年前一直在趕項(xiàng)目�����,到最后幾日才拿到新服務(wù)器新添加的硬盤����,重做陣列配置生產(chǎn)環(huán)境�����,還要編寫部署文檔做好安全策略���,交給測試部門與相關(guān)部門做上線前最后測試�,然后將部署文檔交給相關(guān)部門同事�����,讓他根據(jù)部署文檔再做一次系統(tǒng),以保證以后其他同事能自己正常部署服務(wù)器�����,最后終于趕在放假前最后一天匆忙搞定測試后�����,簡單的指導(dǎo)同事按部署文檔將服務(wù)器重新部署了一次就先跑路回家了�����,剩下的就留給加班的同事負(fù)責(zé)將服務(wù)器托管到機(jī)房了���。年后回來上班后按工作計(jì)劃開始做文檔(主要對之前編寫的部署文檔進(jìn)行修正和將相關(guān)未添加的安全策略添加進(jìn)文檔中����,并在測試環(huán)境進(jìn)行安全測試)�。等搞定后要對服務(wù)器做最后一次安全檢查時,運(yùn)營部門已將網(wǎng)站推廣出去了����,真是暈死����,都不給人活了......只能是加班加點(diǎn)對已掛到公網(wǎng)的服務(wù)器日志和相關(guān)設(shè)置項(xiàng)做一次體檢���。當(dāng)然一檢查發(fā)現(xiàn)掛出去的服務(wù)器有著各種各樣的攻擊記錄���,不過還好都防住了,沒有什么問題�����,然后就是繼續(xù)添加一些防火墻策略和系統(tǒng)安全設(shè)置�����。
接下來還是不停的忙��,要寫《服務(wù)器安全檢查指引——日常維護(hù)說明》�����。公司新項(xiàng)目要開發(fā)����,得對新項(xiàng)目分析需求,編寫開發(fā)文檔�����,然后搭建前后端開發(fā)框架�,舊系統(tǒng)要增加新功能,又得寫V3��、V4不同版本的功能升級開發(fā)文檔......今天終于忙得七七八八了�,回頭一看,2月份就這樣一眨眼就過去了�,看來程序員老得快還是有道理的,時間都不是自己的了�����。
前面啰哩啰嗦的講了一大堆費(fèi)話���,現(xiàn)在開始轉(zhuǎn)入正題����。
對于服務(wù)器的安全�����,相信很多開發(fā)人員都會碰到,但絕大多數(shù)人對安全都沒有什么概念��。記得10年前我剛接手服務(wù)器時���,僅興奮��,又彷徨����,而真正面對時��,卻無從下手����,上百度和谷歌上找,也沒有完整的說明介紹���,對安全都是一頭霧水�。剛開始配置的服務(wù)器漏洞百出��,那時幾乎吃睡在機(jī)房�,也避免不了服務(wù)器給黑的事情發(fā)生�����,而且大多被黑后還一無所知,想想都是郁悶~~~當(dāng)然經(jīng)驗(yàn)也是在被黑的過程中慢慢升級的�,哈哈......
下面就將寫好的《服務(wù)器安全部署文檔》分享出來,希望能對大家有所幫助����。當(dāng)然本人不是黑客,也不知道所有的攻擊手段��,所以其中可能存在遺漏的地方���,也請大家提出建議��。按本文檔的安全設(shè)置思想配置服務(wù)器(不同平臺�����、操作系統(tǒng)不同版本的配置都有一定的不同之處�����,但安全設(shè)置思路是共通的)�,管理的眾多服務(wù)器(其中包括各種Web服務(wù)器、數(shù)據(jù)庫服務(wù)器�����、流媒體服務(wù)器���、游戲服務(wù)器(Linux系統(tǒng)))從2005年到現(xiàn)在���,還沒發(fā)現(xiàn)給入侵成功的例子,當(dāng)然也有可能沒有非常利害的黑客來進(jìn)行攻擊有關(guān)����,但從中也可以看到安全方面還是有一些保障的(呵呵...自夸的得多了,都不好意思了)�����。如果手上沒有服務(wù)器的朋友��,也可以在自己電腦用虛擬機(jī)安裝配置試試(在我公司技術(shù)部�����,將文檔發(fā)給大家后�,不少同事都嘗試按文檔指引操作過�����,對提升服務(wù)器安全部署還是相當(dāng)有幫助的)。當(dāng)然虛擬機(jī)在配置時���,有一些地方與實(shí)際服務(wù)器上操作還是有些細(xì)微的差別的�����。
目錄
1. 前言.. 3
2. 部署環(huán)境.. 3
2.1 服務(wù)器環(huán)境信息.. 3
3. 磁盤陣列配置.. 4
4. 安裝操作系統(tǒng).. 4
5. 安裝軟件.. 4
5.1 安裝磁盤碎片整理程序.. 4
5.2 安裝虛擬光盤.. 6
5.3 安裝IIS. 6
5.4 安裝.NET Framework4. 9
5.5 安裝SQL2008. 9
5.6 安裝JMail 17
5.7 安裝殺毒軟件與防火墻.. 17
6. 服務(wù)器網(wǎng)站與安全配置.. 22
6.1. 修改系統(tǒng)默認(rèn)帳戶名.. 22
6.2. 配置帳戶鎖定策略.. 27
6.3. 服務(wù)器硬盤安全訪問安全配置.. 28
6.4. 配置網(wǎng)站.. 29
6.5. 配置跨服務(wù)器同步更新圖片網(wǎng)站.. 68
6.6. 屏蔽xplog70.dll漏洞.. 75
6.7. 設(shè)置網(wǎng)絡(luò)訪問策略.. 76
6.8. 設(shè)置用戶權(quán)限分配策略.. 77
6.9. 關(guān)閉默認(rèn)共享.. 79
6.10. 禁用不需要的和危險(xiǎn)的服務(wù).. 79
6.11. 修改審核策略.. 81
6.12. 系統(tǒng)防火墻安全設(shè)置.. 82
6.13. 開啟遠(yuǎn)程桌面功能.. 83
6.14. 配置McAfee訪問保護(hù).. 90
6.15. 配置McAfee防火墻.. 97
7. 部署注意事項(xiàng).. 103
1. 前言
其實(shí)要配置一臺安全的服務(wù)器���,簡單來說就幾句話:
能不開放的端口和可以不運(yùn)行的服務(wù)全部關(guān)閉或禁用;
使用可進(jìn)行端口通訊訪問策略配置的防火墻;
嚴(yán)格控制系統(tǒng)中各種程序?qū)Ω鱾€目錄創(chuàng)建、修改與刪除可執(zhí)行腳本、動態(tài)鏈接庫與程序的權(quán)限���;
對于網(wǎng)站目錄�����,能寫入的目錄或文件不能有執(zhí)行權(quán)限�����,有執(zhí)行權(quán)限的目錄不可以賦給寫入權(quán)限。(這條最為關(guān)鍵)
2. 部署環(huán)境
2.1 服務(wù)器環(huán)境信息
服務(wù)器硬件配置:
略
服務(wù)器軟件環(huán)境:
| 名稱 |
說明 |
| 磁盤陣列 |
RAID 10 |
| 操作系統(tǒng) |
Windwos2008 R2 Enterprise 64Bit
(其實(shí)本人最熟悉的還是win2003服務(wù)器�,由于公司購買的Dell R820服務(wù)器不再支持低端系統(tǒng)����,沒辦法只能將自己升級起來,當(dāng)前如果你的服務(wù)器還是使用win2003的話�,查看本文還是有一定幫助的,兩者只是在配置某些地方有不一樣�,但整體的安全思想是一致的)
|
| IIS |
7.5 |
| SQL |
MSSQL2008 |
| .NET Framework |
.net 4.0 |
| 殺毒軟件與防火墻 |
McaFee 64位vse880;
HostIPS Client700�����;
|
| 郵件發(fā)送軟件 |
JMail |
| IP地址 |
192.168.1.10 |
3. 磁盤陣列配置
具體配置請查看《RAID配置中文手冊》��,鏈接地址:
http://support1.ap.dell.com/cn/zh/forum/thread.asp?fid=20&tid=61244
配置前,請?zhí)崆皞浞莺糜脖P里的數(shù)據(jù),重新做過陣列后���,硬盤中的數(shù)據(jù)將全部丟失。
(筆者使用的是Dell R820服務(wù)器,Dell服務(wù)器的售后服務(wù)確實(shí)不錯,服務(wù)器有什么問題,直接打幾個售后電話就可以解決���,非常方便)
4. 安裝操作系統(tǒng)
具體安裝操作步驟,請查看《R820服務(wù)器安裝指南》
1) 通過Lifecycle 安裝 windows 2008:
http://zh.community.dell.com/support_forums/poweredge/f/279/t/2812.aspx
這個方法是開機(jī)直接按F10�,進(jìn)行安裝操作系統(tǒng),可以快速的安裝����。 其它官方支持的系統(tǒng)安裝,只是在選擇操作系統(tǒng)的時候�����,選擇對應(yīng)的就可以進(jìn)行快速的安裝����。
2) 手動安裝2012 :
http://zh.community.dell.com/support_forums/poweredge/f/279/t/9621.aspx
這個方法是直接通過2012的安裝光盤,從光驅(qū)啟動進(jìn)行安裝的操作方法���。
在選擇安裝磁盤時�����,可將本文檔所在文件夾中的RAID驅(qū)動解壓到U盤中�,將U盤插入服務(wù)器后手動選擇載入驅(qū)動進(jìn)行安裝。
其他安裝過程的操作方法同平時安裝操作系統(tǒng)一樣��,這里就不做詳細(xì)描述了�����。
5.安裝軟件
5.1 安裝磁盤碎片整理程序
由于服務(wù)器的相關(guān)文件、圖片和各種日志文件會不停的創(chuàng)建與刪除����,服務(wù)器運(yùn)行時間長了以后���,磁盤上會存在很多文件碎片�����,這樣就會降低服務(wù)器的性能,縮短硬盤壽命。
Diskeeper2011_ProPremier是一個實(shí)時碎片整理程序�,它不干擾系統(tǒng)資源�,自動化運(yùn)行����,可以自動防止關(guān)鍵系統(tǒng)文件產(chǎn)生碎片,實(shí)時監(jiān)控磁盤,一旦產(chǎn)生碎片就進(jìn)行整理�,最大程度地保證系統(tǒng)穩(wěn)定性和速度�����,而它的智能文件訪問加速順序技術(shù)I-FAAST2.0最高可將最常用文件的訪問速度提高80%(平均10%~20%)��。(具體介紹請查看官方相關(guān)文檔)
運(yùn)行安裝:
5.2 安裝虛擬光盤
略
5.3 安裝IIS
打開服務(wù)器管理器,選擇角色=》點(diǎn)擊“添加角色”
選擇Web服務(wù)器(IIS)
點(diǎn)下一步后,按下圖所選內(nèi)容進(jìn)行勾選
5.4 安裝.NET Framework4
運(yùn)行dotNetFx40_Full_x86_x64.exe安裝.net4框架(這個必須在IIS安裝完成后才進(jìn)行安裝����,這樣才會在IIS的相關(guān)屬性中自動綁定.net4框架)
5.5 安裝SQL2008
安裝SQL2008前���,首先要安裝.net3.5框架�����,打開服務(wù)器管理器����,點(diǎn)擊功能=》添加功能=》勾選.NET Framework3.5.1運(yùn)行安裝
繼續(xù)安裝SQL2008,請先操作第6.1修改系統(tǒng)默認(rèn)帳戶名步驟后的管理員用戶再進(jìn)行下面步驟
按6.1操作后����,將SQL2008_CHS.iso載入虛擬光盤,運(yùn)行安裝
選擇“安裝”=》 “全新SQL Server 獨(dú)立安裝或向現(xiàn)有安裝添加功能”
這里選擇的帳戶名是SYSTEM���,密碼為空
操作到這一步時請注意:
1)身份驗(yàn)證模式選擇混合模式
2)設(shè)置的SA密碼必須為長于32位的中英文(大小寫)+數(shù)字���,誰也記不住的亂碼,設(shè)置好后都不再使用該賬號與密碼�����。
3)指定的SQL Server管理員為當(dāng)前用戶(必須是操作第6.1修改系統(tǒng)默認(rèn)帳戶名步驟后的管理員用戶�����,如果不是的話有可能導(dǎo)致登陸不了SQL)
有時候運(yùn)行到最后一步時會顯示安裝出錯����,這時重啟后進(jìn)入控制面板���,點(diǎn)擊卸載程序,將剛安裝的SQL2008刪掉后再次重啟電腦�,進(jìn)行安裝就可以了,當(dāng)然我試過一次通過��,也試過這樣操作三四次后才成功���,為什么會這樣就不知道了���。
5.6 安裝JMail
略
5.7 安裝殺毒軟件與防火墻
殺毒軟件與防火墻的安裝,最好將 ”6.14.配置McAfee防火墻” 之前的所有步驟全部完成后才進(jìn)行��,不然可能會造成一些配置或操作無法成功的情況�,因?yàn)榉阑饓Π惭b成功后,會阻止系統(tǒng)軟件的運(yùn)行與操作����。如果已經(jīng)安裝好了的話,則先打開殺毒軟件控制臺�,將“訪問保護(hù)”先禁用�,而防火墻則先不開啟�。
具體也不進(jìn)行細(xì)說����,直接上圖
安裝殺毒軟件:
安裝防火墻
直接運(yùn)行McAfeeHIP_ClientSetup.exe (注:正版的安裝方法與下面是不一樣的,有一些區(qū)別)
運(yùn)行后不會有任何安裝界面出來���,等待一會后再運(yùn)行補(bǔ)丁���,如下圖
雙擊鼠標(biāo)左鍵就可以了,然后進(jìn)入下圖路徑����,找到已經(jīng)安裝好的防火墻程序
運(yùn)行McAfeeFire.exe,就可以打開防火墻軟件了
6. 服務(wù)器網(wǎng)站與安全配置
6.1. 修改系統(tǒng)默認(rèn)帳戶名
修改系統(tǒng)默認(rèn)帳戶名并新建一個Administrator帳戶作為陷阱帳戶���,設(shè)置超長密碼�,并去掉所有用戶組�。(就是在用戶組那里設(shè)置為空即可.讓這個帳號不屬于任何用戶組),同樣改名禁用掉Guest用戶�。
先對原Administrator用戶進(jìn)行重命名
修改為你自己喜歡的名稱
然后新建一個Administrator欺騙帳戶,設(shè)置混合超長密碼
對它進(jìn)行編輯
刪除隸屬的組
因這個是欺騙帳戶����,所以充許網(wǎng)絡(luò)策略控制訪問
將Guest也進(jìn)行重命名操作
設(shè)置完成后必須重啟電腦����,不然安裝SQL時可能會導(dǎo)致安裝失敗��,需要重新安裝的問題
6.2. 配置帳戶鎖定策略
在運(yùn)行中輸入gpedit.msc回車����,打開組策略編輯器,選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略��,將賬戶設(shè)為“三次登陸無效”�,“鎖定時間30分鐘”,“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”�。
6.3. 服務(wù)器硬盤安全訪問安全配置
所有磁盤除CREATOR OWNER、administrators和system的用戶權(quán)限全部刪除(C盤必須保留Users用戶組����,理論上來說是要刪除Users用戶組的,但很多朋友如果這里直接刪除��,操作不當(dāng)?shù)脑?,網(wǎng)站有可能就訪問不了,必須對系統(tǒng)目錄下的不少目錄重新配置權(quán)限非常麻煩�,所以本文建議保留,只要按下面的一些設(shè)置做到位�,這里也不會有多大的安全隱患的)
6.4. 配置網(wǎng)站
將網(wǎng)站代碼與圖片復(fù)制到指定文件夾里
(由于本站的前后端分開��,圖片站也是獨(dú)立的,另外做了一個圖片異步跨服務(wù)器更新程序�,所以有下面四個文件夾)
打開服務(wù)器管理器,進(jìn)入本地用戶和組管理��,為上面幾個網(wǎng)站添加對應(yīng)的綁定用戶��,并分別設(shè)置超長混合密碼�����,并記錄下來��,后面?zhèn)溆?/p>
注:后來經(jīng)同事提醒����,原來win2008服務(wù)器的IIS訪問可以使用應(yīng)用程序池名稱做為帳號來設(shè)置(大家可以參考:http://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html),而不用再創(chuàng)建多個獨(dú)立的賬號����,不過文檔都已經(jīng)寫了,就懶得改了�����,還是使用Win2003的設(shè)置模式來添加帳戶
然后將創(chuàng)建好的幾個帳戶所隸屬的默認(rèn)組刪除,添加Guests組
將遠(yuǎn)程控制去掉
將撥入設(shè)置為拒絕
打開IIS�����,將默認(rèn)站點(diǎn)刪除
對網(wǎng)站點(diǎn)右鍵����,添加網(wǎng)站
創(chuàng)建好對應(yīng)的站點(diǎn)
點(diǎn)擊連接為按鈕,設(shè)置訪問帳戶�����,設(shè)置路徑憑據(jù)為:特定用戶�����,然后輸入用戶名為剛才創(chuàng)建好的用戶名���,與相應(yīng)的密碼
設(shè)置身份驗(yàn)證
點(diǎn)擊應(yīng)用程序池��,將剛創(chuàng)建好的網(wǎng)站對應(yīng)程序池.NET Framework版本和托管管道模式
.NET Framework版本設(shè)置為.NET Framework v4.0.30319
托管管道模式設(shè)置為經(jīng)典模式
設(shè)置網(wǎng)站的默認(rèn)文檔為Index.aspx
設(shè)置ISAPI和CGI限制
將Active Server Pages設(shè)置為不允許��,將ASP.NET v4.0.30319設(shè)置為充許
進(jìn)入C:\Windows\Microsoft.NET\Framework64\v4.0.30319目錄���,設(shè)置Temporary ASP.NET Files文件夾的訪問權(quán)限
點(diǎn)右鍵=》屬性
添加紅框框住的用戶�,并設(shè)置為可修改
進(jìn)入C:\Windows\Microsoft.NET\Framework64\v2.0.50727目錄���,對Temporary ASP.NET Files文件夾做同樣的操作
然后為當(dāng)前創(chuàng)建的網(wǎng)站設(shè)置相應(yīng)的文件夾訪問權(quán)限
添加剛才創(chuàng)建的�,并在IIS里綁定的帳戶�����、Authenticated Users和NETWORK SERVICE三個帳號
設(shè)置權(quán)限為默認(rèn)權(quán)限(讀取和執(zhí)行����、列出文件夾內(nèi)容�、讀取)
啟用父路徑
雙擊ASP打開屬性編輯��,將啟用父路徑修改為True
附加數(shù)據(jù)庫操作
打開SQL2008
附加數(shù)據(jù)庫
找到數(shù)據(jù)庫存放位置
刪除數(shù)據(jù)庫中原綁定用戶
新建登陸名
將數(shù)據(jù)庫鏈接的用戶名與密碼填寫在SQL新建登陸名對應(yīng)文本框中��,并按下圖進(jìn)行設(shè)置
然后點(diǎn)擊用戶映射����,勾選數(shù)據(jù),并設(shè)置數(shù)據(jù)庫擁有db_owner角色權(quán)限(注:點(diǎn)擊確定后最好重新檢查新建用戶的屬性�,用戶映射項(xiàng),查看db_owner角色權(quán)限是否賦值成功,這里經(jīng)常會出現(xiàn)創(chuàng)建后沒有賦值成功的情況���,需要手動重新設(shè)置過后才可以)
打開網(wǎng)站目錄���,找到Web.config文件,記事本打開����,填上新創(chuàng)建的數(shù)據(jù)庫用戶名與密碼
運(yùn)行ASP.NET State Service服務(wù),并將它設(shè)置為自動運(yùn)行
其他幾個網(wǎng)站也按上面的步驟與配置進(jìn)行設(shè)置后�����,打開瀏覽器就可以正常該問了
為可寫入目錄設(shè)置寫入權(quán)限
將紅框框住的兩個帳戶設(shè)置可修改權(quán)限
禁用可寫入目錄的執(zhí)行權(quán)限(也可以將所有不用運(yùn)行ASPX腳本的目錄都禁用執(zhí)行權(quán)限����,比如css、js等)
6.5. 配置跨服務(wù)器同步更新圖片網(wǎng)站
略
6.6. 屏蔽xplog70.dll漏洞
進(jìn)入安裝好的SQL目錄搜索 xplog70.dll 然后將找到的文件刪除(這樣操作會使SQL代理服務(wù)停止運(yùn)行���,所以如果使用代理功能的朋友請不要刪除)
6.7. 設(shè)置網(wǎng)絡(luò)訪問策略
在運(yùn)行中輸入gpedit.msc回車�����,打開組策略編輯器��,選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-安全選項(xiàng)��,將
網(wǎng)絡(luò)訪問:可匿名訪問的共享;
網(wǎng)絡(luò)訪問:可匿名訪問的命名管道;
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑;
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑;
以上四項(xiàng)清空
6.8. 設(shè)置用戶權(quán)限分配策略
在運(yùn)行中輸入gpedit.msc回車��,打開組策略編輯器�,選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)限分配
將“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”策略中的“Everyone”刪除
在“拒絕通過遠(yuǎn)程桌面服務(wù)登陸”策略中,添加下面用戶組和用戶
另外��,在添加新站點(diǎn)時��,也必須將創(chuàng)建的新用戶添加到這里
6.9. 關(guān)閉默認(rèn)共享
打開注冊表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
新建DOWRD值��,名稱為“AutoShareServer”�����、“AutoShareWKs”�,設(shè)置值為“0”
6.10. 禁用不需要的和危險(xiǎn)的服務(wù)
打開服務(wù)器管理器��,進(jìn)入“服務(wù)”管理���,將下列服務(wù)禁用(用黃色標(biāo)識的服務(wù)在2008系統(tǒng)中可能不存在)
6.11. 修改審核策略
6.12. 系統(tǒng)防火墻安全設(shè)置
開啟系統(tǒng)防火墻(控制面板=》系統(tǒng)和安全=》Windwos防火墻=》打開或關(guān)閉Windows防火墻)����,如果遠(yuǎn)程操作的話就要小心,不要將自己的連接也給禁用了
關(guān)閉“文件和打印共享”功能
注:如果為了更安全的話��,最好是將遠(yuǎn)程桌面關(guān)閉�����,使用更安全的第三方遠(yuǎn)程登陸程序�����?���;蛘咝薷倪h(yuǎn)程連接端口,一般來說做了前面的設(shè)置后��,就算留了“肉雞”在�,問題也不是很大。
添加新的防火墻規(guī)則���,請參考6.13的相關(guān)操作
6.13. 開啟遠(yuǎn)程桌面功能
對我的電腦點(diǎn)擊左鍵=》屬性�,打開系統(tǒng)屬性窗口
修改遠(yuǎn)程桌面鏈接端口
點(diǎn)擊開始菜單���,輸入regedit打開注冊表
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp項(xiàng)的PortNumber值由3389修改為比如:12345這些高端端口
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp項(xiàng)的PortNumber值由3389修改為12345
修改了遠(yuǎn)程桌面端口后�����,原防火墻的遠(yuǎn)程桌面規(guī)則就會失效了�����,需要重新創(chuàng)建規(guī)則
打開Windows防火墻�����,點(diǎn)擊“高級設(shè)置”
設(shè)置后重新電腦就馬上生效了
注:如果是遠(yuǎn)程修改端口的話�����,需要同時修改McAfee防火墻��,添加新的端口規(guī)則��,這樣才不會出現(xiàn)無法遠(yuǎn)程登陸的情況
6.14. 配置McAfee訪問保護(hù)
打開VirusScan控制臺
啟用訪問保護(hù)
打開訪問保護(hù)屬性
添加用戶定義的規(guī)則
要排除的進(jìn)程:
csc.exe, DTSWizard.exe, Explorer.EXE, FrameworkService.exe, HIPSvc.exe, McScript_InUse.exe, SqlWb.exe, Ssms.exe, vbc.exe, w3wp.exe
要排除的進(jìn)程:
FrameworkService.exe, mmc.exe, svchost.exe
開啟防火墻的各項(xiàng)阻止規(guī)則
按下面要求���,在對應(yīng)的規(guī)則里添加排除的進(jìn)程
| 名稱 |
說明 |
| 通用最大保護(hù):禁止將程序注冊為服務(wù) |
svchost.exe, mmc.exe, Explorer.EXE |
| 防病毒標(biāo)準(zhǔn)保護(hù):禁止群發(fā)郵件蠕蟲發(fā)送郵件 |
w3wp.exe |
| 通用最大保護(hù):禁止在 Windows 文件夾中創(chuàng)建新的可執(zhí)行文件 |
w3wp.exe, csc.exe, vbc.exe |
這些規(guī)則的添加,需要經(jīng)常查看“訪問保護(hù)日志”���,看那些程序是我們請?jiān)试S執(zhí)行的����,但卻給防火墻阻止了,將它們到對應(yīng)的排除進(jìn)程當(dāng)中(具體操作如果不懂的可以查查百度�,或者查看我下一篇文章《服務(wù)器安全檢查指引——日常維護(hù)說明》,它屬性服務(wù)器的日常維護(hù)內(nèi)容)
6.15. 配置McAfee防火墻
按下面路徑進(jìn)入防火墻文件夾
運(yùn)行McAfeeFire.exe打開防火墻軟件
點(diǎn)擊解除鎖定��,密碼默認(rèn)為abcde12345
解鎖后對防火墻的相關(guān)選項(xiàng)進(jìn)行設(shè)置
啟用防火墻功能——如果是遠(yuǎn)程桌面操作的話�����,這一步操作后遠(yuǎn)程桌面會馬上無法聯(lián)接�,需要在服務(wù)器本地設(shè)置請?jiān)试S才能再聯(lián)接上
啟用后用遠(yuǎn)程桌面聯(lián)接一下,并給予授權(quán)
點(diǎn)擊充許后�����,再用遠(yuǎn)程桌面聯(lián)接就可以登陸了�����,其他端口�、軟件或網(wǎng)站的授權(quán)訪問也是一樣的操作,在給予授權(quán)操作時���,請仔細(xì)留意一下是否是我們請?jiān)试S的程序訪問的�����,不是的話或不明白的一律給予拒絕�,拒絕后發(fā)現(xiàn)網(wǎng)站某項(xiàng)功能無法訪問或出問題時,再來這里進(jìn)行排查和修改規(guī)則�����,以保證服務(wù)器的安全���。
7. 部署注意事項(xiàng)
1����、更新前一定要經(jīng)過自測和測試部門人員測試通過�����;
2�����、修改網(wǎng)站任何配置都必須提前做好備份����,方便回檔;
3�、修改了服務(wù)器端的任何設(shè)置都必須提交做好拷屏與記錄,方便網(wǎng)站出現(xiàn)任何問題時快速的找出問題�����;
4���、對服務(wù)器端的相關(guān)端口進(jìn)行變動時����,必須提前在Windows防火墻和McAfee防火墻提前開通對應(yīng)的端口����,修改好端口重啟服務(wù)器或軟件后,記得關(guān)閉原端口�����,并且做好測試工作�,防止發(fā)生無法訪問的情況,特別對于遠(yuǎn)程訪問端口的修改必須小心���,不然可能會造成無法遠(yuǎn)程登陸的情況�;
5、當(dāng)發(fā)生某功能無法運(yùn)行或出錯的時候����,請先檢查Windows防火墻、McAfee訪問保護(hù)和防火墻����,看看是否是給訪問保護(hù)規(guī)則阻止了。
6��、必須定期檢查用戶管理查看是否有多余的用戶和用戶隸屬組是否改變����;檢查應(yīng)用程序日志、安全日志�、系統(tǒng)日志、IIS訪問日志����、網(wǎng)站后臺管理記錄的日志����、網(wǎng)站目錄中記錄的操作日志與充值日志�、McAfee訪問保日志等�����,并做好備份工作����;查看Windows防火墻、McAfee訪問保護(hù)和防火墻是否運(yùn)行中��,有沒有不小心關(guān)閉后忘記開啟了��;檢查SQL的相關(guān)日志與記錄增長量,檢查SQL備份情況,備份空間是否足夠等���;(具體可查看我下一篇文章《服務(wù)器安全檢查指引——日常維護(hù)說明》)
7���、除了做好服務(wù)器安全相關(guān)配置外�����,代碼的安全也是非常重要的����,所有提交的數(shù)據(jù)必須做好過濾操作����,防SQL注入和XSS攻擊,客戶端定期殺毒查木馬���,定期修改登陸密碼����,以保證系統(tǒng)安全。
8. 結(jié)束語
服務(wù)器的安全無小事�����,事事須小心��,一出問題就是大問題����,所以真正操作時需要非常細(xì)心+小心。
作為一個服務(wù)器維護(hù)人員��,除了日常的維護(hù)工作外��,有時間的話還須學(xué)習(xí)掌握各種常用的黑客工具�,熟悉各種攻擊手段,多點(diǎn)上上烏云網(wǎng)等這種類型的網(wǎng)站����,去看看別人是怎么入侵的,以做到更好的防護(hù)�����。
由于公司網(wǎng)站的一些特殊性�,所以發(fā)布的內(nèi)容是經(jīng)過刪減過的�,有一些特殊配置和設(shè)置沒有發(fā)布出來�,呵呵......不過基本的安全防護(hù)描述的差不多了�。里面是否還存在有安全問題就不太清楚了���,希望有經(jīng)驗(yàn)的朋友多多指教���。
如果你覺本篇文章有幫到你,也請幫忙點(diǎn)推薦��。
版權(quán)聲明:
本文由AllEmpty發(fā)布于博客園�,本文版權(quán)歸作者和博客園共有,歡迎轉(zhuǎn)載�����,但未經(jīng)作者同意必須保留此段聲明����,且在文章頁面明顯位置給出原文鏈接��,如有問題,可以通過1654937#qq.com 聯(lián)系我�,非常感謝���。
發(fā)表本編內(nèi)容���,只要主為了和大家共同學(xué)習(xí)共同進(jìn)步,有興趣的朋友可以加加Q群:327360708 或Email給我(1654937#qq.com)����,大家一起探討���,由于本人工作很繁忙���,如果疑問請先留言�,回復(fù)不及時也請諒解����。
