SafeWos是一个专业解决安全问题的运维顾问服务平台,专为企业安全定制。
目前市面上大部分服务器系统都是采用windows操作系统,所以本文的服务器维护安全策略方案也是以Windows操作系统来讲述,linux系统后续有机会在另开一篇讲解,下面就为大家详细讲述一下服务器安全维护以及服务器安全整改方案。
服务器维护安全策略方案
一、windows系统帐号
1.将administrator改名,如改为别名,如:boco_ofm;或者取中文名(这样可以为******增加一层障碍)
2.将guest改名为administrator作为陷阱帐户,并且设置一个个高强度的密码,或直接禁用;(有的***工具正是利用了guest 的弱点,可以将帐号从一般用户提升到管理员组。)
3.除了管理员帐户、以及服务必须要用到的用户外,禁用或删除其他一切用户。
(1)网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多 一份被攻破的危险。
(2)除过Administrator外,有必要再增加一个属于管理员组的帐号;(两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐 号;另方面,一旦***攻破一个帐号并更改口令,我们还有机会重新在短期内取得控制权。)
(3)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同 时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如boco)、熟悉的键盘顺 序(如qwert)、熟悉的数字(如2008)等。(口令是******的重点,口令一旦被突破也就无任何系统安全可言了,通过在网络上查资料显示,仅字母加数字的5位口令在几分钟内就会被攻破)
二、密码与用户策略
1.开启密码策略
注意应用密码策略,启用密码复杂性要求,设置密码长度最小值为8位 ,设置强制密码历史为5次,时间为31天。
2.开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为30分钟,用户锁定时间为30分钟,用户锁定阈值为3次。
三、Windows防火墙
Windows 2000默认不带防火墙,需要我们自己安装一个安全的软件防火墙;
1.开启前要先看看3389端口有没有加到例外里去,因为我们的服务器都放在机房,维护人员一般都是在远程维护,没有的话勾上“远程桌面”,然后再开启。
2.在例外中加入80、1433、21端口,总之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墙“高级”本地连接“设置”服务,勾上所要服务,如:远程桌面、http、ftp、smtp)。
3.允许ping服务器:windows防火墙—高级—本地连接“设置”ICMP,勾上第一个:允许传入响应请求。
4.在防火墙策略中在添加一个允许远程桌面的的IP地址通过。
四、本地策略
1.本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
网络访问:限制匿名访问命名管道和共享
2.本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
3.本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
从网络访问些计算机:只有系统管理员与指定帐号。
4.使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。
5.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。所有系统用户所使用的机器最好也加上屏幕保护密码。
6.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000与win3003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的。
7.保障备份盘的安全
一旦系统资料被破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份放在安全的地方。千万别把资料备份在同一台服务器上,我们在3001房间已经部署了备份服务器。
五、关闭无用的服务
1.我们一般关闭如下服务:
Computer Browser (浏览器更新)
Help and Support (计算机帮助)
Messenger (客户端与服务器之间的netsend和alerter服务消息)
Print Spooler (内存中便迟打印)
Remote Registry (远程用户修改注册表)
TCP/IP NetBIOS Helper (netbios名称解析)
Workstation (创建和维护远程计算机的客户端网络连接)
Telnet (允许远程用户登录到些计算机)
把不必要的服务都禁止掉,尽管这些不一定能被***者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
2.在"网络连接"里,把不需要的协议和服务都删掉,只保留基本的Internet协议(TCP/IP),在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
3.禁用空会话
检查是否禁用了空会话,避免与服务器创建匿名(不进行身份验证的)会话。要进行检查,请运行 Regedt32.exe,确认“RestrictAnonymous”项已设置为 1,如下所示。
HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1
4.要审查共享和相关的权限,运行“计算机管理”MMC 管理单元,然后选择“共享文件夹”下的“共享”。检查所有共享是否是需要的共享。删除所有不必要的共享。
删除默认共享bat脚本:
Net share /delete C$
Net share /delete D$
Net share /delete E$
Net share /delete IPC$
Net share /delete ADMIN$
或者通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
5.不要在服务器上安装与应用程序无关的应用。
6. IIS:IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,微软的IIS默认安装的配置是重点,我们现在用IIS服务的就公司一些网站。
首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;
其次,IIS安装时默认虚拟目录一概删除,虽然已经把Inetpub从系统盘挪出来了,但是还是小心,如果需要什么权限的目录可以自己慢慢建,需要什么权限开什么.(注意写权限和执行程序的权限)
六、修改端口号
1. 更改远程桌面端口
依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为想用的端口号.使用十进制(例 40228 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 40228 )
注意:在WINDOWS2003自带的防火墙给+上40228端口
修改完毕.重新启动服务器.设置生效.
2.一般禁用以下端口
135 138 139 443 445 4000 4899 7626
3.更改TTL值
***可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128( xp);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
更改端口号:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,悟道一般的***侵入。
★ 以下是服务器日常维护策略:
1. 系统帐号密码一个月更换一次满足复杂性;
2. 每星期清理一次系统日志文件,并查看做记录;
3. 每半个月全面杀毒一次,杀毒软件打开自动更新并半个月手动更新一次;
4. 系统更新设置为自动,并半个月检查更新一次;
5. 服务器硬件状况每月检查一次,CPU、内存、硬盘使用率每月做一次统计;
6. 安装补丁、安装杀毒软件。
服务器安全整改方案
一、 公司网络应用现状
1、 网络及硬件环境现状
公司目前的内部网络由四台24口-交换机及三台服务器、一台Internet网关和74台办公电脑组成,以一台H3C S1024作为临时主交换机,其他几台交换分别与之连接成为百兆主干网络。主干网络的带宽和背板流量决定了公司网络所能承载的网络容量只能满足一般的文件共享服务和基本的互联网络服务。当然也因为当前的应用的确只有那么多,对网络的要求相对较低,所以一直未加改进。
因为公司发展迅速,办公楼初建时所预埋的网络和电话线路已经无法满足公司的需求,许多办公室不得不使用小交换机来扩展网络端口,这种情况多了,就给网络管理带来了很大的隐患,像随意接入等等。而公司目前的管理模式是手动分配不同网段的IP地址,特定网段的IP可以访问INTERNET。同时收回所有工作机的管-理-员权限,使普通员工不能自己更改IP。另外,公司在每层楼布放无线路由器充作AP接入点使用,但无线路由的无线网络处理能力低下,并不能作为AP的有效代用品。
当前公司的三台服务器分别是:1宝德8U机架式服务器1台,作为域控制器及文件服务器使用。2宝德塔式PC服务器1台,作为内部邮局Mail服务器。3Dell4U机架式服务器1台,作为数据库服务器。
由于电力系统供电不足,公司几乎所有的办公PC都配备有UPS不间断电源,机房还单配有UPS电源。
此外,公司还建立起一整套的一卡-通系统。这样在实施监控和门禁安全系统以及考勤消费系统时会有良好的应用基础。
2、 现有的应用软件及用途
公司当前正在应用新中大A3系统的财务模块作为财务应收应付管理系统,同时正着手新干线管理系统的实施和二次开发。另外,应充分考虑到随着公司日后的发展,会新增的新的信息系统模块。
目前公司使用卡巴斯基单机版和诺顿杀毒软件9.0来作为办公电脑防毒软件,没有使用网络版防毒软件。
公司正在开发中的<**资源>平台主要应用于内务管理和办公协同。目前已经完成的模块也正在实施应用当中。**资源的建设模型决定了他将成为公司的内部办公平台,PHP和MYSQL的应用结构也决定了平台的资源占用和稳定性都能得到良好的保证。但开发进度无法掌控,稍显不足。
以上为公司网络应用的大体现状。从上面的描述我们可以看出,若要满足公司接下来的发展,需要对公司现有的网络系统进行必要的升级和整改。
二、 网络整改缘由
1、 现有系统不足以满足企业应用需求
随着公司的不断状大,数据量急剧增长,这就使得现有的数据统计和分析方式无法满足公司的发展需要,基于这一要求,公司已经与新干线合作,开始着手实施管理信息系统。但信息系统的应用必须依赖于稳定、可靠和强大的硬件网络基础。但公司当前的硬件网络并没有办法满足这个要求。
首先是服务器,公司目前配备的服务器有三台,A服务器用于域和文件服务器、B服务器用于做Mail服务器、C服务器是新采购的服务器,用来作为公司正在开发中的管理系统的数据库服务器。从服务器的使用情况我们可以看出,一是公司的服务器资源没有得到有效的利用,二是已经应用起来的域、文件和MAIL等服务都没有相应的备份和保障机制,一旦服务器出现崩溃、硬件损坏等情况的时候则所有相应的服务都将受到影响,直接影响到公司的业务运作,甚至可能产生数据损坏和重要资料丢失的后果。(当前对SCSI硬盘的数据进行修复在没有硬件损坏的情况下都要一至五千元每次,而且无法保证100%成功)再加上由于服务器恢复所耽误的业务进程,可以说损失巨大。
我们再来看网络结构,我们知道,近几年来互联网得到了长足的发展,同样的网络攻击和网络病毒也发展迅速。一些行业咨询机构作过统计,近两年来由于网络攻击和网络病毒导致公司巨大的经济损失的情况正以直线上升的趋势,越来越常见。由于黑客工具和病毒知识的普及,网络环境越发严峻。公司从互联网得到信息的同时也越来越多地受到不明攻击和病毒的侵扰。基于上面的情况,公司已经采购了Internet网关用于公司网络安全的建设。但对于内部网络管理似乎仍显不足。
公司的当前网络结构为如(图1)所示。这样的网络结构只能满足公司目前的网络要求,无法有效地对内部网络进行管理。由于全部采用傻瓜交换机,无法阻止病毒所产生的包广播和无限复制对公司网络和办公电脑的影响。这样一旦公司内部有电脑遭受病毒侵袭,则很有可能会传播和影响到其他的电脑。而且这样的网络架构也无法满足公司管理系统实施后所需要的更高的背板带宽。
公司在每层楼放置无线路由作为无线接入点,但由于其无线接入处理能力无法同真正的 AP相比,建议如果可能的话,在一些重要区域,主要是无线客户点比较集中的地方用AP来提供接入服务。同时,无线信号应分为加密和未加密两种,通过网络设备处理使加密频道仅供内部使用。客户只能使用开放信号访问INTERNET,保障公司内部网络和数据安全。2、 ERP系统运行环境需求
通常的ERP系统需要一台专用的服务器,用以运行其服务端程序及数据库和程序。现期应用最广泛的B/S结构的系统更是需要WEB服务器程序的帮助。所以,在ERP系统的实施过程中,硬件平台的建设是其重要的一环,也是ERP成功运行的基础。而C/S结构的程序则要求客户端平台也要满足客户端程序的基本需求(这一点公司现有的硬件倒基本都满足),且大部分都会占用大量系统资源。比如智达软件的平台需求就为:服务端:Windows2000Server以上,数据库软件为SQLServer2000,WEB:IIS6.0,客户端要求为:Windows98\2000\XP。3、 新增服务运行需求
同时,根据公司目前的运营情况,建议建立一套完整的OA平台来管理日常事务。我们可以根据目前开发**资源的需求整理来作OA平台的需求分析,力求作出一套适合公司内部的功能完整和科学的内部平台。不管是ERP还是建立OA系统, WEB服务器和数据库服务器都是必须建立的一套基础系统,其中的数据库服务器更是需要大容量的存储和必要的数据安全措施(比如作RAID及数据备份)。由此产生的海量数据的网络流通需要公司网络硬件的支持。这些都需要公司从网络架构和网络带宽上面进行升级,提供保障。
三、 网络整改内容
1、 设备升级与改装
l 服务器 A:域控制器,作用不变,将操作系统改成 win2000advancedserver 或win2003enterpriseserver。以适应更多的功能并建立 AD(活动目录),与另一台服务器共同负责网络的域管理。
l 服务器B:加装三块SCSI 73G或146G硬盘,做RAID。使之同A一起负起AD域控制器的责任。
l 服务器C:除运行本身的数据库以外,还应作为内部WEB服务器,作为数据的集中存放点,必须配备良好的数据备份和服务预备机制。所以,可能的情况下,应该为服务器C配备代用机,同时需要同步备份两机数据,进一步保障数据服务器的数据安全。2、 增加设备
根据目前分析,拟增加设备如下:
l 服务器1台,与原有服务器组成服务器组,在可能的情况下,应与服务器C同配
置,并与C组成双机热备服务器组,为公司内部提供管理系统、WEB、WEBMAIL服务。l 主交换机1台,至少四个千兆口,支持千兆自定义,作为主交换使用,所有交换机均汇聚于此。
l 交换机及备用办公电脑各1台,当日常使用中出现问题需移除维修时,可机动使用。以备不时之需。
l 无线AP若干(根据实际情况而定),无线网卡2-4块(PCMCIA及USB接口各半),置于样品室和接洽类场所,随时提供客户使用(如此一来勿须拉网线,保证公司形象),为客户提供周到的服务,使客户宾至如归。
3、 修改布线
l 办公楼布线检查和修改,添漏补缺。
l 车间布线,为生产管理系统的实施作好准备。
l 二厂办公、监控、通讯布线,作为IT部门,这是基本工作之一。
4、 软件应用
l 更新操作系统,增加系统数据安全性。(期间可能升级部分硬件)
l 统筹网络防毒,统一网络防毒措施,最大限度杜绝病毒。(网络版&单机版)l 统一办公软件及其文件格式,保证内部文档流通。
l 建立内部网络办公平台,主导公司行政管理,辅助ERP系统运营。
四、 阶段效果
1、 网络运行
综上述,本次整改结束后,其网络拓朴应为:(图2)
各部门与主交换间均有双线连接,一旦线路发生损坏,可以立刻以另一条线代替。保证工作正常开展。保持备用机正常,一旦发生损坏即刻启用备用机,保证网络正常运行。为公司高管及客户提供无线接入服务(主要指笔记本电脑),随时随地处理公务。为自动化的办公提供技术保障。
2、 应用软件
公司流程,特别是行政流程自动化,使公司内部资源精确共享,行政通告自动流通,无须人为发送。增强各部门沟通速度和工作效率。
大大加强网络防毒能力,辅以相应的系统和网络管理方法,不再担心病毒导致系统崩溃,数据丢失;不再担心木马程序偷取公司机密。
减轻人工负担,缩短业务流程周期。理顺企业日常运作,提高工作效率。
3、 其他
可实现基本信息自动化功能,ERP基础平台至此构建完成,平滑过渡到ERP应用。
机房整改方案2017-01-21 07:03 | #2楼
一、现状及问题说明
主要存在的问题:
1、机柜位置处于办公区内,没有单独机房,由于没有定期维护,机柜内设备尘土堆积导致设备寿命大大降低
2、线缆混乱,给网络及语音系统带来不可避免的故障隐患,从而导致故障频发。线缆标记不清楚,如果跳线连接错误,可能导致整个网络系统瘫痪。五类双绞线缆和供电电缆的铺设过于随意,不符合机房综合布线系统的要求,不能支持现在的各种应用,更不能适应未来的技术发展,也影响整体机房的美观;在对机房的维护和管理工作方面也带来很多不必要的麻烦。
3、机柜内设备跳线混乱,设备摆放无序,电源线连接松懈,随时会导致设备断电,网络设备堆叠导致无法正常散热,设备使用寿命大大降低。
4、语音线缆没有端接至配线架,而是直接连接程控交换机,出现故障无法快速准确定位故障点。
5、呼叫中心线缆布线,增加语音设备。
二、整改方案
1、更换机房位置
机房位置更换至单独房间内,由于机房位置离现有机柜位置距离较远,机柜移至机房内原有线缆长度无法满足需求,需要由现有机柜至机房敷设超五类非屏蔽双绞线。
2、桥架整改
机房内制作200mm*100mm桥架至机柜底部,用于线缆整理敷设至机柜。
3、机柜内配线架安装
机柜内所有网络及语音信息点重新巡线、打线、测试。整改后美观、整齐、便于维护。
4、机柜内设备重新安装
开发区宏达北路10号万源商务中心202 1 / 2
北京博大网通科技发展有限公司
机柜内设备重新摆放,按照标准对机柜内设备、配线架重新摆放。
5、增加信息点、程控交换机
新增数字程控交换机,用于呼叫中心使用,呼叫中心线缆根据现场情况进行布线。
综上所述,鉴于贵公司机房内存在的问题,建议进行整改。机房综合工程设计标准
新机房按国家标准B级标准机房设计和规划。
本方案按机房建设方案依据标准(B级)设计,依据以下国家标准: 《中华人民共和国计算机信息系统安全保护条例》
《建筑与建筑群综合布线系统工程设计规范》(CECS72:97)
《电子计算机机房设计规范》(GB 50057—1994)
《低压配电设计规范》(GB 50054-1995)
《电缆线路施工及验收规范》(GB 50168-1992)
《计算机机房用活动地板技术条件》(GB 6650-1986)
《通风与空调工程施工及验收规范》GBJ 243-1982
《工业企业通信接地设计规范》GBJ79-1985
《电气装置安装工程接地装置施工及验收规范》(GB 50169-1992)
客服电话:159-6020-8552
工作时间:9:00-18:00 (工作日)
意见建议:safewos@qq.com