服務器安所有署文檔

時間 2019-11-11

原文原文鏈接

　　年前一直在趕項目，到最後幾日纔拿到新服務器新添加的硬盤，重作陣列配置生產環境，還要編寫部署文檔作好安全策略，交給測試部門與相關部門作上線前最後測試，而後將部署文檔交給相關部門同事，讓他根據部署文檔再作一次系統，以保證之後其餘同事能本身正常部署服務器，最後終於趕在放假前最後一天匆忙搞定測試後，簡單的指導同事按部署文檔將服務器從新部署了一次就先跑路回家了，剩下的就留給加班的同事負責將服務器託管到機房了。年後回來上班後按工做計劃開始作文檔（主要對以前編寫的部署文檔進行修正和將相關未添加的安全策略添加進文檔中，並在測試環境進行安全測試）。等搞定後要對服務器作最後一次安全檢查時，運營部門已將網站推廣出去了，真是暈死，都不給人活了......只能是加班加點對已掛到公網的服務器日誌和相關設置項作一次體檢。固然一檢查發現掛出去的服務器有着各類各樣的攻擊記錄，不過還好都防住了，沒有什麼問題，而後就是繼續添加一些防火牆策略和系統安全設置。css

　　接下來仍是不停的忙，要寫《服務器安全檢查指引——平常維護說明》。公司新項目要開發，得對新項目分析需求，編寫開發文檔，而後搭建先後端開發框架，舊系統要增長新功能，又得寫V三、V4不一樣版本的功能升級開發文檔......今天終於忙得七七八八了，回頭一看，2月份就這樣一眨眼就過去了，看來程序員老得快仍是有道理的，時間都不是本身的了。html

　　前面囉哩囉嗦的講了一大堆費話，如今開始轉入正題。程序員

　　對於服務器的安全，相信不少開發人員都會碰到，但絕大多數人對安全都沒有什麼概念。記得10年前我剛接手服務器時，僅興奮，又彷徨，而真正面對時，卻無從下手，上百度和谷歌上找，也沒有完整的說明介紹，對安全都是一頭霧水。剛開始配置的服務器漏洞百出，那時幾乎吃睡在機房，也避免不了服務器給黑的事情發生，並且大多被黑後還一無所知，想一想都是鬱悶~~~固然經驗也是在被黑的過程當中慢慢升級的，哈哈......數據庫

　　下面就將寫好的《服務器安所有署文檔》分享出來，但願能對你們有所幫助。固然本人不是黑客，也不知道全部的攻擊手段，因此其中可能存在遺漏的地方，也請你們提出建議。按本文檔的安全設置思想配置服務器（不一樣平臺、操做系統不一樣版本的配置都有必定的不一樣之處，但安全設置思路是共通的），管理的衆多服務器（其中包括各類Web服務器、數據庫服務器、流媒體服務器、遊戲服務器（Linux系統)）從2005年到如今，還沒發現給入侵成功的例子，固然也有可能沒有很是利害的黑客來進行攻擊有關，但從中也能夠看到安全方面仍是有一些保障的（呵呵...自詡的得多了，都很差意思了）。若是手上沒有服務器的朋友，也能夠在本身電腦用虛擬機安裝配置試試（在我公司技術部，將文檔發給你們後，很多同事都嘗試按文檔指引操做過，對提高服務器安所有署仍是至關有幫助的）。固然虛擬機在配置時，有一些地方與實際服務器上操做仍是有些細微的差異的。windows

目錄

1.     前言.. 3
2.     部署環境.. 3
2.1         服務器環境信息.. 3
3.     磁盤陣列配置.. 4
4.     安裝操做系統.. 4
5.     安裝軟件.. 4
5.1         安裝磁盤碎片整理程序.. 4
5.2         安裝虛擬光盤.. 6
5.3         安裝IIS. 6
5.4         安裝.NET Framework4. 9
5.5         安裝SQL2008. 9
5.6         安裝JMail 17
5.7         安裝殺毒軟件與防火牆.. 17
6.     服務器網站與安全配置.. 22
6.1.       修改系統默認賬戶名.. 22
6.2.       配置賬戶鎖定策略.. 27
6.3.       服務器硬盤安全訪問安全配置.. 28
6.4.       配置網站.. 29
6.5.       配置跨服務器同步更新圖片網站.. 68
6.6.       屏蔽xplog70.dll漏洞.. 75
6.7.       設置網絡訪問策略.. 76
6.8.       設置用戶權限分配策略.. 77
6.9.       關閉默認共享.. 79
6.10.         禁用不須要的和危險的服務.. 79
6.11.         修改審覈策略.. 81
6.12.         系統防火牆安全設置.. 82
6.13.         開啓遠程桌面功能.. 83
6.14.         配置McAfee訪問保護.. 90
6.15.         配置McAfee防火牆.. 97
7.     部署注意事項.. 103後端

1. 前言
瀏覽器

其實要配置一臺安全的服務器，簡單來講就幾句話：安全

能不開放的端口和能夠不運行的服務所有關閉或禁用；服務器

使用可進行端口通信訪問策略配置的防火牆；網絡

嚴格控制系統中各類程序對各個目錄建立、修改與刪除可執行腳本、動態連接庫與程序的權限；

對於網站目錄，能寫入的目錄或文件不能有執行權限，有執行權限的目錄不能夠賦給寫入權限。（這條最爲關鍵）

2. 部署環境
2.1 服務器環境信息
服務器硬件配置：

略

服務器軟件環境：

名稱	說明
磁盤陣列	RAID 10
操做系統	Windwos2008 R2 Enterprise 64Bit （其實本人最熟悉的仍是win2003服務器，因爲公司購買的Dell R820服務器再也不支持低端系統，沒辦法只能將本身升級起來，當前若是你的服務器仍是使用win2003的話，查看本文仍是有必定幫助的，二者只是在配置某些地方有不同，但總體的安全思想是一致的）
IIS	7.5
SQL	MSSQL2008
.NET Framework	.net 4.0
殺毒軟件與防火牆	McaFee 64位vse880; HostIPS Client700；
郵件發送軟件	JMail
IP地址	192.168.1.10

3. 磁盤陣列配置

具體配置請查看《RAID配置中文手冊》，連接地址：
http://support1.ap.dell.com/cn/zh/forum/thread.asp?fid=20&tid=61244
配置前，請提早備份好硬盤裏的數據，從新作過陣列後，硬盤中的數據將所有丟失。
（筆者使用的是Dell R820服務器，Dell服務器的售後服務確實不錯，服務器有什麼問題，直接打幾個售後電話就能夠解決，很是方便）

4.   安裝操做系統
具體安裝操做步驟，請查看《R820服務器安裝指南》
1)   經過Lifecycle 安裝 windows 2008：
http://zh.community.dell.com/support_forums/poweredge/f/279/t/2812.aspx
這個方法是開機直接按F10，進行安裝操做系統，能夠快速的安裝。其它官方支持的系統安裝，只是在選擇操做系統的時候，選擇對應的就能夠進行快速的安裝。

2)   手動安裝2012 ：
http://zh.community.dell.com/support_forums/poweredge/f/279/t/9621.aspx
這個方法是直接經過2012的安裝光盤，從光驅啓動進行安裝的操做方法。
在選擇安裝磁盤時，可將本文檔所在文件夾中的RAID驅動解壓到U盤中，將U盤插入服務器後手動選擇載入驅動進行安裝。

其餘安裝過程的操做方法同平時安裝操做系統同樣，這裏就不作詳細描述了。

5.安裝軟件
5.1 安裝磁盤碎片整理程序

因爲服務器的相關文件、圖片和各類日誌文件會不停的建立與刪除，服務器運行時間長了之後，磁盤上會存在不少文件碎片，這樣就會下降服務器的性能，縮短硬盤壽命。
Diskeeper2011_ProPremier是一個實時碎片整理程序，它不干擾系統資源，自動化運行，能夠自動防止關鍵系統文件產生碎片，實時監控磁盤，一旦產生碎片就進行整理，最大程度地保證系統穩定性和速度，而它的智能文件訪問加速順序技術I-FAAST2.0最高可將最經常使用文件的訪問速度提升80%(平均10%~20%)。（具體介紹請查看官方相關文檔）
運行安裝：

5.2 安裝虛擬光盤

略
5.3 安裝IIS

打開服務器管理器，選擇角色=》點擊「添加角色」

選擇Web服務器（IIS）

點下一步後，按下圖所選內容進行勾選

5.4 安裝.NET Framework4

運行dotNetFx40_Full_x86_x64.exe安裝.net4框架（這個必須在IIS安裝完成後才進行安裝，這樣纔會在IIS的相關屬性中自動綁定.net4框架）

5.5 安裝SQL2008

安裝SQL2008前，首先要安裝.net3.5框架，打開服務器管理器，點擊功能=》添加功能=》勾選.NET Framework3.5.1運行安裝

繼續安裝SQL2008，請先操做第6.1修改系統默認賬戶名步驟後的管理員用戶再進行下面步驟

按6.1操做後，將SQL2008_CHS.iso載入虛擬光盤，運行安裝
選擇「安裝」=》「全新SQL Server 獨立安裝或向現有安裝添加功能」

這裏選擇的賬戶名是SYSTEM，密碼爲空

操做到這一步時請注意：
1）身份驗證模式選擇混合模式
2）設置的SA密碼必須爲長於32位的中英文（大小寫）+數字，誰也記不住的亂碼，設置好後都再也不使用該帳號與密碼。
3）指定的SQL Server管理員爲當前用戶（必須是操做第6.1修改系統默認賬戶名步驟後的管理員用戶，若是不是的話有可能致使登錄不了SQL）

有時候運行到最後一步時會顯示安裝出錯，這時重啓後進入控制面板，點擊卸載程序，將剛安裝的SQL2008刪掉後再次重啓電腦，進行安裝就能夠了，固然我試過一次經過，也試過這樣操做三四次後才成功，爲何會這樣就不知道了。

5.6 安裝JMail

略
5.7 安裝殺毒軟件與防火牆

殺毒軟件與防火牆的安裝，最好將」6.14.配置McAfee防火牆」以前的全部步驟所有完成後才進行，否則可能會形成一些配置或操做沒法成功的狀況，由於防火牆安裝成功後，會阻止系統軟件的運行與操做。若是已經安裝好了的話，則先打開殺毒軟件控制檯，將「訪問保護」先禁用，而防火牆則先不開啓。

具體也不進行細說，直接上圖
安裝殺毒軟件：

安裝防火牆

直接運行McAfeeHIP_ClientSetup.exe （注：正版的安裝方法與下面是不同的，有一些區別）

運行後不會有任何安裝界面出來，等待一會後再運行補丁，以下圖

雙擊鼠標左鍵就能夠了，而後進入下圖路徑，找到已經安裝好的防火牆程序

運行McAfeeFire.exe，就能夠打開防火牆軟件了

6. 服務器網站與安全配置
6.1. 修改系統默認賬戶名

修改系統默認賬戶名並新建一個Administrator賬戶做爲陷阱賬戶，設置超長密碼，並去掉全部用戶組。(就是在用戶組那裏設置爲空便可.讓這個賬號不屬於任何用戶組)，一樣更名禁用掉Guest用戶。

先對原Administrator用戶進行重命名

修改成你本身喜歡的名稱

而後新建一個Administrator欺騙賬戶，設置混合超長密碼

對它進行編輯

刪除隸屬的組

因這個是欺騙賬戶，因此充許網絡策略控制訪問

將Guest也進行重命名操做

　　設置完成後必須重啓電腦，否則安裝SQL時可能會致使安裝失敗，須要從新安裝的問題

6.2. 配置賬戶鎖定策略

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-帳戶策略-帳戶鎖定策略，將帳戶設爲「三次登錄無效」，「鎖定時間30分鐘」，「復位鎖定計數設爲30分鐘」。

6.3. 服務器硬盤安全訪問安全配置

全部磁盤除CREATOR OWNER、administrators和system的用戶權限所有刪除（C盤必須保留Users用戶組，理論上來講是要刪除Users用戶組的，但不少朋友若是這裏直接刪除，操做不當的話，網站有可能就訪問不了，必須對系統目錄下的很多目錄從新配置權限很是麻煩，因此本文建議保留，只要按下面的一些設置作到位，這裏也不會有多大的安全隱患的）

6.4. 配置網站

將網站代碼與圖片複製到指定文件夾裏

（因爲本站的先後端分開，圖片站也是獨立的，另外作了一個圖片異步跨服務器更新程序，因此有下面四個文件夾）

打開服務器管理器，進入本地用戶和組管理，爲上面幾個網站添加對應的綁定用戶，並分別設置超長混合密碼，並記錄下來，後面備用

注：後來經同事提醒，原來win2008服務器的IIS訪問可使用應用程序池名稱作爲賬號來設置（你們能夠參考：http://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html），而不用再建立多個獨立的帳號，不過文檔都已經寫了，就懶得改了，仍是使用Win2003的設置模式來添加賬戶

而後將建立好的幾個賬戶所隸屬的默認組刪除，添加Guests組

將遠程控制去掉

將撥入設置爲拒絕

打開IIS，將默認站點刪除

對網站點右鍵，添加網站

建立好對應的站點

點擊鏈接爲按鈕，設置訪問賬戶，設置路徑憑據爲：特定用戶，而後輸入用戶名爲剛纔建立好的用戶名，與相應的密碼

設置身份驗證

點擊應用程序池，將剛建立好的網站對應程序池.NET Framework版本和託管管道模式

.NET Framework版本設置爲.NET Framework v4.0.30319
託管管道模式設置爲經典模式

設置網站的默認文檔爲Index.aspx

設置ISAPI和CGI限制

將Active Server Pages設置爲不容許，將ASP.NET v4.0.30319設置爲充許

進入C:\Windows\Microsoft.NET\Framework64\v4.0.30319目錄，設置Temporary ASP.NET Files文件夾的訪問權限

點右鍵=》屬性

添加紅框框住的用戶，並設置爲可修改

進入C:\Windows\Microsoft.NET\Framework64\v2.0.50727目錄，對Temporary ASP.NET Files文件夾作一樣的操做

而後爲當前建立的網站設置相應的文件夾訪問權限

添加剛纔建立的，並在IIS裏綁定的賬戶、Authenticated Users和NETWORK SERVICE三個賬號

設置權限爲默認權限（讀取和執行、列出文件夾內容、讀取）

啓用父路徑

雙擊ASP打開屬性編輯，將啓用父路徑修改成True

附加數據庫操做
打開SQL2008

附加數據庫

找到數據庫存放位置

刪除數據庫中原綁定用戶

新建登錄名

將數據庫連接的用戶名與密碼填寫在SQL新建登錄名對應文本框中，並按下圖進行設置

而後點擊用戶映射，勾選數據，並設置數據庫擁有db_owner角色權限（注：點擊肯定後最好從新檢查新建用戶的屬性，用戶映射項，查看db_owner角色權限是否賦值成功，這裏常常會出現建立後沒有賦值成功的狀況，須要手動從新設置事後才能夠）

打開網站目錄，找到Web.config文件，記事本打開，填上新建立的數據庫用戶名與密碼

運行ASP.NET State Service服務，並將它設置爲自動運行

其餘幾個網站也按上面的步驟與配置進行設置後，打開瀏覽器就能夠正常該問了

爲可寫入目錄設置寫入權限

將紅框框住的兩個賬戶設置可修改權限

禁用可寫入目錄的執行權限（也能夠將全部不用運行ASPX腳本的目錄都禁用執行權限，好比css、js等）

6.5. 配置跨服務器同步更新圖片網站

略

6.6. 屏蔽xplog70.dll漏洞

進入安裝好的SQL目錄搜索 xplog70.dll 而後將找到的文件刪除（這樣操做會使SQL代理服務中止運行，因此若是使用代理功能的朋友請不要刪除）

6.7. 設置網絡訪問策略

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-本地策略-安全選項，將
網絡訪問:可匿名訪問的共享;
網絡訪問:可匿名訪問的命名管道;
網絡訪問:可遠程訪問的註冊表路徑;
網絡訪問:可遠程訪問的註冊表路徑和子路徑;
以上四項清空

6.8. 設置用戶權限分配策略

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-本地策略-用戶權限分配
將「從網絡訪問此計算機」策略中的「Everyone」刪除

在「拒絕經過遠程桌面服務登錄」策略中，添加下面用戶組和用戶

另外，在添加新站點時，也必須將建立的新用戶添加到這裏

6.9. 關閉默認共享

打開註冊表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
新建DOWRD值，名稱爲「AutoShareServer」、「AutoShareWKs」，設置值爲「0」

6.10. 禁用不須要的和危險的服務

打開服務器管理器，進入「服務」管理，將下列服務禁用（用黃色標識的服務在2008系統中可能不存在）

6.11. 修改審覈策略

6.12. 系統防火牆安全設置

開啓系統防火牆（控制面板=》系統和安全=》Windwos防火牆=》打開或關閉Windows防火牆），若是遠程操做的話就要當心，不要將本身的鏈接也給禁用了

關閉「文件和打印共享」功能

注：若是爲了更安全的話，最好是將遠程桌面關閉，使用更安全的第三方遠程登錄程序。或者修改遠程鏈接端口，通常來講作了前面的設置後，就算留了「肉雞」在，問題也不是很大。
添加新的防火牆規則，請參考6.13的相關操做

6.13. 開啓遠程桌面功能

對個人電腦點擊左鍵=》屬性，打開系統屬性窗口

修改遠程桌面連接端口
點擊開始菜單，輸入regedit打開註冊表
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp項的PortNumber值由3389修改成好比：12345這些高端端口

將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp項的PortNumber值由3389修改成12345

修改了遠程桌面端口後，原防火牆的遠程桌面規則就會失效了，須要從新建立規則
打開Windows防火牆，點擊「高級設置」

設置後從新電腦就立刻生效了
注：若是是遠程修改端口的話，須要同時修改McAfee防火牆，添加新的端口規則，這樣纔不會出現沒法遠程登錄的狀況

6.14. 配置McAfee訪問保護

打開VirusScan控制檯

啓用訪問保護

打開訪問保護屬性

添加用戶定義的規則

要排除的進程：

csc.exe, DTSWizard.exe, Explorer.EXE, FrameworkService.exe, HIPSvc.exe, McScript_InUse.exe, SqlWb.exe, Ssms.exe, vbc.exe, w3wp.exe

要排除的進程：

FrameworkService.exe, mmc.exe, svchost.exe

開啓防火牆的各項阻止規則

按下面要求，在對應的規則裏添加排除的進程

名稱	說明
通用最大保護:禁止將程序註冊爲服務	svchost.exe, mmc.exe, Explorer.EXE
防病毒標準保護:禁止羣發郵件蠕蟲發送郵件	w3wp.exe
通用最大保護:禁止在 Windows 文件夾中建立新的可執行文件	w3wp.exe, csc.exe, vbc.exe

這些規則的添加，須要常常查看「訪問保護日誌」，看那些程序是咱們請容許執行的，但卻給防火牆阻止了，將它們到對應的排除進程當中（具體操做若是不懂的能夠查查百度，或者查看我下一篇文章《服務器安全檢查指引——平常維護說明》，它屬性服務器的平常維護內容）

6.15. 配置McAfee防火牆

按下面路徑進入防火牆文件夾

運行McAfeeFire.exe打開防火牆軟件

點擊解除鎖定，密碼默認爲abcde12345

解鎖後對防火牆的相關選項進行設置

啓用防火牆功能——若是是遠程桌面操做的話，這一步操做後遠程桌面會立刻沒法聯接，須要在服務器本地設置請容許才能再聯接上

啓用後用遠程桌面聯接一下，並給予受權

點擊充許後，再用遠程桌面聯接就能夠登錄了，其餘端口、軟件或網站的受權訪問也是同樣的操做，在給予受權操做時，請仔細留意一下是不是咱們請容許的程序訪問的，不是的話或不明白的一概給予拒絕，拒絕後發現網站某項功能沒法訪問或出問題時，再來這裏進行排查和修改規則，以保證服務器的安全。

7. 部署注意事項

一、更新前必定要通過自測和測試部門人員測試經過；
二、修改網站任何配置都必須提早作好備份，方便回檔；
三、修改了服務器端的任何設置都必須提交作好拷屏與記錄，方便網站出現任何問題時快速的找出問題；
四、對服務器端的相關端口進行變更時，必須提早在Windows防火牆和McAfee防火牆提早開通對應的端口，修改好端口重啓服務器或軟件後，記得關閉原端口，而且作好測試工做，防止發生沒法訪問的狀況，特別對於遠程訪問端口的修改必須當心，否則可能會形成沒法遠程登錄的狀況；
五、當發生某功能沒法運行或出錯的時候，請先檢查Windows防火牆、McAfee訪問保護和防火牆，看看是不是給訪問保護規則阻止了。
六、必須按期檢查用戶管理查看是否有多餘的用戶和用戶隸屬組是否改變；檢查應用程序日誌、安全日誌、系統日誌、IIS訪問日誌、網站後臺管理記錄的日誌、網站目錄中記錄的操做日誌與充值日誌、McAfee訪問保日誌等，並作好備份工做；查看Windows防火牆、McAfee訪問保護和防火牆是否運行中，有沒有不當心關閉後忘記開啓了；檢查SQL的相關日誌與記錄增加量，檢查SQL備份狀況，備份空間是否足夠等；（具體可查看我下一篇文章《服務器安全檢查指引——平常維護說明》）
七、除了作好服務器安全相關配置外，代碼的安全也是很是重要的，全部提交的數據必須作好過濾操做，防SQL注入和XSS攻擊，客戶端按期殺毒查木馬，按期修改登錄密碼，以保證系統安全。

8. 結束語

服務器的安全無小事，事事須當心，一出問題就是大問題，因此真正操做時須要很是細心+當心。

做爲一個服務器維護人員，除了平常的維護工做外，有時間的話還須學習掌握各類經常使用的黑客工具，熟悉各類攻擊手段，多點上上烏雲網等這種類型的網站，去看看別人是怎麼入侵的，以作到更好的防禦。

因爲公司網站的一些特殊性，因此發佈的內容是通過刪減過的，有一些特殊配置和設置沒有發佈出來，呵呵......不過基本的安全防禦描述的差很少了。裏面是否還存在有安全問題就不太清楚了，但願有經驗的朋友多多指教。

若是你覺本篇文章有幫到你，也請幫忙點推薦。

　　發表本編內容，只要主爲了和你們共同窗習共同進步，有興趣的朋友能夠加加Q羣：327360708 或Email給我（1654937#qq.com），你們一塊兒探討，因爲本人工做很繁忙，若是疑問請先留言，回覆不及時也請諒解。

　　更多內容，敬請觀注博客：http://www.cnblogs.com/EmptyFS/