Bereitstellungsdokument für die Sicherheitseinstellungen des Win2008-Servers (empfohlen)

Ich hatte schon vor Neujahr an dem Projekt gearbeitet und erst in den letzten Tagen die neu hinzugefügte Festplatte für den neuen Server erhalten, die Array-Konfiguration für die Produktionsumgebung überarbeitet und Bereitstellungsdokumente geschrieben, um Sicherheitsrichtlinien vorzubereiten. Ich habe sie der Testabteilung und verwandten Abteilungen für den letzten Test übergeben, bevor ich online ging. Dann habe ich das Bereitstellungsdokument einem Kollegen in der entsprechenden Abteilung übergeben und ihn gebeten, das System gemäß dem Bereitstellungsdokument neu einzurichten, um sicherzustellen, dass andere Kollegen den Server in Zukunft normal bereitstellen können. Schließlich, nachdem ich den Test am letzten Tag vor dem Urlaub in aller Eile beendet hatte, wies ich meine Kollegen einfach an, den Server gemäß dem Bereitstellungsdokument neu bereitzustellen, und rannte dann los, um nach Hause zu gehen. Den Rest überließ ich meinen Kollegen, die Überstunden machten, um den Server im Computerraum zu hosten. Nachdem ich nach Neujahr wieder zur Arbeit zurückgekehrt war, begann ich, Dokumente gemäß dem Arbeitsplan vorzubereiten (hauptsächlich Überarbeitung der zuvor verfassten Bereitstellungsdokumente und Hinzufügen relevanter Sicherheitsrichtlinien, die den Dokumenten nicht hinzugefügt wurden, sowie Durchführen von Sicherheitstests in der Testumgebung). Als wir mit der letzten Sicherheitsüberprüfung des Servers fertig waren, hatte die Betriebsabteilung die Website bereits beworben. Es war so schwindelerregend, dass sie uns nicht einmal eine Überlebenschance gaben ... Wir konnten nur Überstunden machen, um eine physische Überprüfung der Serverprotokolle und der zugehörigen Einstellungen durchzuführen, die mit dem öffentlichen Netzwerk verbunden waren. Natürlich stellten wir bei der Überprüfung fest, dass der Server verschiedene Angriffsaufzeichnungen hatte, aber glücklicherweise wurden sie alle blockiert und es gab keine Probleme. Dann fügten wir weiterhin einige Firewall-Richtlinien und Systemsicherheitseinstellungen hinzu.

Als nächstes werde ich mit dem Schreiben der „Richtlinien zur Überprüfung der Serversicherheit – Anweisungen zur täglichen Wartung“ beschäftigt sein. Das Unternehmen muss ein neues Projekt entwickeln, also müssen wir die Anforderungen analysieren, Entwicklungsdokumente schreiben und dann die Front-End- und Back-End-Entwicklungsframeworks erstellen. Das alte System muss neue Funktionen hinzufügen, und wir müssen Entwicklungsdokumente für Funktionsupgrades für verschiedene Versionen von V3 und V4 schreiben ... Ich bin heute endlich sehr beschäftigt. Rückblickend ist der Februar wie im Flug vergangen. Es scheint verständlich, dass Programmierer schnell altern. Sie haben keine eigene Zeit mehr.

Ich habe schon viel Unsinn erzählt, kommen wir jetzt zum Punkt.

Ich bin davon überzeugt, dass sich viele Entwickler mit der Serversicherheit auseinandersetzen müssen, die meisten Menschen jedoch keine Ahnung von Sicherheit haben. Ich erinnere mich, als ich vor 10 Jahren zum ersten Mal den Server übernahm, war ich aufgeregt, aber auch verwirrt. Als ich mich jedoch wirklich damit auseinandersetzte, wusste ich nicht, wo ich anfangen sollte. Ich suchte auf Baidu und Google, aber es gab keine vollständige Erklärung. Ich war in Bezug auf die Sicherheit völlig verwirrt. Die Server, die ich am Anfang konfiguriert habe, waren voller Schlupflöcher. Damals habe ich fast im Computerraum gegessen und geschlafen, aber ich konnte nicht verhindern, dass der Server gehackt wurde. Die meiste Zeit wusste ich nach dem Hacken nichts. Es war deprimierend, daran zu denken~~~ Natürlich wurde meine Erfahrung im Laufe des Hackens allmählich verbessert, haha......

Im Folgenden werde ich das von mir verfasste „Dokument zur Bereitstellung der Serversicherheit“ weitergeben und hoffe, dass es für alle hilfreich ist. Natürlich bin ich kein Hacker und kenne nicht alle Angriffsmethoden, daher kann es Auslassungen geben. Ich freue mich über Vorschläge. Wir konfigurieren die Server gemäß den Sicherheitseinstellungsideen in diesem Dokument (verschiedene Plattformen und Betriebssystemversionen haben unterschiedliche Konfigurationen, aber die Sicherheitseinstellungsideen sind dieselben). Wir verwalten seit 2005 bis heute viele Server (einschließlich verschiedener Webserver, Datenbankserver, Streaming-Media-Server, Spieleserver (Linux-Systeme)) und es gab keine erfolgreichen Einbrüche. Natürlich kann es auch damit zusammenhängen, dass es nicht genügend sehr mächtige Hacker gibt, um Angriffe durchzuführen, aber wir können auch sehen, dass es dennoch einige Sicherheitsgarantien gibt (haha ... es ist mir peinlich, so viel zu prahlen). Wenn Sie keinen Server haben, können Sie auch versuchen, ihn mithilfe einer virtuellen Maschine auf Ihrem eigenen Computer zu installieren und zu konfigurieren (in der technischen Abteilung meiner Firma haben viele Kollegen versucht, den Anweisungen im Dokument zu folgen, nachdem das Dokument an alle verschickt wurde, was für die Verbesserung der Serversicherheitsbereitstellung sehr hilfreich ist). Natürlich gibt es einige subtile Unterschiede zwischen der Konfiguration der virtuellen Maschine und den Vorgängen auf dem tatsächlichen Server.

Inhaltsverzeichnis

1. Einleitung 3
2. Bereitstellungsumgebung.. 3
2.1 Informationen zur Serverumgebung.. 3
3. Festplatten-Array-Konfiguration.. 4
4. Installieren Sie das Betriebssystem. 4
5. Installieren Sie die Software. 4
5.1 Installieren eines Defragmentierungsprogramms.. 4
5.2 Installieren einer virtuellen CD-ROM.. 6
5.3 IIS installieren. 6
5.4 Installieren Sie .NET Framework 4.9
5.5 SQL2008.9 installieren
5.6 JMail installieren 17
5.7 Installieren Sie Antivirensoftware und Firewall. 17
6. Server-Website und Sicherheitskonfiguration.. 22
6.1. Ändern des Standardkontonamens des Systems.. 22
6.2. Konfigurieren der Kontosperrungsrichtlinie.. 27
6.3. Server-Festplattensicherheit - Zugriffssicherheitskonfiguration.. 28
6.4. Konfigurieren der Website.. 30
6.5. Konfigurieren Sie die serverübergreifende synchrone Aktualisierung der Bild-Website. 68
6.6. Abschirmung der xplog70.dll-Sicherheitslücke 75
6.7. Festlegen der Netzwerkzugriffsrichtlinie.. 76
6.8. Festlegen der Richtlinie zur Zuweisung von Benutzerrechten. 77
6.9. Standardmäßige Freigabe deaktivieren.. 79
6.10. Deaktivieren Sie unnötige und gefährliche Dienste. 79
6.11. Ändern der Überwachungsrichtlinie.. 81
6.12. Sicherheitseinstellungen der System-Firewall.. 82
6.13. Remotedesktopfunktion aktivieren.. 83
6.14. Konfigurieren des McAfee-Zugriffsschutzes.. 90
6.15. Konfigurieren der McAfee Firewall.. 97
7. Überlegungen zur Bereitstellung.. 103

1. Einleitung

Um einen sicheren Server zu konfigurieren, müssen Sie nur ein paar Worte sagen:

Schließen oder deaktivieren Sie alle Ports, die geöffnet werden können, und Dienste, die deaktiviert werden können.

Verwenden Sie eine Firewall, die Zugriffsrichtlinien für die Portkommunikation konfigurieren kann.

Kontrollieren Sie streng die Berechtigungen verschiedener Programme im System zum Erstellen, Ändern und Löschen ausführbarer Skripts, dynamischer Linkbibliotheken und Programme in jedem Verzeichnis.

Bei Website-Verzeichnissen können Verzeichnisse oder Dateien, in die geschrieben werden kann, keine Ausführungsberechtigungen haben, und Verzeichnissen mit Ausführungsberechtigungen können keine Schreibberechtigungen zugewiesen werden. (Das ist das Wichtigste)

2. Bereitstellungsumgebung
2.1 Informationen zur Serverumgebung <br /> Server-Hardwarekonfiguration:

leicht

Server-Softwareumgebung:

3. Festplatten-Array-Konfiguration

Informationen zur spezifischen Konfiguration finden Sie im „RAID-Konfigurationshandbuch (chinesisch)“, Linkadresse:
http://support1.ap.dell.com/cn/zh/forum/thread.asp?fid=20&tid=61244
Bitte sichern Sie vor der Konfiguration die Daten auf der Festplatte. Nach dem Zurücksetzen des Arrays gehen alle Daten auf der Festplatte verloren.
(Der Autor verwendet einen Dell R820-Server. Der Kundendienst von Dell-Servern ist wirklich gut. Wenn es ein Problem mit dem Server gibt, rufen Sie einfach den Kundendienst an, um es zu lösen. Das ist sehr praktisch.)

4. Installieren Sie das Betriebssystem <br /> Einzelheiten zu den Installationsschritten finden Sie im „R820 Server-Installationshandbuch“.
1) Installieren Sie Windows 2008 über den Lebenszyklus:
http://zh.community.dell.com/support_forums/poweredge/f/279/t/2812.aspx
Bei dieser Methode drücken Sie beim Booten des Computers direkt F10, um das Betriebssystem zu installieren. Die Installation kann schnell erfolgen. Um andere offiziell unterstützte Systeme zu installieren, wählen Sie bei der Auswahl des Betriebssystems einfach das entsprechende aus und die Installation kann schnell erfolgen.

2) Manuelle Installation von 2012:
http://zh.community.dell.com/support_forums/poweredge/f/279/t/9621.aspx
Bei dieser Methode erfolgt die Installation direkt über die Installations-CD 2012 und der Start vom CD-ROM-Laufwerk aus.
Wenn Sie die Installationsdiskette auswählen, können Sie den RAID-Treiber im Ordner, in dem sich dieses Dokument befindet, auf einem USB-Speicherstick entpacken, den USB-Speicherstick in den Server einstecken und manuell auswählen, den Treiber zur Installation zu laden.

Der weitere Installationsvorgang läuft wie bei der normalen Betriebssysteminstallation ab und wird hier daher nicht näher beschrieben.

5. Installieren Sie die Software
5.1 Installieren eines Defragmentierungsprogramms

Da serverbezogene Dateien, Bilder und verschiedene Protokolldateien ständig erstellt und gelöscht werden, verbleiben nach längerem Betrieb des Servers viele Dateifragmente auf der Festplatte, was die Leistung des Servers verringert und die Lebensdauer der Festplatte verkürzt.
Diskeeper2011_ProPremier ist ein Echtzeit-Defragmentierungsprogramm, das die Systemressourcen nicht beeinträchtigt und automatisch ausgeführt wird. Es kann automatisch verhindern, dass wichtige Systemdateien fragmentiert werden, die Festplatte in Echtzeit überwachen und bei Fragmentierung defragmentieren, wodurch die Systemstabilität und -geschwindigkeit in höchstem Maße gewährleistet wird. Seine intelligente Dateizugriffsbeschleunigungssequenztechnologie I-FAAST2.0 kann die Zugriffsgeschwindigkeit der am häufigsten verwendeten Dateien um bis zu 80 % (durchschnittlich 10 bis 20 %) erhöhen. (Eine ausführliche Einführung finden Sie in den offiziellen Dokumenten.)
Führen Sie die Installation aus:

5.2 Installieren einer virtuellen CD

leicht
5.3 IIS installieren

Öffnen Sie den Server-Manager, wählen Sie Rollen aus => Klicken Sie auf „Rolle hinzufügen“

Webserver (IIS) auswählen

Nachdem Sie auf „Weiter“ geklickt haben, überprüfen Sie den ausgewählten Inhalt wie unten gezeigt

5.4 Installieren von .NET Framework 4

Führen Sie dotNetFx40_Full_x86_x64.exe aus, um das .net4-Framework zu installieren (dies muss nach der Installation von IIS installiert werden, damit das .net4-Framework automatisch in die relevanten Eigenschaften von IIS eingebunden wird)

5.5 SQL2008 installieren

Bevor Sie SQL2008 installieren, müssen Sie zuerst das .net3.5-Framework installieren. Öffnen Sie den Server-Manager und klicken Sie auf Features = 》Features hinzufügen = 》.NET Framework3.5.1 aktivieren, um die Installation auszuführen.

Um mit der Installation von SQL2008 fortzufahren, ändern Sie bitte zunächst den Standardsystemkontonamen in Schritt 6.1 als Administrator und fahren Sie dann mit den folgenden Schritten fort

Nachdem Sie die Schritte in 6.1 befolgt haben, laden Sie SQL2008_CHS.iso auf die virtuelle CD, führen Sie die Installation aus und wählen Sie „Installieren“ => „Neue eigenständige SQL Server-Installation oder Hinzufügen von Funktionen zu einer vorhandenen Installation“.

Der hier ausgewählte Kontoname ist SYSTEM und das Passwort ist leer

Bitte beachten Sie bei diesem Schritt:
1) Wählen Sie den gemischten Modus als Authentifizierungsmodus
2) Das SA-Passwort muss länger als 32 Zeichen sein und chinesische und englische Zeichen (Groß- und Kleinbuchstaben) sowie Zahlen enthalten. Es muss ein verstümmelter Code sein, den sich niemand merken kann. Sobald das Konto und das Passwort festgelegt sind, werden sie nicht mehr verwendet.
3) Der angegebene SQL Server-Administrator ist der aktuelle Benutzer (nach dem Vorgang von Schritt 6.1 muss er der Administratorbenutzer sein, um den Standardkontonamen des Systems zu ändern. Ist dies nicht der Fall, kann die Anmeldung bei SQL fehlschlagen).

Manchmal wird beim Ausführen bis zum letzten Schritt angezeigt, dass die Installation fehlgeschlagen ist. Rufen Sie zu diesem Zeitpunkt nach dem Neustart die Systemsteuerung auf, klicken Sie auf „Programm deinstallieren“, löschen Sie das neu installierte SQL2008, starten Sie den Computer erneut und installieren Sie es dann. Natürlich habe ich es einmal versucht und es hat geklappt, und ich habe diesen Vorgang auch drei oder vier Mal versucht, bevor es geklappt hat. Ich weiß nicht, warum das passiert ist.

5.6 JMail installieren

leicht
5.7 Installieren Sie Antivirensoftware und Firewall

Am besten installieren Sie Antivirensoftware und Firewalls erst, nachdem Sie alle Schritte vor „6.14. McAfee-Firewall konfigurieren“ abgeschlossen haben. Andernfalls können einige Konfigurationen oder Vorgänge fehlschlagen, da die erfolgreiche Installation der Firewall den Betrieb der Systemsoftware verhindert. Falls diese installiert wurde, öffnen Sie zunächst die Konsole der Antivirensoftware, deaktivieren Sie den „Zugriffsschutz“ und aktivieren Sie die Firewall noch nicht.

Ich gehe nicht ins Detail. Installieren Sie einfach die Antivirensoftware wie unten gezeigt:

Installieren Sie eine Firewall

Führen Sie McAfeeHIP_ClientSetup.exe direkt aus (Hinweis: Die echte Installationsmethode unterscheidet sich von der folgenden, es gibt einige Unterschiede)

Nach dem Ausführen wird keine Installationsoberfläche angezeigt. Warten Sie eine Weile, bevor Sie den Patch ausführen, wie unten gezeigt

Doppelklicken Sie einfach mit der linken Maustaste, geben Sie dann den unten angezeigten Pfad ein und finden Sie das installierte Firewall-Programm

Führen Sie McAfeeFire.exe aus, um die Firewall-Software zu öffnen

6. Server-Website und Sicherheitskonfiguration
6.1. Ändern Sie den Standardkontonamen des Systems

Ändern Sie den Standardkontonamen des Systems und erstellen Sie ein neues Administratorkonto als Trap-Konto, legen Sie ein extralanges Passwort fest und entfernen Sie alle Benutzergruppen. (Setzen Sie es in der Benutzergruppe einfach auf leer, damit dieses Konto keiner Benutzergruppe angehört) und benennen Sie auch den Gastbenutzer und deaktivieren Sie ihn.

Benennen Sie zunächst den ursprünglichen Administratorbenutzer um

Ändern Sie den Namen nach Ihren Wünschen

Erstellen Sie dann ein neues Administrator-Betrugskonto und legen Sie ein gemischtes und sehr langes Passwort fest

Bearbeiten

Löschen einer Gruppe, zu der Sie gehören

Da es sich um ein gefälschtes Konto handelt, erlauben Sie der Netzwerkrichtlinie, den Zugriff zu steuern

Benennen Sie Gast ebenfalls um

Nach Abschluss der Installation müssen Sie den Computer neu starten, da sonst die Installation von SQL fehlschlagen kann und eine Neuinstallation erforderlich ist

6.2. Konfigurieren der Kontosperrungsrichtlinie

Geben Sie gpedit.msc in das Ausführen-Fenster ein und drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor zu öffnen. Wählen Sie Computerkonfiguration – Windows-Einstellungen – Sicherheitseinstellungen – Kontorichtlinien – Kontosperrungsrichtlinie und stellen Sie das Konto auf „Drei ungültige Anmeldungen“, „Sperrzeit 30 Minuten“ und „Sperrzähler auf 30 Minuten zurücksetzen“ ein.

6.3. Server-Festplattensicherheit Zugriffssicherheitskonfiguration

Löschen Sie alle Benutzerberechtigungen aller Datenträger außer CREATOR OWNER, Administratoren und System (die Benutzergruppe muss auf dem Laufwerk C beibehalten werden. Theoretisch sollte die Benutzergruppe „Benutzer“ gelöscht werden, aber wenn viele Freunde sie direkt hier löschen, ist die Website möglicherweise nicht zugänglich, wenn der Vorgang nicht ordnungsgemäß ausgeführt wird. Es ist sehr mühsam, die Berechtigungen für viele Verzeichnisse im Systemverzeichnis neu zu konfigurieren. Daher wird in diesem Artikel empfohlen, sie beizubehalten. Solange die folgenden Einstellungen vorhanden sind, besteht hier kein großes Sicherheitsrisiko.)

6.4. Konfiguration der Website

Kopieren Sie den Website-Code und die Bilder in den angegebenen Ordner

(Da das Front-End und das Back-End dieser Site getrennt sind, ist auch die Bilder-Site unabhängig und es wird auch ein asynchrones serverübergreifendes Aktualisierungsprogramm für Bilder erstellt, sodass es die folgenden vier Ordner gibt.)

Öffnen Sie den Server-Manager, rufen Sie die lokale Benutzer- und Gruppenverwaltung auf, fügen Sie entsprechende Bindungsbenutzer für die oben genannten Websites hinzu, legen Sie jeweils superlange gemischte Passwörter fest und notieren Sie sie zur späteren Verwendung

Hinweis: Später erinnerten mich meine Kollegen daran, dass der IIS-Zugriff auf den Win2008-Server den Anwendungspoolnamen als einzurichtendes Konto verwenden kann (siehe: http://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html), ohne mehrere unabhängige Konten zu erstellen. Das Dokument wurde jedoch bereits geschrieben, sodass ich zu faul bin, es zu ändern. Ich verwende immer noch den Win2003-Einstellungsmodus, um das Konto hinzuzufügen.

Löschen Sie dann die Standardgruppe, zu der die erstellten Konten gehören, und fügen Sie die Gruppe „Gäste“ hinzu

Fernbedienung entfernen

Eingehende Anrufe auf Ablehnen setzen

Öffnen Sie IIS und löschen Sie die Standardsite

Klicken Sie mit der rechten Maustaste auf die Website und fügen Sie die Website hinzu

Erstellen Sie die entsprechende Site

Klicken Sie auf die Schaltfläche „Verbinden als“, legen Sie das Zugriffskonto fest, legen Sie die Pfadanmeldeinformationen auf „Bestimmter Benutzer“ fest und geben Sie dann den soeben erstellten Benutzernamen und das entsprechende Kennwort ein.

Einrichten der Authentifizierung

Klicken Sie auf Anwendungspool und weisen Sie die neu erstellte Website der entsprechenden Anwendungspool-.NET Framework-Version und dem verwalteten Pipeline-Modus zu

Die .NET Framework-Version ist auf .NET Framework v4.0.30319 eingestellt.
Der verwaltete Pipeline-Modus ist auf den klassischen Modus eingestellt

Legen Sie das Standarddokument der Website auf Index.aspx fest.

Festlegen von ISAPI- und CGI-Einschränkungen

Stellen Sie Active Server Pages so ein, dass sie nicht zugelassen werden, und ASP.NET v4.0.30319 so, dass sie zugelassen wird.

Gehen Sie zum Verzeichnis C:\Windows\Microsoft.NET\Framework64\v4.0.30319 und legen Sie die Zugriffsberechtigungen für den Ordner „Temporary ASP.NET Files“ fest.

Rechtsklick => Eigenschaften

Fügen Sie den Benutzer im roten Feld hinzu und legen Sie fest, dass er bearbeitet werden kann

Gehen Sie zum Verzeichnis C:\Windows\Microsoft.NET\Framework64\v2.0.50727 und machen Sie dasselbe für den Ordner Temporary ASP.NET Files.

Legen Sie dann die entsprechenden Ordnerzugriffsberechtigungen für die aktuell erstellte Website fest

Fügen Sie das soeben erstellte und in IIS eingebundene Konto, Authentifizierte Benutzer und NETWORK SERVICE-Konten hinzu

Berechtigungen auf Standardberechtigungen festlegen (Lesen und Ausführen, Ordnerinhalte auflisten, Lesen)

Übergeordnete Pfade aktivieren

Doppelklicken Sie auf ASP, um den Eigenschafteneditor zu öffnen, und ändern Sie Enable parent path (Übergeordneten Pfad aktivieren) auf True.

Datenbankvorgang anhängen, um SQL2008 zu öffnen

Anfügen einer Datenbank

Suchen des Datenbankspeicherorts

Löschen des ursprünglich gebundenen Benutzers in der Datenbank

Einen neuen Anmeldenamen erstellen

Geben Sie den Benutzernamen und das Passwort für den Datenbanklink in das entsprechende Textfeld „Neuer SQL-Anmeldename“ ein und legen Sie es wie unten gezeigt fest.

Klicken Sie dann auf „Benutzerzuordnung“, überprüfen Sie die Daten und legen Sie für die Datenbank die Berechtigungen der Rolle „db_owner“ fest. (Hinweis: Nachdem Sie auf „OK“ geklickt haben, überprüfen Sie am besten noch einmal die Eigenschaften des neu erstellten Benutzers und das Benutzerzuordnungselement und prüfen Sie, ob die Berechtigungen der Rolle „db_owner“ erfolgreich zugewiesen wurden. Häufig ist die Zuweisung nach der Erstellung nicht erfolgreich und muss manuell zurückgesetzt werden.)

Öffnen Sie das Website-Verzeichnis, suchen Sie die Datei Web.config, öffnen Sie sie im Editor und geben Sie den neu erstellten Datenbankbenutzernamen und das Kennwort ein

Führen Sie den ASP.NET State Service aus und richten Sie ihn so ein, dass er automatisch ausgeführt wird

Nachdem Sie mehrere andere Websites gemäß den oben genannten Schritten und Konfigurationen eingerichtet haben, können Sie den Browser öffnen und normal Fragen stellen.

Schreibrechte für beschreibbare Verzeichnisse setzen

Legen Sie für die beiden Konten im roten Feld die Bearbeitungsberechtigungen fest

Deaktivieren Sie die Ausführungsberechtigung des beschreibbaren Verzeichnisses (Sie können auch die Ausführungsberechtigung aller Verzeichnisse deaktivieren, die keine ASPX-Skripte ausführen müssen, wie z. B. CSS, JS usw.).

6.5. Konfigurieren Sie die serverübergreifende Synchronisierung, um Bildwebsites zu aktualisieren

leicht

6.6. Abschirmung der xplog70.dll-Sicherheitslücke

Gehen Sie zum installierten SQL-Verzeichnis und suchen Sie nach xplog70.dll. Löschen Sie anschließend die gefundene Datei (dieser Vorgang stoppt den SQL-Agent-Dienst. Wenn Sie also die Agent-Funktion verwenden, löschen Sie sie bitte nicht).

6.7. Festlegen der Netzwerkzugriffsrichtlinie

Geben Sie gpedit.msc in das Fenster „Ausführen“ ein und drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor zu öffnen. Wählen Sie Computerkonfiguration – Windows-Einstellungen – Sicherheitseinstellungen – Lokale Richtlinien – Sicherheitsoptionen und legen Sie Netzwerkzugriff fest: Freigaben, auf die anonym zugegriffen werden kann;
Netzwerkzugriff: Named Pipes mit anonymem Zugriff;
Netzwerkzugriff: Registrierungspfade, auf die aus der Ferne zugegriffen werden kann;
Netzwerkzugriff: Registrierungspfade und Unterpfade, auf die remote zugegriffen werden kann;
Löschen Sie die obigen vier Elemente

6.8. Festlegen der Richtlinie zur Zuweisung von Benutzerrechten

Geben Sie gpedit.msc in das Ausführen-Fenster ein und drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor zu öffnen. Wählen Sie Computerkonfiguration – Windows-Einstellungen – Sicherheitseinstellungen – Lokale Richtlinien – Zuweisen von Benutzerrechten und löschen Sie „Jeder“ in der Richtlinie „Auf diesen Computer vom Netzwerk aus zugreifen“.

Fügen Sie in der Richtlinie "Anmeldung über Remotedesktopdienste verweigern" die folgenden Benutzergruppen und Benutzer hinzu

Darüber hinaus muss beim Hinzufügen einer neuen Site auch der neu erstellte Benutzer hier hinzugefügt werden

6.9. Standardfreigabe deaktivieren

Öffnen Sie die Registrierung
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
Erstellen Sie einen neuen DOWRD-Wert, nennen Sie ihn „AutoShareServer“, „AutoShareWKs“ und setzen Sie den Wert auf „0“.

6.10. Deaktivieren unnötiger und gefährlicher Dienste

Öffnen Sie den Server-Manager, rufen Sie die „Dienste“-Verwaltung auf und deaktivieren Sie die folgenden Dienste (die gelb markierten Dienste sind im 2008-System möglicherweise nicht vorhanden)

6.11. Ändern der Überwachungsrichtlinie

6.12. Sicherheitseinstellungen der System-Firewall

Schalten Sie die System-Firewall ein (Systemsteuerung => System und Sicherheit => Windows-Firewall => Windows-Firewall ein- oder ausschalten). Achten Sie bei Remote-Arbeit darauf, dass Sie Ihre eigene Verbindung nicht deaktivieren.

Datei- und Druckerfreigabe deaktivieren

Hinweis: Zur Erhöhung der Sicherheit sollten Sie den Remotedesktop deaktivieren und ein sichereres Remote-Anmeldeprogramm eines Drittanbieters verwenden. Oder ändern Sie den Remote-Verbindungsport. Im Allgemeinen ist das Problem nicht groß, nachdem Sie die vorherigen Einstellungen vorgenommen haben, auch wenn der „Zombie“ übrig bleibt.
Um neue Firewall-Regeln hinzuzufügen, beachten Sie bitte die entsprechenden Vorgänge unter 6.13.

6.13. Remotedesktopfunktion aktivieren

Klicken Sie auf „Arbeitsplatz“ und öffnen Sie das Fenster „Systemeigenschaften“.

Ändern Sie den Remotedesktop-Link-Port. Klicken Sie auf das Startmenü und geben Sie regedit ein, um die Registrierung zu öffnen. Ändern Sie den PortNumber-Wert des Eintrags HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp von 3389 auf beispielsweise 12345, diese High-End-Ports.

Ändern Sie den PortNumber-Wert des Schlüssels HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp von 3389 auf 12345

Nach der Änderung des Remotedesktop-Ports werden die ursprünglichen Remotedesktop-Regeln der Firewall ungültig und Sie müssen die Regeln neu erstellen. Öffnen Sie die Windows-Firewall und klicken Sie auf „Erweiterte Einstellungen“.

Starten Sie den Computer nach der Einstellung neu und die Einstellung wird sofort wirksam.
Hinweis: Wenn Sie den Port remote ändern, müssen Sie gleichzeitig die McAfee-Firewall ändern und neue Portregeln hinzufügen, um zu vermeiden, dass die Remote-Anmeldung fehlschlägt.

6.14. Konfigurieren des McAfee-Zugriffsschutzes

Öffnen Sie die VirusScan-Konsole

Zugriffsschutz aktivieren

Open-Access-Schutzeigenschaften

Hinzufügen benutzerdefinierter Regeln

Auszuschließende Prozesse:

csc.exe, DTSWizard.exe, Explorer.EXE, FrameworkService.exe, HIPSvc.exe, McScript_InUse.exe, SqlWb.exe, Ssms.exe, vbc.exe, w3wp.exe

Auszuschließende Prozesse:

FrameworkService.exe, mmc.exe, svchost.exe

Aktivieren Sie Firewall-Blockierungsregeln

Fügen Sie die ausgeschlossenen Prozesse wie unten erforderlich den entsprechenden Regeln hinzu.

Um diese Regeln hinzuzufügen, müssen Sie regelmäßig das „Zugriffsschutzprotokoll“ überprüfen, um zu sehen, welche Programme ausgeführt werden dürfen, aber von der Firewall blockiert werden, und sie dem entsprechenden Ausschlussprozess hinzufügen (wenn Sie den spezifischen Vorgang nicht verstehen, können Sie bei Baidu nachsehen oder meinen nächsten Artikel „Handbuch zur Überprüfung der Serversicherheit – Anweisungen zur täglichen Wartung“ lesen, in dem die täglichen Wartungsinhalte des Servers aufgeführt sind).

6.15. Konfigurieren der McAfee Firewall

Geben Sie den Firewall-Ordner gemäß dem folgenden Pfad ein

Führen Sie McAfeeFire.exe aus, um die Firewall-Software zu öffnen

Klicken Sie zum Entsperren. Das Standardkennwort lautet abcde12345.

Nach dem Entsperren stellen Sie die entsprechenden Optionen der Firewall ein

Firewall-Funktion aktivieren - Wenn es sich um einen Remote-Desktop-Vorgang handelt, kann der Remote-Desktop unmittelbar nach diesem Schritt keine Verbindung herstellen. Sie müssen dies lokal auf dem Server einrichten, damit die Verbindung wieder hergestellt werden kann.

Nach der Aktivierung mit Remote-Desktop verbinden und Autorisierung erteilen

Nachdem Sie auf „Zulassen“ geklickt haben, können Sie sich über die Remotedesktopverbindung anmelden. Derselbe Vorgang wird für den autorisierten Zugriff auf andere Ports, Software oder Websites angewendet. Achten Sie bei der Erteilung der Autorisierung genau darauf, ob das von uns angeforderte Programm darauf zugreift. Wenn nicht oder wenn Sie sich nicht sicher sind, lehnen Sie es bitte ab. Wenn Sie feststellen, dass auf eine bestimmte Funktion der Website nicht zugegriffen werden kann oder nach der Ablehnung ein Problem auftritt, überprüfen und ändern Sie die Regeln hier, um die Sicherheit des Servers zu gewährleisten.

7. Überlegungen zur Bereitstellung

1. Vor der Aktualisierung muss es durch Personal der Selbsttest- und Testabteilung getestet werden.
2. Jede Änderung der Website-Konfiguration muss im Voraus gesichert werden, um ein Rollback zu ermöglichen;
3. Jede Änderung der serverseitigen Einstellungen muss übermittelt und aufgezeichnet werden, um eine schnelle Identifizierung von Problemen zu ermöglichen, wenn auf der Website Probleme auftreten;
4. Wenn Sie die relevanten Ports auf dem Server ändern, müssen Sie vorher die entsprechenden Ports in der Windows-Firewall und der McAfee-Firewall öffnen. Denken Sie nach dem Ändern der Ports und dem Neustart des Servers oder der Software daran, die ursprünglichen Ports zu schließen und gründlich zu testen, um eine Nichterreichbarkeit zu vermeiden. Insbesondere müssen Sie beim Ändern der Remotezugriffsports vorsichtig sein, da dies sonst zu einem Fehler bei der Remoteanmeldung führen kann.
5. Wenn eine bestimmte Funktion nicht ausgeführt werden kann oder ein Fehler auftritt, überprüfen Sie zunächst die Windows-Firewall, den McAfee-Zugriffsschutz und die Firewall, um festzustellen, ob sie durch die Zugriffsschutzregeln blockiert wird.
6. Die Benutzerverwaltung muss regelmäßig überprüft werden, um festzustellen, ob zusätzliche Benutzer vorhanden sind und ob sich die dem Benutzer zugehörigen Gruppen geändert haben. Überprüfen Sie Anwendungsprotokolle, Sicherheitsprotokolle, Systemprotokolle, IIS-Zugriffsprotokolle, von der Website-Hintergrundverwaltung aufgezeichnete Protokolle, im Website-Verzeichnis aufgezeichnete Betriebsprotokolle und Aufladeprotokolle, McAfee-Zugriffsschutzprotokolle usw. und erstellen Sie Sicherungen. Überprüfen Sie, ob die Windows-Firewall, der McAfee-Zugriffsschutz und die Firewall ausgeführt werden und ob sie versehentlich geschlossen und vergessen wurden, sie zu öffnen. Überprüfen Sie das Wachstum von SQL-bezogenen Protokollen und Datensätzen, überprüfen Sie den SQL-Sicherungsstatus, ob der Sicherungsspeicherplatz ausreichend ist usw. (Einzelheiten finden Sie in meinem nächsten Artikel „Handbuch zur Überprüfung der Serversicherheit – Anweisungen zur täglichen Wartung“)
7. Neben guten Serversicherheitskonfigurationen ist auch die Codesicherheit sehr wichtig. Alle übermittelten Daten müssen gefiltert werden, um SQL-Injection- und XSS-Angriffe zu verhindern. Der Client muss regelmäßig desinfiziert und auf Trojaner überprüft werden, und das Anmeldekennwort muss regelmäßig geändert werden, um die Systemsicherheit zu gewährleisten.

8. Fazit

Serversicherheit ist keine Kleinigkeit. Sie müssen bei allem vorsichtig sein, und wenn es ein Problem gibt, wird es ein großes Problem. Sie müssen daher beim tatsächlichen Betrieb sehr vorsichtig und umsichtig sein.

Als Server-Wartungspersonal müssen Sie, wenn Sie Zeit haben, neben der täglichen Wartungsarbeit auch verschiedene häufig verwendete Hacking-Tools erlernen und beherrschen, sich mit verschiedenen Angriffsmethoden vertraut machen und häufiger Websites wie Wuyun.com besuchen, um zu sehen, wie andere eindringen, um einen besseren Schutz zu bieten.

Aufgrund einiger Besonderheiten der Website des Unternehmens wurden die veröffentlichten Inhalte bearbeitet und einige spezielle Konfigurationen und Einstellungen wurden nicht veröffentlicht, haha ​​... Die Beschreibung des grundlegenden Sicherheitsschutzes ist jedoch fast vorhanden. Ich bin mir nicht sicher, ob es noch Sicherheitsprobleme gibt. Ich hoffe, dass erfahrene Freunde mir einen Rat geben können.

Wenn Sie meinen, dass dieser Artikel für Sie hilfreich ist, empfehlen Sie ihn bitte weiter.

Urheberrechtshinweis:

Dieser Artikel wurde von AllEmpty auf Blog Garden veröffentlicht. Das Urheberrecht an diesem Artikel liegt beim Autor und bei Blog Garden. Nachdrucke sind willkommen, diese Erklärung muss jedoch ohne Zustimmung des Autors beibehalten werden und der Originallink muss an prominenter Stelle auf der Artikelseite angegeben werden. Wenn Sie Fragen haben, können Sie mich unter 1654937#qq.com kontaktieren. Vielen Dank.

Der Zweck der Veröffentlichung dieses Inhalts besteht darin, gemeinsam mit allen zu lernen und Fortschritte zu machen. Interessierte Freunde können der QQ-Gruppe beitreten: 327360708 oder mir zur Diskussion eine E-Mail (1654937#qq.com) senden. Wenn Sie aufgrund meiner arbeitsreichen Zeit Fragen haben, hinterlassen Sie bitte zuerst eine Nachricht. Bitte verzeihen Sie mir die verspätete Antwort.