高院网站服务器操作系统安全

高院网站服务器操作系统安全

网站服务器的核心是网络操作系统，对于网络操作系统Windows Server 2008 不能采用默认的配置，必须从多方面进行安全设置，才能提高网站服务器的安全性。

1 采用NTFS 文件系统格式

在安装Windows Server 2008 时，必须为所有的磁盘驱动器选择NTFS 文件系统格式。NTFS 支持的分区大小可达2TB，而FAT32 支持的分区大小最大为32GB；NTFS 对单个文件大小没有限制，而FAT32 不支持单个文件大于4GB 的文件；NTFS 支持对文件夹、文件的安全设置，而FAT32 不支持。

2 及时更新操作系统补丁

操作系统总是不断地被发掘出漏洞，为了在第一时间堵住漏洞，必须及时更新操作系统补丁，可以通过WindowsServer 2008“控制面板”中的“Window Update”启用自动更新功能，然后更改设置，在“重要更新”下拉列表中选择“自动安装更新”，在“安装新的更新”下拉列表中选择“每天”，在时间列表中选择凌晨某个时间点。因为关键的更新通常要求服务器重新启动，所以在时间列表中选择凌晨某个时间点，以便尽可能小地影响服务器的正常运行。

3 安装杀毒软件

杀毒软件可以对已知的病毒、木马、恶意软件等对计算机有危害的程序代码进行清除。为此，必须安装杀毒软件，并且要设置杀毒软件在登录Windows 后自动启动，自动升级病毒特征库及程序，启用定时查毒功能，如设置为每周日早晨某个时间点进行定时查毒。

4 启用Windows 防火墙

Windows Server 2008 自身带有防火墙，可以对入站规则、出站规则、连接安全规则进行设置。如防止ping 命令攻击，可在Windows Server 2008 防火墙中对入站规则进行设置，选中“入站规则”，单击“新建规则”，下一步选择规则类型为“自定义”，下一步选择程序为“所有程序”，下一步选择协议类型为“ICMPv4”，下一步将连接条件设置为“阻止连接”，最后为新建的规则取一个名称，这样便可防止任何非法用户对Windows Server 2008 操作系统实施ping命令攻击了。

5 安装防火墙软件

Windows Server 2008 自带的防火墙功能较少，防护能力较低，为了提高防护能力，有必要安装第三方的防火墙软件，如Symantec Endpoint Protection 软件具有病毒和间谍软件防护、主动型威胁防护、网络威胁防护的功能。

6 关闭不需要的服务

关闭不需要的服务，以便减小安全风险。如以下一些服务，不需要就可禁用。Computer Browser、DHCP Client、Distributed Link Tracking Client、Print Spooler、Remote Registry、Server 等。另外，在Windows Server 2008“本地连接”属性中，去掉以下项目前面的勾。Microfost 网络客户端、QoS 数据包计划程序、Microsoft 网络的文件和打印机共享、Internet协议版本6（TCP/IPv6）。

7 关闭不需要的端口

计算机中使用端口来区分不同的网络服务，如www 服务默认使用80 端口，计算机中总共有65535 个端口。入侵者通常会用扫描器对目标计算机的端口进行扫描，以确定哪些端口是开放的，从而知道目标计算机提供了哪些服务，进而猜测目标计算机可能存在的漏洞。为了防范入侵者对Windows Server 2008 进行攻击，必须关闭不需要的端口。可以采取先关闭所有端口，再逐一打开网络服务需要使用的端口，最大限度地减少网络攻击的可能性。关闭端口有两种方法，一是通过Windows Server2008 防火墙关闭端口，二是通过IP 安全策略关闭端口。服务器管理员要定期查看Windows Server 2008 端口连接的情况，可以使用命令netstat –na 进行查看，以便掌握端口连接状态。

8 删除默认共享

Windows Server 2008 启动时会默认打开admin$、ipc$ 和每个盘符的共享，对系统会造成极大的安全隐患，必须删除这些默认共享。删除默认共享主要有两种方法，一是使用注册表删除默认共享，二是使用批处理删除默认共享。

9 设置网络访问限制

为防止未经授权的用户通过匿名列出账户名称和共享资源，并猜测密码进行攻击，需要设置网络访问限制。在Windows Server 2008 本地安全策略中的“本地策略”下的“安全选项”中做如下设置：“网络访问: 不允许 SAM 帐户的匿名枚举”设置为已启用，“网络访问: 不允许 SAM帐户和共享的匿名枚举”设置为已启用，“网络访问: 将Everyone 权限应用于匿名用户”设置为已禁用，“帐户: 使用空密码的本地帐户只允许进行控制台登录”设置为已启用。

10 帐户安全

删除不用的帐户，禁用Guest 帐户，将Administrator帐户重命名并设置强密码。设置密码策略，如启用密码必须符合复杂性要求、密码长度最小值设置为20 个字符等，可以降低密码被黑客暴力破解的可能性。