高院网站服务器操作系统安全

高院网站服务器操作系统安全

网站服务器的核心是网络操作系统,对于网络操作系统Windows Server 2008 不能采用默认的配置,必须从多方面进行安全设置,才能提高网站服务器的安全性。

1 采用NTFS 文件系统格式

在安装Windows Server 2008 时,必须为所有的磁盘驱动器选择NTFS 文件系统格式。NTFS 支持的分区大小可达2TB,而FAT32 支持的分区大小最大为32GB;NTFS 对单个文件大小没有限制,而FAT32 不支持单个文件大于4GB 的文件;NTFS 支持对文件夹、文件的安全设置,而FAT32 不支持。

2 及时更新操作系统补丁

操作系统总是不断地被发掘出漏洞,为了在第一时间堵住漏洞,必须及时更新操作系统补丁,可以通过WindowsServer 2008“控制面板”中的“Window Update”启用自动更新功能,然后更改设置,在“重要更新”下拉列表中选择“自动安装更新”,在“安装新的更新”下拉列表中选择“每天”,在时间列表中选择凌晨某个时间点。因为关键的更新通常要求服务器重新启动,所以在时间列表中选择凌晨某个时间点,以便尽可能小地影响服务器的正常运行。

3 安装杀毒软件

杀毒软件可以对已知的病毒、木马、恶意软件等对计算机有危害的程序代码进行清除。为此,必须安装杀毒软件,并且要设置杀毒软件在登录Windows 后自动启动,自动升级病毒特征库及程序,启用定时查毒功能,如设置为每周日早晨某个时间点进行定时查毒。

4 启用Windows 防火墙

Windows Server 2008 自身带有防火墙,可以对入站规则、出站规则、连接安全规则进行设置。如防止ping 命令攻击,可在Windows Server 2008 防火墙中对入站规则进行设置,选中“入站规则”,单击“新建规则”,下一步选择规则类型为“自定义”,下一步选择程序为“所有程序”,下一步选择协议类型为“ICMPv4”,下一步将连接条件设置为“阻止连接”,最后为新建的规则取一个名称,这样便可防止任何非法用户对Windows Server 2008 操作系统实施ping命令攻击了。

5 安装防火墙软件

Windows Server 2008 自带的防火墙功能较少,防护能力较低,为了提高防护能力,有必要安装第三方的防火墙软件,如Symantec Endpoint Protection 软件具有病毒和间谍软件防护、主动型威胁防护、网络威胁防护的功能。

6 关闭不需要的服务

关闭不需要的服务,以便减小安全风险。如以下一些服务,不需要就可禁用。Computer Browser、DHCP Client、Distributed Link Tracking Client、Print Spooler、Remote Registry、Server 等。另外,在Windows Server 2008“本地连接”属性中,去掉以下项目前面的勾。Microfost 网络客户端、QoS 数据包计划程序、Microsoft 网络的文件和打印机共享、Internet协议版本6(TCP/IPv6)。

7 关闭不需要的端口

计算机中使用端口来区分不同的网络服务,如www 服务默认使用80 端口,计算机中总共有65535 个端口。入侵者通常会用扫描器对目标计算机的端口进行扫描,以确定哪些端口是开放的,从而知道目标计算机提供了哪些服务,进而猜测目标计算机可能存在的漏洞。为了防范入侵者对Windows Server 2008 进行攻击,必须关闭不需要的端口。可以采取先关闭所有端口,再逐一打开网络服务需要使用的端口,最大限度地减少网络攻击的可能性。关闭端口有两种方法,一是通过Windows Server2008 防火墙关闭端口,二是通过IP 安全策略关闭端口。服务器管理员要定期查看Windows Server 2008 端口连接的情况,可以使用命令netstat –na 进行查看,以便掌握端口连接状态。

8 删除默认共享

Windows Server 2008 启动时会默认打开admin$、ipc$ 和每个盘符的共享,对系统会造成极大的安全隐患,必须删除这些默认共享。删除默认共享主要有两种方法,一是使用注册表删除默认共享,二是使用批处理删除默认共享。

9 设置网络访问限制

为防止未经授权的用户通过匿名列出账户名称和共享资源,并猜测密码进行攻击,需要设置网络访问限制。在Windows Server 2008 本地安全策略中的“本地策略”下的“安全选项”中做如下设置:“网络访问: 不允许 SAM 帐户的匿名枚举”设置为已启用,“网络访问: 不允许 SAM帐户和共享的匿名枚举”设置为已启用,“网络访问: 将Everyone 权限应用于匿名用户”设置为已禁用,“帐户: 使用空密码的本地帐户只允许进行控制台登录”设置为已启用。

10 帐户安全

删除不用的帐户,禁用Guest 帐户,将Administrator帐户重命名并设置强密码。设置密码策略,如启用密码必须符合复杂性要求、密码长度最小值设置为20 个字符等,可以降低密码被黑客暴力破解的可能性。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180612A0J2DT00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券