文章內(nèi)容

Web服務(wù)器安全

發(fā)布時間: 2012/5/23 20:31:51

總結(jié)了一下關(guān)于怎樣保證Web服務(wù)器安全的措施，希望能給那些服務(wù)器尚存在漏洞的用戶提供一些幫助。

　　隨著數(shù)據(jù)安全事件的頻繁出現(xiàn)，網(wǎng)站安全成為業(yè)界關(guān)注的焦點(diǎn)。網(wǎng)站被黑的現(xiàn)象在國內(nèi)外時有發(fā)生，可檢索到：2011年下半年，北郵網(wǎng)站被黑，“校長變豬頭”,上演憤怒的鞋子鬧劇。2011年11月21日，我國著名CSDN網(wǎng)站600萬用戶信息泄露，于是掀起了一波網(wǎng)站數(shù)據(jù)泄漏被紕漏的浪潮，之后接二連三的紕漏泄漏事件真假難辨，但是重新引起人們對Web服務(wù)器安全方面的重視。

　　被攻擊網(wǎng)站的問題著實(shí)令人氣憤，但在惱怒之時也要遵守網(wǎng)絡(luò)上的道德規(guī)范，入侵黑其網(wǎng)站的行徑還是應(yīng)該受到各方譴責(zé)。Web服務(wù)器安全方面一直重視程度不夠，是各種網(wǎng)站常被黑的主要原因。下面筆者總結(jié)了一下關(guān)于怎樣保證Web服務(wù)器安全的措施，希望能給那些服務(wù)器尚存在漏洞的用戶提供一些幫助。

　　本文主要以Windows server 操作系統(tǒng)的服務(wù)器作為目標(biāo)對象，因基于IIS的Web網(wǎng)站服務(wù)器較多，受攻擊情況較嚴(yán)重。

　　1.物理安全

　　服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在另外的安全的地方。

　　2.賬戶安全

　　把管理員adminstrator用戶改名，啟用密碼安全策略，保證密碼長度，啟用密碼鎖定策略，防止暴力破解，創(chuàng)建新的用戶，加入到administrators組，防止唯一的管理員用戶被鎖，停用guest用戶。

　　3.停止不需要的服務(wù)，建議關(guān)閉選項(xiàng)：

　　- Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新，禁用

　　- Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用

　　- Distributed linktracking client:用于局域網(wǎng)更新連接信息，不需要禁用

　　- Error reporting service:禁止發(fā)送錯誤報(bào)告

　　- Microsoft Serch:提供快速的單詞搜索，不需要可禁用

　　- NTLMSecuritysupportprovide:telnet服務(wù)和Microsoft Serch用的，不需要禁用

　　- PrintSpooler:如果沒有打印機(jī)可禁用

　　- Remote Registry:禁止遠(yuǎn)程修改注冊表

　　- Remote Desktop Help Session Manager:禁止遠(yuǎn)程協(xié)助
4.關(guān)閉不必要的端口

　　關(guān)閉端口意味著減少功能，在安全和功能上面需要你作一點(diǎn)決策。如果服務(wù)器安裝在防火墻的后面，冒的險(xiǎn)就會少些，但是，永遠(yuǎn)不要認(rèn)為你可以高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些服務(wù)是防止黑客入侵你的系統(tǒng)的第一步。

　　以下所說的端口是指TCP端口：

　　- WEB服務(wù)：HTTP端口：80,HTTPS端口：443, 提供服務(wù)的軟件 IIS

　　- Windows終端（遠(yuǎn)程桌面）服務(wù)：端口：3389.

　　- SSH服務(wù)：端口：22.

　　- Telnet服務(wù)：端口：23.

　　- Mysql數(shù)據(jù)庫：端口3306.

　　5.審核策略

　　在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項(xiàng)目時需要注意的是如果審核的項(xiàng)目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情況在這二者之間做出選擇。

　　推薦的要審核的項(xiàng)目是：

　　- 登錄事件成功失敗

　　- 賬戶登錄事件成功失敗

　　- 系統(tǒng)事件成功失敗

　　- 策略更改成功失敗

　　- 對象訪問失敗

　　- 目錄服務(wù)訪問失敗

　　- 特權(quán)使用失敗

　　6.開啟密碼策略

　　策略設(shè)置

　　- 密碼復(fù)雜性要求啟用

　　- 密碼長度最小值 6位

　　- 強(qiáng)制密碼歷史 5 次

　　- 強(qiáng)制密碼歷史 42 天

　　7.開啟帳戶策略

　　策略設(shè)置

　　- 復(fù)位帳戶鎖定計(jì)數(shù)器 20分鐘

　　- 帳戶鎖定時間 20分鐘

　　- 帳戶鎖定閾值 3次

　　8.設(shè)定安全記錄的訪問權(quán)限

　　安全記錄在默認(rèn)情況下是沒有保護(hù)的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問。

　　9.把敏感文件存放在另外的文件服務(wù)器中

　　雖然現(xiàn)在服務(wù)器的硬盤容量都很大，但是你還是應(yīng)該考慮是否有必要把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表，項(xiàng)目文件等）存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份它們。

　　10.不讓系統(tǒng)顯示上次登陸的用戶名

　　默認(rèn)情況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的帳戶明，本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進(jìn)而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名

　　11.到微軟網(wǎng)站下載最新的補(bǔ)丁程序

　　很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。誰也不敢保證數(shù)百萬行以上代碼的系統(tǒng)不出一點(diǎn)安全漏洞，經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的service pack和漏洞補(bǔ)丁，是保障服務(wù)器長久安全的唯一方法。

　　12.殺毒軟件的安裝

　　瑞星、江民、金山、諾頓、卡巴斯基總有一款殺毒軟件是你需要的。

　　13.防止SQL注入

　　SQL數(shù)據(jù)庫服務(wù)盡量只允許本機(jī)連接、在服務(wù)器端對交互數(shù)據(jù)作嚴(yán)格的檢查，過濾非法字符、安裝IIS安全工具。

QQ：1613285598