Web服务器安全设置

(1)服务器准备工作

通常需要先对服务器硬盘进行格式化和分区,格式化类型为NTFS,而不用FAT32类型。分区安排为:C盘为系统盘,存放操作系统等系统文件;D盘存放常用的应用软件;E盘存放网站。然后,设置磁盘权限:C盘为默认,D盘安全设置为Administrator和System完全控制,并将其他用户删除;E盘只存放一个网站,设置为Administrator和System完全控制,Everyone读取,如果网站上的某段代码需要写操作时,应更改该文件所在的文件夹权限。安装操作系统Windows Server 2012。系统安装过程中应本着最小服务原则,不选择无用的服务,达到系统的最小安装,在安装IIS的过程中,只安装必要的最基本功能。

(2)网络安全配置

网络安全最基本的设置是端口。在“本地连接属性”对话框中选择“Internet协议(TCP/IP)”选项,再选择“高级”→“选项”→“TCP/IP筛选”命令。只打开网站服务所需要使用的端口,配置对话框如图所示。在进行安全设置后,服务器不使用域名解析,可以防止一般规模的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,从而保证外部上网访问更为安全。

(3)安全模板设置

运行MMC,添加独立管理单元“安全配置与分析”,导入模板basicsv.inf或securedc.inf,然后选择“立刻配置计算机”,系统就会自动配置“账户策略”“本地策略”和“系统服务”等信息,但这些配置可能会导致某些“被限制”软件无法运行或运行出错。如查看设置的IE禁用网站,则可将该网站添加到“本地Intranet”或“受信任的站点”区域包含列表中。

(4)Web服务器的设置

以IIS为例,一定不要使用IIS默认安装的Web目录,而需要在E盘新建立一个目录。然后在IIS管理器中右击“主机”,在弹出的快捷菜单中选择“属性”和“WWW服务”命令,在“编辑”中选择“主目录配置”及“应用程序映射”,只保留asp和asa,其余全部删除。

(5)ASP的安全

由于大部分木马都是用ASP编写的,因此,在IIS系统上ASP组件的安全非常重要。ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO或Adodb.Stream组件实现其功能,除了文件系统对象(File System Object,FSO)外,其他的大部分可以直接禁用。使用微软提供的URLScan Tool过滤非法URL访问的工具,可以起到一定的防范作用。

(6)服务器日常管理

服务器管理工作必须规范,特别是当有多个管理员时,日常管理工作包括以下7点。

1)定时重启服务器。各服务器保证每周重新启动一次。重启后要进行复查,确认启动,确认服务器上的各项服务都恢复正常。对于没有启动或服务未能及时恢复的情况,要采取相应措施。前者可请求托管商帮忙手工重新启动,必要时可要求连接显示器确认是否启动;后者需要远程登录到服务器进行原因查找并尝试恢复服务。

2)检查安全性能。至少保证每周登录及大致检查服务器各两次,并将结果登记在册。如需使用工具进行检查,可直接在e:tools中查到相关工具。

3)备份数据。保证至少每月备份一次服务器系统数据,通常采用ghost方式,且ghost文件固定存放在e:ghost文件目录下,以备份的日期命名,如20130829.gho;各服务器保证至少每两周备份一次应用程序数据,至少保证每月备份一次用户数据。

4)监控服务器。每天必须保证监视各服务器状态,一旦发现服务停止要及时采取相应措施。对于停止的服务,首先检查该服务器上同类型的服务是否中断,若都已中断,应及时登录服务器查看相关原因,并针对该原因尝试重新开启对应服务。

5)清理相关日志。各服务器保证每月对相关日志进行一次保存后清理,对应的各项日志如应用程序日志、安全日志和系统日志等。

6)更新补丁及应用程序。对于新发布的系统漏洞补丁,或应用程序的安全等方面的更新,一定要及时对各服务器打上补丁和更新,尽量选择确认的自动更新。

7)服务器的隐患检查。主要包括安全隐患、性能等方面的检测及扫描。各服务器必须保证每月重点地单独检查一次,每次检查结果应进行记录。

8)变动告知。当服务器的软件更改或其他原因需要安装/卸载新的应用程序等操作时,必须告知所有管理员。

9)定期更改管理密码。为保证安全至少每两个月更改一次服务器密码。由于SQL采用混合验证,更改系统管理员密码将影响数据库的使用,故SQL服务器可例外。

对各服务器设立一个管理记录,管理员每次登录系统都应在其中进行详细记录,主要记录登入时间、退出时间、登入时的服务器状态(包含不明进程记录、端口连接状态、系统账号状态和内存/CPU状态)和详细操作情况记录(管理员登录系统后操作)。记录远程登录操作和物理接触操作,然后将这些记录按照对应服务器归档。

 

版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

猜你还会喜欢下面的内容

    无相关信息

中国领先的互联网域名及云服务提供商

为您提供域名,比特币,P2P,大数据,云计算,虚拟主机,域名交易最新资讯报道

域名注册云服务器