服务器安全事项、前沿自写安全文档
第一、安装防火墙,并更新系统漏洞,并经常性运行windows update更新补丁,并开启windows默认的防火墙【(注意,在启动防火墙前,需要先在例外中,设置允许以下的TCP端口: 3389 1433 3306 25 21 20 80 110 53 和再设置允许以下的程序使用网络(C:\windows\system32\inetsrv\inetinfo.exe C:\windows\system32\inetsrv\w3wp.exe)】
第二、安装防护软件
第三、更改远程端口 点击看更改端口教程
第四、使用我司提供的安全策略 点击下载
第五、设置系统策略,设置复杂密码
第六、开启操作日志
第七、服务器所有磁盘分区的根目录都不能有everyone,users读与运行的权限
第八、设置数据库运行在普通用户权限下
第九、不要安装第三方软件和插件
第十、不要在服务器上用浏览器,容易中网页木马
第十一、不要安装远程控制软件,用系统自带的最安全
第十二、不要在服务器上双击和运行任何程序,不然中了木马都不知道
第十三、请不要在服务器上使用IE打开用户的硬盘中的网页和图片,这是最危险的破坏服务器安全的行为,会造成木马入侵。
第十四、请设置sytem32目录的cmd.exe, at.exe, cacls.exe, ftp.exe 的文件只能有adms,system的全权权限.不能有其他的权限
第十五、服务器上任何的asp,php,asp.net程序绝对不能使用sql2000的sa用户或mysql中的root用户来连接数据库,这样会造成服务器被入侵.
第十六、由于旧版本的WinRAR软件存在安全漏洞,因此,所有安装的Winrar电脑都必须安装WinRAR7.1以上版本.
第十七、服务器不能运行任何使用固定网络端口的程序,例如私服程序就是最大的入侵后门
第十八、为C:\Documents and Settings\All Users\Documents目录的users用户组设置拒绝写入权限
第十九、注意不要安装windows update中的Windows PowerShell,如果已安装了,请删除它!因为这个组件有大量服务器管理的权限.不能安装.
第二十、请将服务器中的"Distributed Transaction Coordinator"服务禁止,传IIS中存在没有补丁了漏洞,这个服务必须禁止。运行以下命令可以自动禁止:
sc stop MSDTC & sc config MSDTC start= disabled
第二十一、如果以下目录存在,请删除这个目录:
c:\windows\ServicePackFiles,否则里面有文件有可能被黑客利用.
第二十二、注意以下目录的权限不可以修改
c:\windows
c:\windows\system32
C:\Program Files
C:\Documents and Settings
(此目录除外为: C:\Documents and Settings\All Users\Documents 目录的users用户组应该设置拒绝写入权限。)
第二十三、c:\winnt\system32\inetsrv\Data 这个目录默认有everyone写入的权限,黑客喜欢往这个目录写入木马。
第二十四、请不要安装或使用CGI,因为CGI存在先天上的安全隐患
第二十五、关于c:\windows\system32\msdtc目录的权限问题,必须要将NETWORK SERVICE的写入权限删除。