年前一直在趕項目��,到最后幾日才拿到新服務(wù)器新添加的硬盤���,重做陣列配置生產(chǎn)環(huán)境,還要編寫部署文檔做好安全策略����,交給測試部門與相關(guān)部門做上線前最后測試,然后將部署文檔交給相關(guān)部門同事�,讓他根據(jù)部署文檔再做一次系統(tǒng),以保證以后其他同事能自己正常部署服務(wù)器����,最后終于趕在放假前最后一天匆忙搞定測試后,簡單的指導(dǎo)同事按部署文檔將服務(wù)器重新部署了一次就先跑路回家了���,剩下的就留給加班的同事負責(zé)將服務(wù)器托管到機房了��。年后回來上班后按工作計劃開始做文檔(主要對之前編寫的部署文檔進行修正和將相關(guān)未添加的安全策略添加進文檔中�,并在測試環(huán)境進行安全測試)。等搞定后要對服務(wù)器做最后一次安全檢查時��,運營部門已將網(wǎng)站推廣出去了�����,真是暈死��,都不給人活了......只能是加班加點對已掛到公網(wǎng)的服務(wù)器日志和相關(guān)設(shè)置項做一次體檢�����。當(dāng)然一檢查發(fā)現(xiàn)掛出去的服務(wù)器有著各種各樣的攻擊記錄���,不過還好都防住了�,沒有什么問題,然后就是繼續(xù)添加一些防火墻策略和系統(tǒng)安全設(shè)置�����。
接下來還是不停的忙�,要寫《服務(wù)器安全檢查指引——日常維護說明》�。公司新項目要開發(fā)���,得對新項目分析需求,編寫開發(fā)文檔��,然后搭建前后端開發(fā)框架���,舊系統(tǒng)要增加新功能����,又得寫V3、V4不同版本的功能升級開發(fā)文檔......今天終于忙得七七八八了����,回頭一看���,2月份就這樣一眨眼就過去了���,看來程序員老得快還是有道理的,時間都不是自己的了�����。
前面啰哩啰嗦的講了一大堆費話����,現(xiàn)在開始轉(zhuǎn)入正題�。
對于服務(wù)器的安全�����,相信很多開發(fā)人員都會碰到��,但絕大多數(shù)人對安全都沒有什么概念。記得10年前我剛接手服務(wù)器時���,僅興奮,又彷徨�����,而真正面對時����,卻無從下手���,上百度和谷歌上找,也沒有完整的說明介紹�,對安全都是一頭霧水�。剛開始配置的服務(wù)器漏洞百出�,那時幾乎吃睡在機房����,也避免不了服務(wù)器給黑的事情發(fā)生��,而且大多被黑后還一無所知��,想想都是郁悶~~~當(dāng)然經(jīng)驗也是在被黑的過程中慢慢升級的���,哈哈......
下面就將寫好的《服務(wù)器安全部署文檔》分享出來,希望能對大家有所幫助�����。當(dāng)然本人不是黑客����,也不知道所有的攻擊手段,所以其中可能存在遺漏的地方�,也請大家提出建議�����。按本文檔的安全設(shè)置思想配置服務(wù)器(不同平臺�、操作系統(tǒng)不同版本的配置都有一定的不同之處�����,但安全設(shè)置思路是共通的)����,管理的眾多服務(wù)器(其中包括各種Web服務(wù)器、數(shù)據(jù)庫服務(wù)器�、流媒體服務(wù)器、游戲服務(wù)器(Linux系統(tǒng)))從2005年到現(xiàn)在���,還沒發(fā)現(xiàn)給入侵成功的例子����,當(dāng)然也有可能沒有非常利害的黑客來進行攻擊有關(guān)�,但從中也可以看到安全方面還是有一些保障的(呵呵...自夸的得多了,都不好意思了)����。如果手上沒有服務(wù)器的朋友����,也可以在自己電腦用虛擬機安裝配置試試(在我公司技術(shù)部�,將文檔發(fā)給大家后,不少同事都嘗試按文檔指引操作過�,對提升服務(wù)器安全部署還是相當(dāng)有幫助的)。當(dāng)然虛擬機在配置時�����,有一些地方與實際服務(wù)器上操作還是有些細微的差別的����。
目錄
1. 前言.. 3
2. 部署環(huán)境.. 3
2.1 服務(wù)器環(huán)境信息.. 3
3. 磁盤陣列配置.. 4
4. 安裝操作系統(tǒng).. 4
5. 安裝軟件.. 4
5.1 安裝磁盤碎片整理程序.. 4
5.2 安裝虛擬光盤.. 6
5.3 安裝IIS. 6
5.4 安裝.NET Framework4. 9
5.5 安裝SQL2008. 9
5.6 安裝JMail 17
5.7 安裝殺毒軟件與防火墻.. 17
6. 服務(wù)器網(wǎng)站與安全配置.. 22
6.1. 修改系統(tǒng)默認帳戶名.. 22
6.2. 配置帳戶鎖定策略.. 27
6.3. 服務(wù)器硬盤安全訪問安全配置.. 28
6.4. 配置網(wǎng)站.. 29
6.5. 配置跨服務(wù)器同步更新圖片網(wǎng)站.. 68
6.6. 屏蔽xplog70.dll漏洞.. 75
6.7. 設(shè)置網(wǎng)絡(luò)訪問策略.. 76
6.8. 設(shè)置用戶權(quán)限分配策略.. 77
6.9. 關(guān)閉默認共享.. 79
6.10. 禁用不需要的和危險的服務(wù).. 79
6.11. 修改審核策略.. 81
6.12. 系統(tǒng)防火墻安全設(shè)置.. 82
6.13. 開啟遠程桌面功能.. 83
6.14. 配置McAfee訪問保護.. 90
6.15. 配置McAfee防火墻.. 97
7. 部署注意事項.. 103
1. 前言
其實要配置一臺安全的服務(wù)器�����,簡單來說就幾句話:
能不開放的端口和可以不運行的服務(wù)全部關(guān)閉或禁用���;
使用可進行端口通訊訪問策略配置的防火墻����;
嚴(yán)格控制系統(tǒng)中各種程序?qū)Ω鱾€目錄創(chuàng)建����、修改與刪除可執(zhí)行腳本����、動態(tài)鏈接庫與程序的權(quán)限�;
對于網(wǎng)站目錄,能寫入的目錄或文件不能有執(zhí)行權(quán)限�����,有執(zhí)行權(quán)限的目錄不可以賦給寫入權(quán)限���。(這條最為關(guān)鍵)
2. 部署環(huán)境
2.1 服務(wù)器環(huán)境信息
服務(wù)器硬件配置:
略
服務(wù)器軟件環(huán)境:
| 名稱 |
說明 |
| 磁盤陣列 |
RAID 10 |
| 操作系統(tǒng) |
Windwos2008 R2 Enterprise 64Bit
(其實本人最熟悉的還是win2003服務(wù)器���,由于公司購買的Dell R820服務(wù)器不再支持低端系統(tǒng),沒辦法只能將自己升級起來����,當(dāng)前如果你的服務(wù)器還是使用win2003的話,查看本文還是有一定幫助的�,兩者只是在配置某些地方有不一樣,但整體的安全思想是一致的)
|
| IIS |
7.5 |
| SQL |
MSSQL2008 |
| .NET Framework |
.net 4.0 |
| 殺毒軟件與防火墻 |
McaFee 64位vse880;
HostIPS Client700����;
|
| 郵件發(fā)送軟件 |
JMail |
| IP地址 |
192.168.1.10 |
3. 磁盤陣列配置
具體配置請查看《RAID配置中文手冊》�,鏈接地址:
http://support1.ap.dell.com/cn/zh/forum/thread.asp?fid=20&tid=61244
配置前���,請?zhí)崆皞浞莺糜脖P里的數(shù)據(jù)�,重新做過陣列后���,硬盤中的數(shù)據(jù)將全部丟失��。
(筆者使用的是Dell R820服務(wù)器����,Dell服務(wù)器的售后服務(wù)確實不錯�,服務(wù)器有什么問題,直接打幾個售后電話就可以解決�����,非常方便)
4. 安裝操作系統(tǒng)
具體安裝操作步驟�����,請查看《R820服務(wù)器安裝指南》
1) 通過Lifecycle 安裝 windows 2008:
http://zh.community.dell.com/support_forums/poweredge/f/279/t/2812.aspx
這個方法是開機直接按F10����,進行安裝操作系統(tǒng),可以快速的安裝��。 其它官方支持的系統(tǒng)安裝��,只是在選擇操作系統(tǒng)的時候�����,選擇對應(yīng)的就可以進行快速的安裝����。
2) 手動安裝2012 :
http://zh.community.dell.com/support_forums/poweredge/f/279/t/9621.aspx
這個方法是直接通過2012的安裝光盤,從光驅(qū)啟動進行安裝的操作方法�。
在選擇安裝磁盤時,可將本文檔所在文件夾中的RAID驅(qū)動解壓到U盤中����,將U盤插入服務(wù)器后手動選擇載入驅(qū)動進行安裝。
其他安裝過程的操作方法同平時安裝操作系統(tǒng)一樣�,這里就不做詳細描述了。
5.安裝軟件
5.1 安裝磁盤碎片整理程序
由于服務(wù)器的相關(guān)文件��、圖片和各種日志文件會不停的創(chuàng)建與刪除�,服務(wù)器運行時間長了以后,磁盤上會存在很多文件碎片,這樣就會降低服務(wù)器的性能�,縮短硬盤壽命。
Diskeeper2011_ProPremier是一個實時碎片整理程序���,它不干擾系統(tǒng)資源�����,自動化運行��,可以自動防止關(guān)鍵系統(tǒng)文件產(chǎn)生碎片����,實時監(jiān)控磁盤�,一旦產(chǎn)生碎片就進行整理,最大程度地保證系統(tǒng)穩(wěn)定性和速度����,而它的智能文件訪問加速順序技術(shù)I-FAAST2.0最高可將最常用文件的訪問速度提高80%(平均10%~20%)。(具體介紹請查看官方相關(guān)文檔)
運行安裝:
5.2 安裝虛擬光盤
略
5.3 安裝IIS
打開服務(wù)器管理器����,選擇角色=》點擊“添加角色”
選擇Web服務(wù)器(IIS)
點下一步后,按下圖所選內(nèi)容進行勾選
5.4 安裝.NET Framework4
運行dotNetFx40_Full_x86_x64.exe安裝.net4框架(這個必須在IIS安裝完成后才進行安裝����,這樣才會在IIS的相關(guān)屬性中自動綁定.net4框架)
5.5 安裝SQL2008
安裝SQL2008前,首先要安裝.net3.5框架����,打開服務(wù)器管理器,點擊功能=》添加功能=》勾選.NET Framework3.5.1運行安裝
繼續(xù)安裝SQL2008����,請先操作第6.1修改系統(tǒng)默認帳戶名步驟后的管理員用戶再進行下面步驟
按6.1操作后,將SQL2008_CHS.iso載入虛擬光盤��,運行安裝
選擇“安裝”=》 “全新SQL Server 獨立安裝或向現(xiàn)有安裝添加功能”
這里選擇的帳戶名是SYSTEM����,密碼為空
操作到這一步時請注意:
1)身份驗證模式選擇混合模式
2)設(shè)置的SA密碼必須為長于32位的中英文(大小寫)+數(shù)字,誰也記不住的亂碼�,設(shè)置好后都不再使用該賬號與密碼。
3)指定的SQL Server管理員為當(dāng)前用戶(必須是操作第6.1修改系統(tǒng)默認帳戶名步驟后的管理員用戶�����,如果不是的話有可能導(dǎo)致登陸不了SQL)
有時候運行到最后一步時會顯示安裝出錯�����,這時重啟后進入控制面板,點擊卸載程序�,將剛安裝的SQL2008刪掉后再次重啟電腦,進行安裝就可以了����,當(dāng)然我試過一次通過,也試過這樣操作三四次后才成功���,為什么會這樣就不知道了���。
5.6 安裝JMail
略
5.7 安裝殺毒軟件與防火墻
殺毒軟件與防火墻的安裝,最好將 ”6.14.配置McAfee防火墻” 之前的所有步驟全部完成后才進行���,不然可能會造成一些配置或操作無法成功的情況����,因為防火墻安裝成功后���,會阻止系統(tǒng)軟件的運行與操作����。如果已經(jīng)安裝好了的話���,則先打開殺毒軟件控制臺���,將“訪問保護”先禁用,而防火墻則先不開啟����。
具體也不進行細說,直接上圖
安裝殺毒軟件:
安裝防火墻
直接運行McAfeeHIP_ClientSetup.exe (注:正版的安裝方法與下面是不一樣的��,有一些區(qū)別)
運行后不會有任何安裝界面出來�,等待一會后再運行補丁,如下圖
雙擊鼠標(biāo)左鍵就可以了����,然后進入下圖路徑,找到已經(jīng)安裝好的防火墻程序
運行McAfeeFire.exe�����,就可以打開防火墻軟件了
6. 服務(wù)器網(wǎng)站與安全配置
6.1. 修改系統(tǒng)默認帳戶名
修改系統(tǒng)默認帳戶名并新建一個Administrator帳戶作為陷阱帳戶�,設(shè)置超長密碼,并去掉所有用戶組����。(就是在用戶組那里設(shè)置為空即可.讓這個帳號不屬于任何用戶組)����,同樣改名禁用掉Guest用戶�����。
先對原Administrator用戶進行重命名
修改為你自己喜歡的名稱
然后新建一個Administrator欺騙帳戶���,設(shè)置混合超長密碼
對它進行編輯
刪除隸屬的組
因這個是欺騙帳戶�,所以充許網(wǎng)絡(luò)策略控制訪問
將Guest也進行重命名操作
設(shè)置完成后必須重啟電腦���,不然安裝SQL時可能會導(dǎo)致安裝失敗��,需要重新安裝的問題
6.2. 配置帳戶鎖定策略
在運行中輸入gpedit.msc回車�����,打開組策略編輯器�����,選擇計算機配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略�����,將賬戶設(shè)為“三次登陸無效”�����,“鎖定時間30分鐘”����,“復(fù)位鎖定計數(shù)設(shè)為30分鐘”����。
6.3. 服務(wù)器硬盤安全訪問安全配置
所有磁盤除CREATOR OWNER、administrators和system的用戶權(quán)限全部刪除(C盤必須保留Users用戶組�,理論上來說是要刪除Users用戶組的,但很多朋友如果這里直接刪除�,操作不當(dāng)?shù)脑挘W(wǎng)站有可能就訪問不了���,必須對系統(tǒng)目錄下的不少目錄重新配置權(quán)限非常麻煩����,所以本文建議保留����,只要按下面的一些設(shè)置做到位�����,這里也不會有多大的安全隱患的)
6.4. 配置網(wǎng)站
將網(wǎng)站代碼與圖片復(fù)制到指定文件夾里
(由于本站的前后端分開�����,圖片站也是獨立的�,另外做了一個圖片異步跨服務(wù)器更新程序�,所以有下面四個文件夾)
打開服務(wù)器管理器,進入本地用戶和組管理�,為上面幾個網(wǎng)站添加對應(yīng)的綁定用戶,并分別設(shè)置超長混合密碼��,并記錄下來�,后面?zhèn)溆?/p>
注:后來經(jīng)同事提醒,原來win2008服務(wù)器的IIS訪問可以使用應(yīng)用程序池名稱做為帳號來設(shè)置(大家可以參考:http://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html)����,而不用再創(chuàng)建多個獨立的賬號,不過文檔都已經(jīng)寫了�����,就懶得改了,還是使用Win2003的設(shè)置模式來添加帳戶
然后將創(chuàng)建好的幾個帳戶所隸屬的默認組刪除����,添加Guests組
將遠程控制去掉
將撥入設(shè)置為拒絕
打開IIS,將默認站點刪除
對網(wǎng)站點右鍵��,添加網(wǎng)站
創(chuàng)建好對應(yīng)的站點
點擊連接為按鈕���,設(shè)置訪問帳戶����,設(shè)置路徑憑據(jù)為:特定用戶�����,然后輸入用戶名為剛才創(chuàng)建好的用戶名���,與相應(yīng)的密碼
設(shè)置身份驗證
點擊應(yīng)用程序池,將剛創(chuàng)建好的網(wǎng)站對應(yīng)程序池.NET Framework版本和托管管道模式
.NET Framework版本設(shè)置為.NET Framework v4.0.30319
托管管道模式設(shè)置為經(jīng)典模式
設(shè)置網(wǎng)站的默認文檔為Index.aspx
設(shè)置ISAPI和CGI限制
將Active Server Pages設(shè)置為不允許�����,將ASP.NET v4.0.30319設(shè)置為充許
進入C:\Windows\Microsoft.NET\Framework64\v4.0.30319目錄�,設(shè)置Temporary ASP.NET Files文件夾的訪問權(quán)限
點右鍵=》屬性
添加紅框框住的用戶,并設(shè)置為可修改
進入C:\Windows\Microsoft.NET\Framework64\v2.0.50727目錄���,對Temporary ASP.NET Files文件夾做同樣的操作
然后為當(dāng)前創(chuàng)建的網(wǎng)站設(shè)置相應(yīng)的文件夾訪問權(quán)限
添加剛才創(chuàng)建的��,并在IIS里綁定的帳戶�����、Authenticated Users和NETWORK SERVICE三個帳號
設(shè)置權(quán)限為默認權(quán)限(讀取和執(zhí)行���、列出文件夾內(nèi)容��、讀?����。?/p>
啟用父路徑
雙擊ASP打開屬性編輯�,將啟用父路徑修改為True
附加數(shù)據(jù)庫操作
打開SQL2008
附加數(shù)據(jù)庫
找到數(shù)據(jù)庫存放位置
刪除數(shù)據(jù)庫中原綁定用戶
新建登陸名
將數(shù)據(jù)庫鏈接的用戶名與密碼填寫在SQL新建登陸名對應(yīng)文本框中��,并按下圖進行設(shè)置
然后點擊用戶映射��,勾選數(shù)據(jù)�,并設(shè)置數(shù)據(jù)庫擁有db_owner角色權(quán)限(注:點擊確定后最好重新檢查新建用戶的屬性,用戶映射項��,查看db_owner角色權(quán)限是否賦值成功,這里經(jīng)常會出現(xiàn)創(chuàng)建后沒有賦值成功的情況��,需要手動重新設(shè)置過后才可以)
打開網(wǎng)站目錄�����,找到Web.config文件,記事本打開���,填上新創(chuàng)建的數(shù)據(jù)庫用戶名與密碼
運行ASP.NET State Service服務(wù)�����,并將它設(shè)置為自動運行
其他幾個網(wǎng)站也按上面的步驟與配置進行設(shè)置后��,打開瀏覽器就可以正常該問了
為可寫入目錄設(shè)置寫入權(quán)限
將紅框框住的兩個帳戶設(shè)置可修改權(quán)限
禁用可寫入目錄的執(zhí)行權(quán)限(也可以將所有不用運行ASPX腳本的目錄都禁用執(zhí)行權(quán)限�,比如css��、js等)
6.5. 配置跨服務(wù)器同步更新圖片網(wǎng)站
略
6.6. 屏蔽xplog70.dll漏洞
進入安裝好的SQL目錄搜索 xplog70.dll 然后將找到的文件刪除(這樣操作會使SQL代理服務(wù)停止運行,所以如果使用代理功能的朋友請不要刪除)
6.7. 設(shè)置網(wǎng)絡(luò)訪問策略
在運行中輸入gpedit.msc回車�,打開組策略編輯器,選擇計算機配置-Windows設(shè)置-安全設(shè)置-本地策略-安全選項���,將
網(wǎng)絡(luò)訪問:可匿名訪問的共享;
網(wǎng)絡(luò)訪問:可匿名訪問的命名管道;
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑;
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑;
以上四項清空
6.8. 設(shè)置用戶權(quán)限分配策略
在運行中輸入gpedit.msc回車�����,打開組策略編輯器����,選擇計算機配置-Windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)限分配
將“從網(wǎng)絡(luò)訪問此計算機”策略中的“Everyone”刪除
在“拒絕通過遠程桌面服務(wù)登陸”策略中�,添加下面用戶組和用戶
另外,在添加新站點時��,也必須將創(chuàng)建的新用戶添加到這里
6.9. 關(guān)閉默認共享
打開注冊表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
新建DOWRD值���,名稱為“AutoShareServer”���、“AutoShareWKs”����,設(shè)置值為“0”
6.10. 禁用不需要的和危險的服務(wù)
打開服務(wù)器管理器�����,進入“服務(wù)”管理���,將下列服務(wù)禁用(用黃色標(biāo)識的服務(wù)在2008系統(tǒng)中可能不存在)
6.11. 修改審核策略
6.12. 系統(tǒng)防火墻安全設(shè)置
開啟系統(tǒng)防火墻(控制面板=》系統(tǒng)和安全=》Windwos防火墻=》打開或關(guān)閉Windows防火墻),如果遠程操作的話就要小心��,不要將自己的連接也給禁用了
關(guān)閉“文件和打印共享”功能
注:如果為了更安全的話�����,最好是將遠程桌面關(guān)閉����,使用更安全的第三方遠程登陸程序?��;蛘咝薷倪h程連接端口�����,一般來說做了前面的設(shè)置后���,就算留了“肉雞”在�����,問題也不是很大���。
添加新的防火墻規(guī)則����,請參考6.13的相關(guān)操作
6.13. 開啟遠程桌面功能
對我的電腦點擊左鍵=》屬性����,打開系統(tǒng)屬性窗口
修改遠程桌面鏈接端口
點擊開始菜單����,輸入regedit打開注冊表
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp項的PortNumber值由3389修改為比如:12345這些高端端口
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp項的PortNumber值由3389修改為12345
修改了遠程桌面端口后�����,原防火墻的遠程桌面規(guī)則就會失效了���,需要重新創(chuàng)建規(guī)則
打開Windows防火墻����,點擊“高級設(shè)置”
設(shè)置后重新電腦就馬上生效了
注:如果是遠程修改端口的話���,需要同時修改McAfee防火墻�����,添加新的端口規(guī)則,這樣才不會出現(xiàn)無法遠程登陸的情況
6.14. 配置McAfee訪問保護
打開VirusScan控制臺
啟用訪問保護
打開訪問保護屬性
添加用戶定義的規(guī)則
要排除的進程:
csc.exe, DTSWizard.exe, Explorer.EXE, FrameworkService.exe, HIPSvc.exe, McScript_InUse.exe, SqlWb.exe, Ssms.exe, vbc.exe, w3wp.exe
要排除的進程:
FrameworkService.exe, mmc.exe, svchost.exe
開啟防火墻的各項阻止規(guī)則
按下面要求,在對應(yīng)的規(guī)則里添加排除的進程
| 名稱 |
說明 |
| 通用最大保護:禁止將程序注冊為服務(wù) |
svchost.exe, mmc.exe, Explorer.EXE |
| 防病毒標(biāo)準(zhǔn)保護:禁止群發(fā)郵件蠕蟲發(fā)送郵件 |
w3wp.exe |
| 通用最大保護:禁止在 Windows 文件夾中創(chuàng)建新的可執(zhí)行文件 |
w3wp.exe, csc.exe, vbc.exe |
這些規(guī)則的添加�����,需要經(jīng)常查看“訪問保護日志”����,看那些程序是我們請允許執(zhí)行的����,但卻給防火墻阻止了,將它們到對應(yīng)的排除進程當(dāng)中(具體操作如果不懂的可以查查百度��,或者查看我下一篇文章《服務(wù)器安全檢查指引——日常維護說明》�����,它屬性服務(wù)器的日常維護內(nèi)容)
6.15. 配置McAfee防火墻
按下面路徑進入防火墻文件夾
運行McAfeeFire.exe打開防火墻軟件
點擊解除鎖定�,密碼默認為abcde12345
解鎖后對防火墻的相關(guān)選項進行設(shè)置
啟用防火墻功能——如果是遠程桌面操作的話��,這一步操作后遠程桌面會馬上無法聯(lián)接���,需要在服務(wù)器本地設(shè)置請允許才能再聯(lián)接上
啟用后用遠程桌面聯(lián)接一下,并給予授權(quán)
點擊充許后���,再用遠程桌面聯(lián)接就可以登陸了��,其他端口�、軟件或網(wǎng)站的授權(quán)訪問也是一樣的操作,在給予授權(quán)操作時���,請仔細留意一下是否是我們請允許的程序訪問的����,不是的話或不明白的一律給予拒絕�����,拒絕后發(fā)現(xiàn)網(wǎng)站某項功能無法訪問或出問題時���,再來這里進行排查和修改規(guī)則����,以保證服務(wù)器的安全。
7. 部署注意事項
1���、更新前一定要經(jīng)過自測和測試部門人員測試通過���;
2、修改網(wǎng)站任何配置都必須提前做好備份�,方便回檔�����;
3����、修改了服務(wù)器端的任何設(shè)置都必須提交做好拷屏與記錄����,方便網(wǎng)站出現(xiàn)任何問題時快速的找出問題;
4����、對服務(wù)器端的相關(guān)端口進行變動時,必須提前在Windows防火墻和McAfee防火墻提前開通對應(yīng)的端口,修改好端口重啟服務(wù)器或軟件后��,記得關(guān)閉原端口�����,并且做好測試工作����,防止發(fā)生無法訪問的情況����,特別對于遠程訪問端口的修改必須小心�,不然可能會造成無法遠程登陸的情況;
5����、當(dāng)發(fā)生某功能無法運行或出錯的時候�����,請先檢查Windows防火墻���、McAfee訪問保護和防火墻,看看是否是給訪問保護規(guī)則阻止了�。
6����、必須定期檢查用戶管理查看是否有多余的用戶和用戶隸屬組是否改變;檢查應(yīng)用程序日志���、安全日志、系統(tǒng)日志���、IIS訪問日志�����、網(wǎng)站后臺管理記錄的日志、網(wǎng)站目錄中記錄的操作日志與充值日志�����、McAfee訪問保日志等���,并做好備份工作��;查看Windows防火墻�����、McAfee訪問保護和防火墻是否運行中,有沒有不小心關(guān)閉后忘記開啟了�;檢查SQL的相關(guān)日志與記錄增長量,檢查SQL備份情況��,備份空間是否足夠等;(具體可查看我下一篇文章《服務(wù)器安全檢查指引——日常維護說明》)
7����、除了做好服務(wù)器安全相關(guān)配置外�,代碼的安全也是非常重要的,所有提交的數(shù)據(jù)必須做好過濾操作����,防SQL注入和XSS攻擊,客戶端定期殺毒查木馬����,定期修改登陸密碼,以保證系統(tǒng)安全�。
8. 結(jié)束語
服務(wù)器的安全無小事,事事須小心�,一出問題就是大問題,所以真正操作時需要非常細心+小心�。
作為一個服務(wù)器維護人員,除了日常的維護工作外���,有時間的話還須學(xué)習(xí)掌握各種常用的黑客工具���,熟悉各種攻擊手段,多點上上烏云網(wǎng)等這種類型的網(wǎng)站���,去看看別人是怎么入侵的���,以做到更好的防護。
由于公司網(wǎng)站的一些特殊性��,所以發(fā)布的內(nèi)容是經(jīng)過刪減過的,有一些特殊配置和設(shè)置沒有發(fā)布出來��,呵呵......不過基本的安全防護描述的差不多了���。里面是否還存在有安全問題就不太清楚了�����,希望有經(jīng)驗的朋友多多指教�。
如果你覺本篇文章有幫到你,也請幫忙點推薦��。
版權(quán)聲明:
本文由AllEmpty發(fā)布于博客園�����,本文版權(quán)歸作者和博客園共有�,歡迎轉(zhuǎn)載,但未經(jīng)作者同意必須保留此段聲明�����,且在文章頁面明顯位置給出原文鏈接��,如有問題���,可以通過1654937#qq.com 聯(lián)系我�����,非常感謝。
發(fā)表本編內(nèi)容���,只要主為了和大家共同學(xué)習(xí)共同進步����,有興趣的朋友可以加加Q群:327360708 或Email給我(1654937#qq.com),大家一起探討�,由于本人工作很繁忙,如果疑問請先留言���,回復(fù)不及時也請諒解。
