系统与服务器安全管理

Windows 2000 Server、Freebsd是两种常见的服务器。第一种是微软的产品，方便好用，但是，你必须要不断的patch它。Freebsd是一种优雅的 *** 作系统，它简洁的内核和优异的性能让人感动。关于这几种 *** 作系统的安全，每种都可以写一本书。我不会在这里对它们进行详细描述，只讲一些系统初始化安全配置。

Windows2000 Server的初始安全配置

Windows的服务器在运行时，都会打开一些端口，如135、139、445等。这些端口用于Windows本身的功能需要，冒失的关闭它们会影响到Windows的功能。然而，正是因为这些端口的存在，给Windows服务器带来诸多的安全风险。远程攻击者可以利用这些开放端口来广泛的收集目标主机信息，包括 *** 作系统版本、域SID、域用户名、主机SID、主机用户名、帐号信息、网络共享信息、网络时间信息、Netbios名字、网络接口信息等，并可用来枚举帐号和口令。今年8月份和9月份，微软先后发布了两个基于135端口的RPCDCOM漏洞的安全公告，分别是MS03-026和 MS03-039，该漏洞风险级别高，攻击者可以利用它来获取系统权限。而类似于这样的漏洞在微软的 *** 作系统中经常存在。

解决这类问题的通用方法是打补丁，微软有保持用户补丁更新的良好习惯，并且它的Windows2000SP4安装后可通过WindowsUpdate来自动升级系统补丁。另外，在防火墙上明确屏蔽来自因特网的对135-139和445、593端口的访问也是明智之举。

Microsoft的SQLServer数据库服务也容易被攻击，今年3月份盛行的SQL蠕虫即使得多家公司损失惨重，因此，如果安装了微软的'SQLServer，有必要做这些事：1）更新数据库补丁；2）更改数据库的默认服务端口（1433）；3）在防火墙上屏蔽数据库服务端口；4）保证 sa口令非空。

另外，在Windows服务器上安装杀毒软件是绝对必须的，并且要经常更新病毒库，定期运行杀毒软件查杀病毒。

不要运行不必要的服务，尤其是IIS，如果不需要它，就根本不要安装。IIS历来存在众多问题，有几点在配置时值得注意：1） *** 作系统补丁版本不得低于SP3;2）不要在默认路径运行WEB（默认是c:inetpub，请编辑>1、服务器初始安全防护

安装服务器时，要选择绿色安全版的防护软件，以防有被入侵的可能性。对网站提供服务的服务器，软件防火墙的安全设置最高，防火墙只要开放服务器端口，其他的一律都关闭，你要访问网站时防火墙会提示您是否允许访问，在根据实际情况添加允许访问列表。这样至少给系统多一份安全。

2、修改服务器远程端口。

因为有不少不法分子经常扫描公网IP端口，如果使用默认的3389或者Linux的22端口，相对来说是不安全的，建议修改掉默认远程端口。

3、设置复杂密码。

一但服务器IP被扫描出来默认端口，非法分子就会对服务器进行暴力破解，利用第三方字典生成的密码来尝试破解服务器密码，如果您的密码足够复杂，非法分子就需要大量的时间来进行密码尝试，也许在密码未破解完成，服务器就已经进入保护模式，不允许登陆。

4、修补已知的漏洞

如果网站出现漏洞时不及时处理，网站就会出现一系列的安全隐患，这使得服务器很容易受到病毒入侵，导致网络瘫痪，所以，平时要养成良好的习惯，时刻关注是否有新的需修补的漏洞。

5、多服务器保护

一个网站可以有多个服务器，网站被攻击时，那么我们就可以选择不一样的方式进行防范，针对不同的服务器，我们应该设置不同的管理，这样即使一个服务器被攻陷，其他的服务还可以正常使用。

6、防火墙技术

现在防火墙发展已经很成熟了，防火墙可以选择安全性检验强的，检验的时间会较长，运行的过程会有很大负担。如果选择防护性低的，那么检验时间会比较短。我们在选择防护墙时，要根据网络服务器自身的特点选择合适的防火墙技术。

7、定时为数据进行备份。

定时为数据做好备份，即使服务器被破解，数据被破坏，或者系统出现故障崩溃，你只需要进行重装系统，还原数据即可，不用担心数据彻底丢失或损坏。

做好网站服务器的安全维护是一项非常重要的工作，只有做好了服务器安全工作，才能保证网站可以稳定运营。要想做好网站服务器安全维护，还要学习更多的维护技巧。

如果你是指机房安全措施的话IDC机房一般提供有硬防以及监控设施可以及时的发现防御攻击如果是指服务器方面的安全这个是需要双方配合来做好的IDC可以帮用户做安全策略更改远程端口但用户在使用的过程中也要养成良好的 *** 作习惯可以更改复杂的用户名密码平时不要安装一些无关软件不要浏览一些无关网站并及时打好系统补丁和漏洞这样才可以提高服务器的安全

1)、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。
2)、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。
3)、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrator权限的用户只在需要的时候使用。
4)、把系统Administrator账号改名Windows XP的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。
5)、创建一个陷阱用户创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。
6)、把共享文件的权限从Everyone组改成授权用户 不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的。
7)、不让系统显示上次登录的用户名 打开注册表编辑器并找到注册表项HKLMSoftwaremicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把键值改成1。
8)、系统账号/共享列表 Windows XP的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。可以通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空连接，还可以在Windows XP的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制）

---