Web服务器安全设置

Web服务器安全方面一直重视程度不够，是各类网站常常被黑的主要缘由。下面笔者总结了一下关于怎样保证Web服务器安全的措施，但愿能给那些服务器尚存在漏洞的用户提供一些帮助。

本文主要以Windows server 操做系统的服务器做为目标对象，因基于IIS的Web网站服务器较多，受攻击状况较严重。

1.物理安全

服务器应该安放在安装了监视器的隔离房间内，而且监视器要保留15天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即便进入房间也没法使用电脑，钥匙要放在另外的安全的地方。

2.帐户安全

把管理员adminstrator用户更名，启用密码安全策略，保证密码长度，启用密码锁定策略，防止暴力破解，建立新的用户，加入到administrators组，防止惟一的管理员用户被锁，停用guest用户。

3.中止不须要的服务，建议关闭选项：

●Computer Browser：维护网络计算机更新，禁用

●Distributed File System： 局域网管理共享文件，不须要禁用

●Distributed linktracking client：用于局域网更新链接信息，不须要禁用

●Error reporting service：禁止发送错误报告

●Microsoft Serch：提供快速的单词搜索，不须要可禁用

●NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不须要禁用

●PrintSpooler：若是没有打印机可禁用

●Remote Registry：禁止远程修改注册表

●Remote Desktop Help Session Manager：禁止远程协助

3.关闭没必要要的端口

关闭端口意味着减小功能，在安全和功能上面须要你做一点决策。若是服务器安装在防火墙的后面，冒的险就会少些，可是，永远不要认为你能够高枕无忧了。用端口扫描器扫描系统所开放的端口，肯定开放了哪些服务是防止黑客入侵你的系统的第一步。

如下所说的端口是指TCP端口：

●WEB服务：HTTP端口：80，HTTPS端口：443， 提供服务的软件 IIS

●Windows终端(远程桌面)服务：端口：3389。

●SSH服务：端口：22。

●Telnet服务：端口：23。

●Mysql数据库：端口3306。

4.审核策略

在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在建立审核项目时须要注意的是若是审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难固然若是审核的太少也会影响你发现严重的事件，你须要根据状况在这两者之间作出选择。

推荐的要审核的项目是：

●登陆事件 成功 失败

●帐户登陆事件 成功 失败

●系统事件 成功 失败

●策略更改 成功 失败

●对象访问 失败

●目录服务访问 失败

●特权使用 失败

5.开启密码策略

策略 设置

●密码复杂性要求 启用

●密码长度最小值 6位

●强制密码历史 5 次

●强制密码历史 42 天

6.开启账户策略

策略 设置

●复位账户锁定计数器 20分钟

●账户锁定时间 20分钟

●账户锁定阈值 3次

7.设定安全记录的访问权限

安全记录在默认状况下是没有保护的，把他设置成只有Administrator和系统账户才有权访问。

8.把敏感文件存放在另外的文件服务器中

虽然如今服务器的硬盘容量都很大，可是你仍是应该考虑是否有必要把一些重要的用户数据(文件，数据表，项目文件等)存放在另一个安全的服务器中，而且常常备份它们。

9.不让系统显示上次登录的用户名

默认状况下，终端服务接入服务器时，登录对话框中会显示上次登录的账户明，本地的登录对话框也是同样。这使得别人能够很容易的获得系统的一些用户名，进而做密码猜想。修改注册表能够不让对话框里显示上次登录的用户名

10.到微软网站下载最新的补丁程序

不少网络管理员没有访问安全站点的习惯，以致于一些漏洞都出了好久了，还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的系统不出一点安全漏洞，常常访问微软和一些安全站点，下载最新的service pack和漏洞补丁，是保障服务器长久安全的惟一方法。

11.杀毒软件的安装

瑞星、江民、金山、诺顿、卡巴斯基总有一款杀毒软件是你须要的。

12.防止SQL注入

SQL数据库服务尽可能只容许本机链接、在服务器端对交互数据做严格的检查，过滤非法字符、安装IIS安全工具。