windows server2003是目前最爲成熟的網絡服務器平臺,安全性相對於windows 2000有大大的提高,但是2003默認的安全配置不一定適合我們的需要,所以,我們要根據實際情況來對win2003進行全面安全配置。說實話,安全配置是一項比較有難度的網絡技術,權限配置的太嚴格,好多程序又運行不起,權限配置的太鬆,又很容易被黑客入侵,做爲網絡管理員,真的很頭痛,因此,我結合這幾年的網絡安全管理經驗,總結出以下一些方法來提高我們服務器的安全性。
第一招:正確劃分文件系統格式,選擇穩定的操作系統安裝盤
爲了提高安全性,服務器的文件系統格式一定要劃分成NTFS(新技術文件系統)格式,它比FAT16、FAT32的安全性、空間利用率都大大的提高,我們可以通過它來配置文件的安全性,磁盤配額、EPS文件加密等。如果你已經分成FAT32的格式了,可以用CONVERT 盤符 /FS:NTFS /V 來把FAT32轉換成NTFS格式。正確安裝windows 2003 server,最好裝windows 2003的企業可升級版,可以直接網上升級,我們安裝時儘量只安裝我們必須要用的組件,安裝完後打上最新的補丁,到網上升級到最新版本!保證操作系統本身無漏洞。切忌一定要設置自動更新,微軟發佈的每個漏洞補丁都要打上去。這是最重要也是最基本的。
第二招:正確設置磁盤的安全性,具體如下(虛擬機的安全設置,我們以asp程序爲例子)
重點:
1、系統盤權限設置
C:分區部分:
c:/
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER 全部(只有子文件來及文件)
system 全部(該文件夾,子文件夾及文件)
IIS_WPG 創建文件/寫入數據(只有該文件夾)
IIS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運行文件
列出文件夾/讀取數據
讀取屬性
創建文件夾/附加數據
讀取權限
c:/Documents and Settings
administrators 全部(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
SYSTEM全部(該文件夾,子文件夾及文件)
C:/Program Files
administrators 全部(該文件夾,子文件夾及文件)
CREATOR OWNER全部(只有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運行
列出文件夾目錄
讀取
Power Users(該文件夾,子文件夾及文件)
修改權限
SYSTEM全部(該文件夾,子文件夾及文件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修改權限
2、網站及虛擬機權限設置(比如網站在E盤)
說明:我們假設網站全部在E盤wwwsite目錄下,並且爲每一個虛擬機創建了一個guest用戶,用戶名爲vhost1...vhostn並且創建了一個webuser組,把所有的vhost用戶全部加入這個webuser組裏面方便管理
E:/
Administrators全部(該文件夾,子文件夾及文件)
E:/wwwsite
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
service全部(該文件夾,子文件夾及文件)
E:/wwwsite/vhost1
Administrators全部(該文件夾,子文件夾及文件)
system全部(該文件夾,子文件夾及文件)
vhost1全部(該文件夾,子文件夾及文件)
3、數據備份盤
數據備份盤最好只指定一個特定的用戶對它有完全操作的權限
比如F盤爲數據備份盤,我們只指定一個管理員對它有完全操作的權限
4、其它地方的權限設置
請找到c盤的這些文件,把安全性設置只有特定的管理員有完全操作權限
下列這些文件只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:/inetpub目錄,刪除iis不必要的映射,建立陷阱帳號,更改描述
第三招:禁用不必要的服務,提高安全性和系統效率
Computer Browser 維護網絡上計算機的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Routing and Remote Access 在局域網以及廣域網環境中爲企業提供路由服務
Removable storage 管理可移動媒體、驅動程序和庫
Remote Registry Service 允許遠程註冊表操作
Print Spooler 將文件加載到內存中以便以後打印。要用打印機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全策略以及啓動ISAKMP/OakleyIKE)和IP安全驅動程序
Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發佈到訂閱COM組件
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向 Microsoft 報告異常應用程序
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Telnet 允許遠程用戶登錄到此計算機並運行程序
第四招:修改註冊表,讓系統更強壯
1、隱藏重要文件/目錄可以修改註冊表實現完全隱藏:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”,鼠標右擊 “CheckedValue”,選擇修改,把數值由1改爲0
2、啓動系統自帶的Internet連接_blank">防火牆,在設置服務選項中勾選Web服務器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名爲SynAttackProtect,值爲2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值,名爲PerformRouterDiscovery 值爲0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
將EnableICMPRedirects 值設爲0
6. 不支持IGMP協議
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名爲IGMPLevel 值爲0
7.修改終端服務端口
運行regedit,找到[HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / Wds / rdpwd / Tds / tcp],看到右邊的PortNumber了嗎?在十進制狀態下改成你想要的端口號吧,比如7126之類的,只要不與其它衝突即可。
2、第二處HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / WinStations / RDP-Tcp,方法同上,記得改的端口號和上面改的一樣就行了。
8、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進而入侵,還有net view,nbtstat這些都是基於空連接的,禁止空連接就好了。打開註冊表,找到Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 把這個值改成”1”即可。
9、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的操作系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
10. 刪除默認共享
有人問過我一開機就共享所有盤,改回來以後,重啓又變成了共享是怎麼回事,這是2K爲管理而設置的默認共享,必須通過修改註冊表的方式取消它:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters:AutoShareServer類型是REG_DWORD把值改爲0即可
11. 禁止建立空連接
默認情況下,任何用戶通過通過空連接連上服務器,進而枚舉出帳號,猜測密碼。我們可以通過修改註冊表來禁止建立空連接:
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網上鄰居-屬性-本地連接-屬性-Internet協議(TCP/IP)屬性-高級-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網卡MAC地址了。
2. 賬戶安全
首先禁止一切賬戶,除了你自己,呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶,不過是什麼權限都沒有的那種,然後打開記事本,一陣亂敲,複製,粘貼到“密碼”裏去,呵呵,來破密碼吧~!破完了才發現是個低級賬戶,看你崩潰不?
創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 創建一個一般權限帳號用來收信以及處理一些*常事物,另一個擁有Administrators 權限的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執行一些需要特權才能作的一些工作,以方便管理
3.更改C:/WINDOWS/Help/iisHelp/common/404b.htm內容改爲<META HTTP-EQUIV=REFRESH C>這樣,出錯了自動轉到首頁
4. 安全日誌
我遇到過這樣的情況,一臺主機被別人入侵了,系統管理員請我去追查兇手,我登錄進去一看:安全日誌是空的,倒,請記住:Win2000的默認安裝是不開任何安全審覈的!那麼請你到本地安全策略->審覈策略中打開相應的審覈,推薦的審覈是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審覈項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審覈項目太多不僅會佔用系統資源而且會導致你根本沒空去看,這樣就失去了審覈的意義
5. 運行防毒軟件
我見過的Win2000/Nt服務器從來沒有見到有安裝了防毒軟件的,其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟件+blackice_blank">防火牆
6.sqlserver數據庫服務器安全和serv-u ftp服務器安全配置,更改默認端口,和管理密碼
7.設置ip篩選、用blackice禁止木馬常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和組策略的設置,如果你在設置本地安全策略時設置錯了,可以這樣恢復成它的默認值.
打開 %SystemRoot%/Security文件夾,創建一個 "OldSecurity"子目錄,將%SystemRoot%/Security下所有的.log文件移到這個新建的子文件夾中.
在%SystemRoot%/Security/database/下找到"Secedit.sdb"安全數據庫並將其改名,如改爲"Secedit.old".
啓動"安全配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啓動管理控制檯,"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.
右擊"安全配置和分析"->"打開數據庫",瀏覽"C:/WINNT/security/Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".
如果系統提示"拒絕訪問數據庫",不管他.
你會發現在"C:/WINNT/security/Database"子文件夾中重新生成了新的安全數據庫,在"C:/WINNT/security"子文件夾下重新生成了log文件.安全數據庫重建成功.
WEB服務器最重要的設置:
IIS的相關設置:
刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關的連接數限制,帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對於php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對於數據庫,儘量採用mdb後綴,不需要更改爲asp,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日誌保存目錄,調整日誌記錄信息。設置爲發送文本錯誤信息。修改403錯誤頁面,將其轉向到其他頁,可防止一些掃描器的探測。另外爲隱藏系統信息,防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關軟件如banneredit修改。
對於用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數據庫備份和該站點的日誌。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的權限,圖片所在的目錄只給予列目錄的權限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因爲是虛擬主機平常對腳本安全沒辦法做到細緻入微的地步,更多的只能在方法用戶從腳本提升權限:
ASP的安全設置:
設置過權限和服務之後,防範asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:/WINNT/System32/wshom.ocx
del C:/WINNT/System32/wshom.ocx
regsvr32/u C:/WINNT/system32/shell32.dll
del C:/WINNT/system32/shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法:可取消以上文件的users用戶的權限,重新啓動IIS即可生效。但不推薦該方法。
另外,對於FSO由於用戶程序需要使用,服務器上可以不註銷掉該組件,這裏只提一下FSO的防範,但並不需要在自動開通空間的虛擬商服務器上使用,只適合於手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組,對於需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行權限,不需要的不給權限。重新啓動服務器即可生效。
對於這樣的設置結合上面的權限設置,你會發現海陽木馬已經在這裏失去了作用!
PHP的安全設置:
默認安裝的php需要有以下幾個注意的問題:
C:/winnt/php.ini只給予users讀權限即可。在php.ini裏需要做如下設置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認設置com.allow_dcom = true修改爲false[修改前要取消掉前面的;]
MySQL安全設置:
如果服務器上啓用MySQL數據庫,MySQL數據庫需要注意的安全設置爲:
刪除mysql中的所有默認用戶,只保留本地root帳戶,爲root用戶加上一個複雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候,並限定到特定的數據庫,尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表,取消不必要用戶的shutdown_priv,relo
ad_priv,process_priv和File_priv權限,這些權限可能泄漏更多的服務器信息包括非mysql的其它信息出去。可以爲mysql設置一個啓動用戶,該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對於mysql安裝目錄給users加上讀取、列目錄和執行權限。
Serv-u安全問題:
安裝程序儘量採用最新版本,避免採用默認安裝目錄,設置好serv-u目錄所在的權限,設置一個複雜的管理員密碼。修改serv-u的banner信息,設置被動模式端口範圍(4001—4003)在本地服務器中設置中做好相關安全設置:包括檢查匿名密碼,禁用反超時調度,攔截“FTP bounce”攻擊和FXP,對於在30秒內連接超過3次的用戶攔截10分鐘。域中的設置爲:要求複雜密碼,目錄只使用小寫字母,高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啓動用戶:在系統中新建一個用戶,設置一個複雜點的密碼,不屬於任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄,需要給予這個用戶該目錄完全控制權限,因爲所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的權限,否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限,否則會在連接的時候出現530 Not logged in, home directory does not exist.比如在測試的時候ftp根目錄爲d:soft,必須給d盤該用戶的讀取權限,爲了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啓動就沒有這些問題,因爲system一般都擁有這些權限的。
數據庫服務器的安全設置
對於專用的MSSQL數據庫服務器,按照上文所講的設置TCP/IP篩選和IP策略,對外只開放1433和5631端口。對於MSSQL首先需要爲sa設置一個強壯的密碼,使用混合身份驗證,加強數據庫日誌的記錄,審覈數據庫登陸事件的“成功和失敗”。刪除一些不需要的和危險的OLE自動存儲過程(會造成企業管理器中部分功能不能使用),這些過程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的註冊表訪問過程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系統存儲過程,如果認爲還有威脅,當然要小心Drop這些過程,可以在測試機器上測試,保證正常的系統能完成工作,這些過程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫,因爲對他們guest帳戶是必需的。另外注意設置好各個數據庫用戶的權限,對於這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協議加密的,千萬不要這麼做,否則你只能重裝MSSQL了。
入侵檢測和數據備份
入侵檢測工作
作爲服務器的日常管理,入侵檢測是一項非常重要的工作,在平常的檢測過程中,主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查,也就是分爲在入侵進行時的安全檢查和在入侵前後的安全檢查。系統的安全性遵循木桶原理,木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那麼這個木桶的最大容量不取決於長的木板,而取決於最短的那塊木板。應用到安全方面也就是說系統的安全性取決於系統中最脆弱的地方,這些地方是日常的安全檢測的重點所在。
日常的安全檢測
日常安全檢測主要針對系統的安全性,工作主要按照以下步驟進行:
1.查看服務器狀態:
打開進程管理器,查看服務器性能,觀察CPU和內存使用狀況。查看是否有CPU和內存佔用過高等異常情況。
2.檢查當前進程情況
切換“任務管理器”到進程,查找有無可疑的應用程序或後臺進程在運行。用進程管理器查看進程時裏面會有一項taskmgr,這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對於拿不準的進程或者說不知道是服務器上哪個應用程序開啓的進程,可以在網絡上搜索一下該進程名加以確定[進程知識庫:http://www.lan27.com通常的後門如果有進程的話,一般會取一個與系統進程類似的名稱,如svch0st.exe,此時要仔細辨別[通常迷惑手段是變字母o爲數字0,變字母l爲數字1]
3.檢查系統帳號
打開計算機管理,展開本地用戶和組選項,查看組選項,查看administrators組是否添加有新帳號,檢查是否有克隆帳號。
4.查看當前端口開放情況
使用activeport,查看當前的端口連接情況,尤其是注意與外部連接着的端口情況,看是否有未經允許的端口與外界在通信。如有,立即關閉該端口並記錄下該端口對應的程序並記錄,將該程序轉移到其他目錄下存放以便後來分析。打開計算機管理==》軟件環境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程],查看當前運行的程序,如果有不明程序,記錄下該程序的位置,打開任務管理器結束該進程,對於採用了守護進程的後門等程序可嘗試結束進程樹,如仍然無法結束,在註冊表中搜索該程序名,刪除掉相關鍵值,切換到安全模式下刪除掉相關的程序文件。
5.檢查系統服務
運行services.msc,檢查處於已啓動狀態的服務,查看是否有新加的未知服務並確定服務的用途。對於不清楚的服務打開該服務的屬性,查看該服務所對應的可執行文件是什麼,如果確定該文件是系統內的正常使用的文件,可粗略放過。查看是否有其他正常開放服務依存在該服務上,如果有,可以粗略的放過。如果無法確定該執行文件是否是系統內正常文件並且沒有其他正常開放服務依存在該服務上,可暫時停止掉該服務,然後測試下各種應用是否正常。對於一些後門由於採用了hook系統API技術,添加的服務項目在服務管理器中是無法看到的,這時需要打開註冊表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找,通過查看各服務的名稱、對應的執行文件來確定是否是後門、木馬程序等。
6.查看相關日誌
運行eventvwr.msc,粗略檢查系統中的相關日誌記錄。在查看時在對應的日誌記錄上點右鍵選“屬性”,在“篩選器”中設置一個日誌篩選器,只選擇錯誤、警告,查看日誌的來源和具體描述信息。對於出現的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題,如果無解決辦法則記錄下該問題,詳細記錄下事件來源、ID號和具體描述信息,以便找到問題解決的辦法。
7.檢查系統文件
主要檢查系統盤的exe和dll文件,建議系統安裝完畢之後用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來,然後每次檢查的時候再用該命令生成一份當時的列表,用fc比較兩個文件,同樣如此針對dll文件做相關檢查。需要注意的是打補丁或者安裝軟件後重新生成一次原始列表。檢查相關係統文件是否被替換或系統中是否被安裝了木馬後門等惡意程序。必要時可運行一次殺毒程序對系統盤進行一次掃描處理。
8.檢查安全策略是否更改
打開本地連接的屬性,查看“常規”中是否只勾選了“TCP/IP協議”,打開“TCP/IP”協議設置,點“高級”==》“選項”,查看“IP安全機制”是否是設定的IP策略,查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”,查看目前使用的IP安全策略是否發生更改。
9.檢查目錄權限
重點查看系統目錄和重要的應用程序權限是否被更改。需要查看的目錄有c:;c:winnt;
C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and
Settings;然後再檢查serv-u安裝目錄,查看這些目錄的權限是否做過變動。檢查system32下的一些重要文件是否更改過權限,包括:cmd,net,ftp,tftp,cacls等文件。
10.檢查啓動項
主要檢查當前的開機自啓動程序。可以使用AReporter來檢查開機自啓動的程序。
發現入侵時的應對措施
對於即時發現的入侵事件,以下情況針對系統已遭受到破壞情況下的處理,系統未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍後再酌情考慮以下措施。系統遭受到破壞後應立即採取以下措施:
視情況嚴重決定處理的方式,是通過遠程處理還是通過實地處理。如情況嚴重建議採用實地處理。如採用實地處理,在發現入侵的第一時間通知機房關閉服務器,待處理人員趕到機房時斷開網線,再進入系統進行檢查。如採用遠程處理,如情況嚴重第一時間停止所有應用服務,更改IP策略爲只允許遠程管理端口進行連接然後重新啓動服務器,重新啓動之後再遠程連接上去進行處理,重啓前先用AReporter檢查開機自啓動的程序。然後再進行安全檢查。
以下處理措施針對用戶站點被入侵但未危及系統的情況,如果用戶要求加強自己站點的安全性,可按如下方式加固用戶站點的安全:
站點根目錄——只給administrator讀取權限,權限繼承下去。
wwwroot ——給web用戶讀取、寫入權限。高級裏面有刪除子文件夾和文件權限
logfiles——給system寫入權限。
database——給web用戶讀取、寫入權限。高級裏面沒有刪除子文件夾和文件權限
如需要進一步修改,可針對用戶站點的特性對於普通文件存放目錄如html、js、圖片文件夾只給讀取權限,對asp等腳本文件給予上表中的權限。另外查看該用戶站點對應的安全日誌,找出漏洞原因,協助用戶修補程序漏洞。
數據備份和數據恢復
數據備份工作大致如下:
1. 每月備份一次系統數據。
2. 備份系統後的兩週單獨備份一次應用程序數據,主要包括IIS、serv-u、數據庫等數據。
3. 確保備份數據的安全,並分類放置這些數據備份。因基本上採用的都是全備份方法,對於數據的保留週期可以只保留該次備份和上次備份數據兩份即可。
數據恢復工作:
1.系統崩潰或遇到其他不可恢復系統正常狀態情況時,先對上次系統備份後發生的一些更改事件如應用程序、安全策略等的設置做好備份,恢復完系統後再恢復這些更改。
2.應用程序等出錯採用最近一次的備份數據恢複相關內容。
服務器性能優化
1 服務器性能優化
系統性能優化
整理系統空間:
刪除系統備份文件,刪除驅動備份,刪除不用的輸入法,刪除系統的幫助文件,卸載不常用的組件。最小化C盤文件。
性能優化:
刪除多餘的開機自動運行程序;減少預讀取,減少進度條等待時間;讓系統自動關閉停止響應的程序;禁用錯誤報告,但在發生嚴重錯誤時通知;關閉自動更新,改爲手動更新計算機;啓用硬件和DirectX加速;禁用關機事件跟蹤;禁用配置服務器嚮導; 減少開機磁盤掃描等待時間;將處理器計劃和內存使用都調到應用程序上;調整虛擬內存;內存優化;修改cpu的二級緩存;修改磁盤緩存。
IIS性能優化
1、調整IIS高速緩存
HKEY_LOCAL_MACHINE/ System/CurrentControlSet/Services/InetInfoParametersMemoryCacheSize
MemoryCacheSize的範圍是從0道4GB,缺省值爲3072000(3MB)。一般來說此值最小應設爲服務器內存的10%.IIS通過高速緩存系統句柄、目錄列表以及其他常用數據的值來提高系統的性能。這個參數指明瞭分配給高速緩存的內存大小。如果該值爲0,那就意味着“不進行任何高速緩存”。在這種情況下系統的性能可能會降低。如果你的服務器網絡通訊繁忙,並且有足夠的內存空間,可以考慮增大該值。必須注意的是修改註冊表後,需要重新啓動才能使新值生效。
2.不要關閉系統服務: “Protected Storage”
3.對訪問流量進行限制
A.對站點訪問人數進行限制
B.站點帶寬限制。保持HTTP連接。
C.進程限制, 輸入CPU的耗用百分比
4.提高IIS的處理效率
應用程序設置“處的”應用程序保護“下拉按鈕,從彈出的下拉列表中,選中”低(IIS進程)“選項,IIS服務器處理程序的效率可以提高20%左右。但此設置會帶來嚴重的安全問題,不值得推薦。
5.將IIS服務器設置爲獨立的服務器
A.提高硬件配置來優化IIS性能硬盤:硬盤空間被NT和IIS服務以如下兩種方式使用:一種是簡單地存儲數據;另一種是作爲虛擬內存使用。如果使用Ultra2的SCSI硬盤,可以顯著提高IIS的性能。
B.可以把NT服務器的頁交換文件分佈到多個物理磁盤上,注意是多個“物理磁盤”,分佈在多個分區上是無效的。另外,不要將頁交換文件放在與WIndows NT引導區相同的分區中。
C.使用磁盤鏡像或磁盤帶區集可以提高磁盤的讀取性能。
D.最好把所有的數據都儲存在一個單獨的分區裏。然後定期運行磁盤碎片整理程序以保證在存儲Web服務器數據的分區中沒有碎片。使用NTFS有助於減少碎片。推薦使用Norton的Speeddisk,可以很快的整理NTFS分區。
6.起用HTTP壓縮
HTTP壓縮是在Web服務器和瀏覽器間傳輸壓縮文本內容的方法。HTTP壓縮採用通用的壓縮算法如gzip等壓縮HTML、JavaScript或CSS文件。可使用pipeboost進行設置。
7.起用資源回收
使用IIS5Recycle定時回收進程資源。
服務器常見故障排除
1. ASP“請求的資源正在使用中”的解決辦法:
該問題一般與殺毒軟件有關,在服務器上安裝個人版殺毒軟件所致。出現這種錯誤可以通過卸載殺毒軟件解決,也可嘗試重新註冊vbscript.dll和jscript.dll來解決,在命令行下運行:regsvr32 vbscript.dll 和regsvr32 jscript.dll即可。
2.ASP500錯誤解決辦法:
首先確定該問題是否是單一站點存在還是所有站點存在,如果是單一站點存在該問題,則是網站程序的問題,可打開該站點的錯誤提示,把IE的“顯示友好HTTP錯誤”信息取消,查看具體錯誤信息,然後對應修改相關程序。如是所有站點存在該問題,並且HTML頁面沒有出現該問題,相關日誌出現“服務器無法加載應用程序‘/LM/W3SVC/1/ROOT’。錯誤是 ‘不支持此接口’”。那十有八九是服務器系統中的ASP相關組件出現了問題,重新啓動IIS服務,嘗試是否可以解決該問題,無法解決重新啓動系統嘗試是否可解決該問題,如無法解決可重新修復一下ASP組件:
首先刪除com組件中的關於IIS的三個東西,需要先將屬性裏的高級中“禁止刪除”的勾選取消。
命令行中,輸入“cd winnt/system32/inetsrv”字符串命令,單擊回車鍵後,再執行“rundll32 wamreg.dll,CreateIISPackage”命令,接着再依次執行“regsvr32 asptxn.dll”命令、“iisreset”命令,最後重新啓動一下計算機操作系統,這樣IIS服務器就能重新正確響應ASP腳本頁面了。
3. IIS出現105錯誤:
在系統日誌中“服務器無法註冊管理工具發現信息。管理工具可能無法看到此服務器” 來源:w3svc ID:105解決辦法:
在網絡連接中重新安裝netbios協議即可,安裝完成之後取消掉勾選。
4.MySQL服務無法啓動「錯誤代碼1067」的解決方法
啓動MySQL服務時都會在中途報錯!內容爲:在 本地計算機 無法啓動MySQL服務 錯誤1067:進程意外中止。
解決方法:查找Windows目錄下的my.ini文件,編輯內容(如果沒有該文件,則新建一個),至少包含
basedir,datadir這兩個基本的配置。
[mysqld]
# set basedir to installation path, e.g., c:/mysql
#
設置爲MYSQL的安裝目錄
basedir=D:/www/WebServer/MySQL
# set datadir to location of data directory,
# e.g., c:/mysql/data or d:/mydata/data
# 設置爲MYSQL的數據目錄
datadir=D:/www/WebServer/MySQL/data
注意,我在更改系統的temp目錄之後沒有對更改後的目錄給予system用戶的權限也出現過該問題。
5.DllHotst進程消耗cpu 100%的問題
服務器正常CPU消耗應該在75%以下,而且CPU消耗應該是上下起伏的,出現這種問題的服務器,CPU會突然一直處100%的水平,而且不會下降。
查看任務管理器,可以發現是DLLHOST.EXE消耗了所有的CPU空閒時間,管理員在這種情況下,只好重新啓動IIS服務,奇怪的是,重新啓動IIS服務後一切正常,但可能過了一段時間後,問題又再次出現了。
直接原因:
有一個或多個ACCESS數據庫在多次讀寫過程中損壞, MDAC系統在寫入這個損壞的ACCESS文件時,ASP線程處於BLOCK狀態,結果其他線程只能等待,IIS被死鎖了,全部的CPU時間都消耗在DLLHOST中。
解決辦法:
把數據庫下載到本地,然後用ACCESS打開,進行修復操作。再上傳到網站。如果還不行,只有新建一個ACCESS數據庫,再從原來的數據庫中導入所有表和記錄。然後把新數據庫上傳到服務器上。
6.Windows installer出錯:
在安裝軟件的時候出現“不能訪問windows installer 服務。可能你在安全模式下運行 windows ,或者windows installer 沒有正確的安裝。請和你的支持人員聯繫以獲得幫助” 如果試圖重新安裝InstMsiW.exe,提示:“指定的服務已存在”。
解決辦法:
關於installer的錯誤,可能還有其他錯誤提示,可嘗試以下解決辦法:
首先確認是否是權限方面的問題,提示信息會提供相關信息,如果是權限問題,給予winnt目錄everyone權限即可[安裝完把權限改回來即可].如果提示的是上述信息,可以嘗試以下解決方法:運行“msiexec /unregserver”卸載Windows Installer服務,如果無法卸載可使用SRVINSTW進行卸載,然後下載windows installer的安裝程序,用winrar解壓該文件,在解壓縮出來的文件夾裏面找到msi.inf文件,右鍵單擊選擇“安裝”,重新啓動系統後運行“msiexec /regserver”重新註冊Windows Installer服務。
服務器管理
服務器日常管理安排
服務器管理工作必須規範嚴謹,尤其在不是隻有一位管理員的時候,日常管理工作包括:
1.服務器的定時重啓。每臺服務器保證每週重新啓動一次。重新啓動之後要進行復查,確認服務器已經啓動了,確認服務器上的各項服務均恢復正常。對於沒有啓動起來或服務未能及時恢復的情況要採取相應措施。前者可請求託管商的相關工作人員幫忙手工重新啓動,必要時可要求讓連接上顯示器確認是否已啓動起來;後者需要遠程登陸上服務器進行原因查找並根據原因嘗試恢復服務。
2.服務器的安全、性能檢查,每服務器至少保證每週登陸兩次粗略檢查兩次。每次檢查的結果要求進行登記在冊。如需要使用一些工具進行檢查,可直接在e:tools中查找到相關工具。對於臨時需要從網絡上找的工具,首先將IE的安全級別調整到高,然後在網絡上進行查找,不要去任何不明站點下載,儘量選擇如華軍、天空等大型網站進行下載,下載後確保當前殺毒軟件已升級到最新版本,升級完畢後對下載的軟件進行一次殺毒,確認正常後方能使用。對於下載的新工具對以後維護需要使用的話,將該工具保存到e:tools下,並在該目錄中的readme.txt文件中做好相應記錄,記錄該工具的名稱,功能,使用方法。並且在該文件夾中的rar文件夾中保留一份該工具的winrar壓縮文件備份,設置解壓密碼。
3.服務器的數據備份工作,每服務器至少保證每月備份一次系統數據,系統備份採用ghost方式,對於ghost文件固定存放在e:ghost文件目錄下,文件名以備份的日期命名,如0824.gho,每服務器至少保證每兩週備份一次應用程序數據,每服務器至少保證每月備份一次用戶數據,備份的數據固定存放在e:databak文件夾,針對各種數據再建立對應的子文件夾,如serv-u用戶數據放在該文件夾下的servu文件夾下,iis站點數據存放在該文件夾下的iis文件夾下。
4.服務器的監控工作,每天正常工作期間必須保證監視所有服務器狀態,一旦發現服務停止要及時採取相應措施。對於發現服務停止,首先檢查該服務器上同類型的服務是否中斷,如所有同類型的服務都已中斷及時登陸服務器查看相關原因並針對該原因嘗試重新開啓對應服務。
5.服務器的相關日誌操作,每服務器保證每月對相關日誌進行一次清理,清理前對應的各項日誌如應用程序日誌、安全日誌、系統日誌等都應選擇“保存日誌”。所有的日誌文件統一保存在e:logs下,應用程序日誌保存在e:logsapp中,系統程序日誌保存在e:logssys中,安全日誌保存在e:logssec中。對於另外其他一些應用程序的日誌,也按照這個方式進行處理,如ftp的日誌保存在e:logsftp中。所有的備份日誌文件都以備份的日期命名,如20050824.evt.對於不是單文件形式的日誌,在對應的記錄位置下建立一個以日期命名的文件夾,將這些文件存放在該文件夾中。
6.服務器的補丁修補、應用程序更新工作,對於新出的漏洞補丁,應用程序方面的安全更新一定要在發現的第一時間給每服務器打上應用程序的補丁。
7.服務器的隱患檢查工作,主要包括安全隱患、性能等方面。每服務器必須保證每月重點的單獨檢查一次。每次的檢查結果必須做好記錄。
8.不定時的相關工作,每服務器由於應用軟件更改或其他某原因需要安裝新的應用程序或卸載應用程序等操作必須知會所有管理員。
9.定期的管理密碼更改工作,每服務器保證至少每兩個月更改一次密碼,對於SQL服務器由於如果SQL採用混合驗證更改系統管理員密碼會影響數據庫的使用則不予修改。
相關建議:對每服務器設立一個服務器管理記載,管理員每次登陸系統都應該在此中進行詳細的記錄,共需要記錄以下幾項:登入時間,退出時間,登入時服務器狀態[包含不明進程記錄,端口連接狀態,系統帳號狀態,內存/CPU狀態],詳細操作情況記錄[詳細記錄下管理員登陸系統後的每一步操作].無論是遠程登陸操作還是物理接觸操作都要進行記錄,然後將這些記錄按照各服務器歸檔,按時間順序整理好文檔。
對於數據備份、服務器定時重啓等操作建議將服務器分組,例如分成四組,每月的週六晚備份一組服務器的數據,每週的某一天定時去重啓一組的服務器,這樣對於工作的開展比較方便,這些屬於固定性的工作。另外有些工作可以同步進行,如每月一次的數據備份、安全檢查和管理員密碼修改工作,先進行數據備份,然後進行安全檢查,再修改密碼。對於需要的即時操作如服務器補丁程序的安裝、服務器不定時的故障維護等工作,這些屬於即時性的工作,但是原則上即時性的工作不能影響固定工作的安排。
管理員日常注意事項
在服務器管理過程中,管理員需要注意以下事項:
1.對自己的每一次操作應做好詳細記錄,具體見上述建議,以便於後來檢查。
2.努力提高自身水平,加強學習。
本文轉摘自『藍派網』http://www.lan27.com/Article/200806/7463_2.htm