Web服務器安全設置

Web服務器安全方面一直重視程度不夠，是各類網站常常被黑的主要緣由。下面筆者總結了一下關於怎樣保證Web服務器安全的措施，但願能給那些服務器尚存在漏洞的用戶提供一些幫助。

本文主要以Windows server 操做系統的服務器做爲目標對象，因基於IIS的Web網站服務器較多，受攻擊狀況較嚴重。

1.物理安全

服務器應該安放在安裝了監視器的隔離房間內，而且監視器要保留15天以上的攝像記錄。另外，機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即便進入房間也沒法使用電腦，鑰匙要放在另外的安全的地方。

2.帳戶安全

把管理員adminstrator用戶更名，啓用密碼安全策略，保證密碼長度，啓用密碼鎖定策略，防止暴力破解，建立新的用戶，加入到administrators組，防止惟一的管理員用戶被鎖，停用guest用戶。

3.中止不須要的服務，建議關閉選項：

●Computer Browser：維護網絡計算機更新，禁用

●Distributed File System： 局域網管理共享文件，不須要禁用

●Distributed linktracking client：用於局域網更新鏈接信息，不須要禁用

●Error reporting service：禁止發送錯誤報告

●Microsoft Serch：提供快速的單詞搜索，不須要可禁用

●NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不須要禁用

●PrintSpooler：若是沒有打印機可禁用

●Remote Registry：禁止遠程修改註冊表

●Remote Desktop Help Session Manager：禁止遠程協助

3.關閉沒必要要的端口

關閉端口意味着減小功能，在安全和功能上面須要你做一點決策。若是服務器安裝在防火牆的後面，冒的險就會少些，可是，永遠不要認爲你能夠高枕無憂了。用端口掃描器掃描系統所開放的端口，肯定開放了哪些服務是防止黑客入侵你的系統的第一步。

如下所說的端口是指TCP端口：

●WEB服務：HTTP端口：80，HTTPS端口：443， 提供服務的軟件 IIS

●Windows終端(遠程桌面)服務：端口：3389。

●SSH服務：端口：22。

●Telnet服務：端口：23。

●Mysql數據庫：端口3306。

4.審覈策略

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-審覈策略在建立審覈項目時須要注意的是若是審覈的項目太多，生成的事件也就越多，那麼要想發現嚴重的事件也越難固然若是審覈的太少也會影響你發現嚴重的事件，你須要根據狀況在這兩者之間作出選擇。

推薦的要審覈的項目是：

●登陸事件 成功 失敗

●帳戶登陸事件 成功 失敗

●系統事件 成功 失敗

●策略更改 成功 失敗

●對象訪問 失敗

●目錄服務訪問 失敗

●特權使用 失敗

5.開啓密碼策略

策略 設置

●密碼複雜性要求 啓用

●密碼長度最小值 6位

●強制密碼歷史 5 次

●強制密碼歷史 42 天

6.開啓賬戶策略

策略 設置

●復位賬戶鎖定計數器 20分鐘

●賬戶鎖定時間 20分鐘

●賬戶鎖定閾值 3次

7.設定安全記錄的訪問權限

安全記錄在默認狀況下是沒有保護的，把他設置成只有Administrator和系統賬戶纔有權訪問。

8.把敏感文件存放在另外的文件服務器中

雖然如今服務器的硬盤容量都很大，可是你仍是應該考慮是否有必要把一些重要的用戶數據(文件，數據表，項目文件等)存放在另一個安全的服務器中，而且常常備份它們。

9.不讓系統顯示上次登錄的用戶名

默認狀況下，終端服務接入服務器時，登錄對話框中會顯示上次登錄的賬戶明，本地的登錄對話框也是同樣。這使得別人能夠很容易的獲得系統的一些用戶名，進而做密碼猜想。修改註冊表能夠不讓對話框裏顯示上次登錄的用戶名

10.到微軟網站下載最新的補丁程序

不少網絡管理員沒有訪問安全站點的習慣，以致於一些漏洞都出了好久了，還放着服務器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的系統不出一點安全漏洞，常常訪問微軟和一些安全站點，下載最新的service pack和漏洞補丁，是保障服務器長久安全的惟一方法。

11.殺毒軟件的安裝

瑞星、江民、金山、諾頓、卡巴斯基總有一款殺毒軟件是你須要的。

12.防止SQL注入

SQL數據庫服務儘可能只容許本機鏈接、在服務器端對交互數據做嚴格的檢查，過濾非法字符、安裝IIS安全工具。