服务器安全维护计划书

一.服务器操作系统的安全维护

1、对网站的代码进行检查,检查是否被黑客放置了网页木马和ASP木马、网站代码中是否有后门程序。

  2、对网站代码安全性进行检查,检查是否存在SQL注入漏洞、上传文件漏洞等常见的危害站点安全的漏洞。

  3、对服务器操作系统的日志进行分析,检查系统是否被入侵,查看是否被黑客安装了木马及对系统做了哪些改动。

  4、对服务器操作系统打上最新的补丁,合理的配置和安装常用的应用软件(比如防火墙、杀毒软件、数据库等),并将服务器的软件更新为安全、稳定、兼容性好的版本。

  5、对服务器操作系统进行合理配置和优化,注销掉不必要的系统组件,停掉不必要的危险的服务、禁用危险的端口,通过运行最小的服务以达到最大的安全性。

  6、对常用应用程序的服务端口和提示信息,进行隐藏和伪造,防止黑客利用扫描工具来获取服务器信息。

  7、合理的配置权限,每个站点均配置独立的internet来宾帐号,限制internet 来宾帐号的访问权限,只允许其可以读取和执行运行网站所需要的程序,只对甲方站点的网站目录有读取和写入权限,禁止访问其它目录,并限制其执行危险的命令,这样就算黑客有办法上传了木马程序到甲方网站目录,也无法执行,更不会对系统造成危害。

  8、降低SQL数据库、SERV-U FTP等应用软件服务的运行权限,删除MSSQL数据库不必要的、危险的存储过程,防止黑客利用漏洞来进一步入侵和提升权限,并通过有效的设置,防止未知的溢出攻击。

二.IIS优化

1.禁止多余的Web服务扩展

IIS6.0支持多种服务扩展,有些管理员偷懒或者不求甚解,担心Web运行中出现解析错误,索性在建站时开启了所有的Web服务扩展。殊不知,这其中的有些扩展比如“所有未知CGI扩展”、“在服务器端的包含文件”等是Web运行中根本用不到的,况且还占用IIS资源影响性能拖垮Web,甚至某些扩展存在漏洞容易被攻击者利用。因此,科学的原则是,用到什么扩展就启用什么扩展。

  如果企业站点是静态页面,那什么扩展都不要开启。不过现在的企业站点都是交互的动态页面比如asp、php、jsp等。如果是asp页面,那只需开启“Active Server Pages”即可。对于php、jsp等动态页面IIS6.0默认是不支持的需要进行安装相应组件实现对这些扩展的支持。不过,此时用不到的扩展完全可以禁用。

  禁止Web服务扩展的操作非常简单,打开“IIS管理器”,在左窗格中点击“Web服务扩展”,在右侧选择相应的扩展,然后点击“禁用”即可。

2.删除不必要的IIS扩展名映射

 IIS默认支持.asp、.cdx等8种扩展名的映射,这其中除了.asp之外其他的扩展几乎用不到。这些用不着的扩展会加重web 服务器的负担,而且带来一定的安全隐患。比如.asa,.cer等扩展名,就可以被攻击者利用来获得webshell。因为一般的asp系统都会限制asp文件的上传,但如果没有限制.asa或者.cer等扩展名,攻击者就可以更改文件后缀突破上传限制,运行.asa或者.cer的文件获得webshell。

删除IIS扩展名的操作是:打开IIS管理器,右键单击“默认Web站点”选择“属性”,点击“主目录”选项卡,然后点击“配置”打开应用程序窗口,最后根据自己的需要选择不必要的应用程序映射比如.shtml, .shtm, .stm等,然后点击“删除”即可。

三.    磁盘权限设置

第一,先创建一个用户组,以后任何的站点的用户都建在这个組里,然后配置这个组在各个分区没有权限或完全拒绝(直接在根磁盘配置就能够了,不要替换任何子目录的权限)。然后再配置各个IIS用户在各自的文档夹里的权限。

第二,改名或卸载不安全组件

第三,把system32下面的一些常用网络命令配置成只有 system administrators 能够访问 其他用户全部删除,如net.exe tftp.exe at.exe ….网上应该有很多相关介绍了

第四,使用一般用户启动mssql或mysql数据库

假如出现asp数据库连不上的问题,应该是c:\windows\temp c:\WINDOWS\IIS Temporary Compressed Files 文档夹没有给虚拟用户组权限,给他可读可写。

这样配置出来,不支持asp.net, 要支持的话 c:\WINDOWS\Microsoft.NET\Framework\v1.1.4322

这个目录也要给虚拟用户组可运行权限,web文档夹要加上iis_wpg可读可写,但开启asp.net会带来新的安全问题,假如无需的话不建议开启。

ASP的安全设置:

设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。

另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c: winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置,海阳木马已经在这里失去了作用.

四.    服务器的备份,还原

 备份是指将系统中的数据的副本按一定的策略储存到安全区域,而还原是备份的反向过程。备份的重要性只有在还原的时候才可以体现出来!

启动备份的两种方法:1.开始–所有程序—附件—系统工具—启动工具—备份,2.开始—运行—ntbackup

备份的类型:1.常规备份

2.增量备份

3.差异备份

4.副本备份

5.每日备份

常规备份是将备份所有选定的文件,且将其标记为已备份状态(清除存档状态).常规备份时,用户仅需要备份文件的最近副本就可以用于恢复年有的文件.

增量备份只备份自上次常规备份或增量备份以来创建或更改的文件(只备份有存档标记的文件).增量备份速度快,但恢复时比较麻烦,要求备份文件连续.

差异备份只备份自上次正常或增量备份以来创建或更改的文件(只备份有存档标记的文件).备份速度慢,备份文件不要求连续.

副本备份将备份所有选定的文件,但不将备份文件标记为已备份.

每日备份用于备份当天创建或更改过的所有选定文件.

备份标记的处理备份类型

备份前

备份后

常规备份

不检查标记

清除标记

检查标记

检查标记

清除标记

差异备份

检查标记

不清除标记

副本备份

不检查标记

不清除标记

每日备份

不检查标记,检查文件的修改日期是否为当天

不清除标记

常用的备份有:常规+增量,常规+差异,常规+增量+副本.

还原是备份的反过程,运行ntbackup,选还原和管理媒体

如果是域控制器,则系统状态数据为:注册表(Registry),COM+类注册数据库(COM+Class Registration Databass),启动文件(Boot File),活动目录(Active Directory),系统卷(SYSVOL)。

独立计算机或成员计算机包含的系统状态数据:注册表(Registry),COM+类注册数据库(COM+Class Registration Databass),启动文件(Boot File)。如图6

在域控制器上,还原系统状态的步骤:

1.重启DC,在显示启动菜单时按F8键。

2.选择 目录服务还原模式。

3.输入adminidtrator和还原密码

4.运行ntbackup,还原

5.重启DC

可以运用任务计划实现服务器的自动备份,减小工作量!

五.My SQL安全设置

如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:

删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户 updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查 mysql.user表,取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。

1.Server-u安全问题

安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的 banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用 MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的 system启动就没有这些问题,因为system一般都拥有这些权限的。

2.MSSQL数据库服务器的安全设置

对于专用的MSSQL数据库服务器,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心Drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc

在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。

六.入侵检测工作

作为服务器的日常管理,入侵检测是一项非常重要的工作,在平常的检测过程中,主要包含日常的服务器安全例行检查和遭到入侵时的入侵检查,也就是分为在入侵进行时的安全检查和在入侵前后的安全检查。

日常安全检测主要针对系统的安全性,工作主要按照以下步骤进行:

1.查看服务器状态:

打开进程管理器,查看服务器性能,观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。

2.检查当前进程情况

切换“任务管理器”到进程,查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr,这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。通常的后门如果有进程的话,一般会取一个与系统进程类似的名称,如svch0st.exe,此时要仔细辨别[通常迷惑手段是变字母o为数字0,变字母l为数字1]

3.检查系统帐号

打开计算机管理,展开本地用户和组选项,查看组选项,查看administrators组是否添加有新帐号,检查是否有克隆帐号。

4.查看当前端口开放情况

使用netstat -an,查看当前的端口连接情况,尤其是注意与外部连接着的端口情况,看是否有未经允许的端口与外界在通信。如有,立即关闭该端口并记录下该端口对应的程序并记录,将该程序转移到其他目录下存放以便后来分析。

5.检查系统服务

运行services.msc,检查处于已启动状态的服务,查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性,查看该服务所对应的可执行文件是什么,如果确定该文件是系统内的正常使用的文件,可粗略放过。查看是否有其他正常开放服务依存在该服务上,如果有,可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上,可暂时停止掉该服务,然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术,添加的服务项目在服务管理器中是无法看到的,这时需要打开注册表中的 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找,通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。

6.查看相关日志

运行eventvwr.msc,粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选“属性”,在“筛选器”中设置一个日志筛选器,只选择错误、警告,查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题,如果无解决办法则记录下该问题,详细记录下事件来源、ID号和具体描述信息,以便找到问题解决的办法。

7.检查系统文件

主要检查系统盘的exe和dll文件,建议系统安装完毕之后用dir *.exe /s >1.txt将C盘所有的exe文件列表保存下来,然后每次检查的时候再用该命令生成一份当时的列表,用fc比较两个文件,同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。

8.检查安全策略是否更改

打开本地连接的属性,查看“常规”中是否只勾选了“TCP/IP协议”,打开“TCP/IP”协议设置,点“高级”==》“选项”,查看“IP安全机制”是否是设定的IP策略,查看“TCP/IP”筛选允许的端口有没有被更改。打开“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否发生更改。

9.检查目录权限

重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c:;c:winnt;

C:windows\system32;c:C:windows\system32\inetsrv;C:windows\system32\netsrvdata;c:documents and Settings;然后再检查serv-u安装目录,查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限,包括:cmd,net,ftp,tftp,cacls等文件。

10.检查启动项

主要检查当前的开机自启动程序。可以使用msconfig.exe来检查开机自启动的程序。

发现入侵时的应对措施

对于即时发现的入侵事件,以下情况针对系统已遭受到破坏情况下的处理,系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应立即采取以下措施:

视情况严重决定处理的方式,是通过远程处理还是通过实地处理。如情况严重建议采用实地处理。如采用实地处理,在发现入侵的第一时间通知机房关闭服务器,待处理人员赶到机房时断开网线,再进入系统进行检查。如采用远程处理,如情况严重第一时间停止所有应用服务,更改IP策略为只允许远程管理端口进行连接然后重新启动服务器,重新启动之后再远程连接上去进行处理,重启前先用msconfig.exs检查开机自启动的程序。然后再进行安全检查。

以下处理措施针对用户站点被入侵但未危及系统的情况,如果用户要求加强自己站点的安全性,可按如下方式加固用户站点的安全:

站点根目录—-只给administrator读取权限,权限继承下去。

wwwroot ——给web用户读取、写入权限。高级里面有删除子文件夹和文件权限

database——给web用户读取、写入权限。高级里面没有删除子文件夹和文件权限

如需要进一步修改,可针对用户站点的特性对于普通文件存放目录如html、js、图片文件夹只给读取权限,对asp等脚本文件给予上表中的权限。另外查看该用户站点对应的安全日志,找出漏洞原因,协助用户修补程序漏洞。

七.服务器维护保养工作由操作者负责,其中人员分配如下:

每次保养必须添写保养记录,设备出现故障应及时汇报给维修,并详细描述故障出现前设备的情况和所进行的操作,积极配合维修人员检修,以便顺利恢复生产!公司对服务器维护情况将进行不定期抽查。建议操作者在每次交接时仔细检查设备完好状况,记录好设备运行情况。

服务器的管理条例

  操作者必须严格按照保养计划书保养维护好设备,严格按照操作规程操作,设备发生故障,应及时向维修反映设备情况,包括故障出现的时间,故障的现象,以及故障出现前操作者进行的详细操作,以便维修人员正确快速地排除故障,(如实反映故障情况将有利与故障地排除。