windows伺服器安全檢查要點

操作方法

• 01

  為了防止低水平的伺服器管理人員破壞伺服器的安全性，為了更大程度上保障使用者伺服器上的安全性，請參考下面的要求，檢查您的伺服器的安全設定：
  注意,必須使用最新版本的受控,升級後點"設定asp.net嚴格安全",同時PHP安裝包也必須升級到php5.2.17以上版本
• 02

  請將sql 2000，mysql執行在普通使用者許可權下。
  由於大部分駭客都是利用資料庫的許可權入侵，將sql
  2000，mysql執行在普通使用者許可權，可以提供資料庫的安全性，防止入侵，同時您務必對資料庫的許可權做詳細的設定，具體設定要看［星外安全包］的［視訊教學］。
• 03

  使用［星外安全包］中的ＩＰ策略來關閉所有沒用的埠。
  具體的設定請看星外安全包的視訊教學。
• 04

  伺服器所有磁碟分割區的根目錄都不能有everyone,users讀與執行的許可權
• 05

  為了加強PHP的安全，請直接使用星外的［自動PHP安裝包]來安裝，安裝以後，PHP的預設就處於安全狀態了。
• 06

  請不要安裝或使用CGI，因為CGI存在先天上的安全隱患
• 07

  請不要安裝任何的第三方軟體。
  例如XX優化軟體，XX外掛之類的，更不要在伺服器上註冊未知的元件
• 08

  請不要在伺服器上使用IE存取任何網站，不然有可能中網頁木馬
• 09

  Mysql要使用4.1以上的版本，4.0版本存在安全問題
• 10

  請不要安裝PCanywhere或Radmin，因為它們本身就存在安全問題。請直接
  使用windows 2003自帶的3389，因為它比任何遠端控制軟體都安全
• 11

  請不要在伺服器上雙擊執行任何程式，不然您中了木馬都不知道。
• 12

  請不要在伺服器上使用IE開啟使用者的硬碟中的網頁，這是最危險的破壞
  伺服器安全的行為，會造成木馬入侵。
• 13

  請不要在伺服器上瀏覽圖片，因為曾經多次發現作業系統的圖片處理功能漏洞，有可能會造成您的伺服器被入侵。以前windows就出過GDI+的安全漏洞會造成伺服器被入侵。
• 14

  如果您使用Imail，必須要用8.2以上版本，8.1存在安全嚴重的安全漏洞
• 15

  請設定sytem32目錄的cmd.exe, at.exe, cacls.exe, ftp.exe 的文 件只能adms,system的全權許可權.不能有其他的許可權，［星外安全包］已自動設定了它們的許可權，請參考［星外安全包］的［視訊教學］來設定
• 16

  伺服器上任何的asp,php,asp.net程式絕對不能使用sql2000的sa使用者或mysql中的root使用者來連線資料庫,這樣會造成伺服器被入侵.
• 17

  由於舊版本的WinRAR軟體存在安全漏洞,因此,所有安裝的Winrar電腦都必須安裝WinRAR4.0以上版本.
• 18

  伺服器不能執行任何使用固定網路埠的程式,例如私服程式就是最大的入侵後門
• 19

  為C:Documents and SettingsAll UsersDocuments目錄的users使用者組設定拒絕寫入許可權。(請使用最新版的安全包來設定這個目錄)
• 20

  經常性執行windows update更新修補程式
• 21

  為了進一步提高安全,您可以啟用windows預設的防火牆
  注意,在啟動防火牆前,您需要先在例外中,設定允許以下的TCP埠:
  3389 1433 3306 25 21 20 80 110 53 8888
  再設定允許以下的程式使用網路(在例外中選擇新增程式)
  C:windowssystem32inetsrvinetinfo.exe
  C:windowssystem32inetsrvw3wp.exe
  C:windows7i24tool.exe
  如果您改過了3389埠,您需要另外加上您自己的埠.如果您的伺服器需要允許被ping,請您在例外旁邊點高階,點設定
  ICMP,再點"允許傳入顯示響應請求",確定後就會支援ping了.
  (特別指出,近期據傳win2003有未公開的漏洞,請啟用防火牆)
• 22

  注意不要安裝windows update中的Windows PowerShell,如果已安裝了,請刪除它!因為這個元件有大量伺服器管理的許可權
• 23

  請將伺服器中的"Distributed Transaction Coordinator"服務禁止,傳IIS中存在沒有修補程式了漏洞，這個服務必須禁止。
  執行以下命令可以自動禁止：
  sc stop MSDTC & sc config MSDTC start= disabled
  在安全方面，網管必須要提高安全警惕，因為網管才是伺服器安全的最後保障，按以上設定後，就算您的使用者上傳了木馬在自己的網站中，也絕對入侵不了您的伺服器。另外您需要先確保您自己的電腦是安全的，才能保障您的伺服器也是處於安全，如果您自己的電腦不安全，您的伺服器也不可能安全。
  補充：您的伺服器如果不幸中毒，可以用一些專業工具來掃描：
  如mcafee等,不要裝360
• End