加固服务器防网络被挂马
网站被挂马是一种比较普遍的现象,追究原因,分为技术和管理两个方面。从技术方面来说,大多数的网站,尤其是学校的二级网站,都是一次性投入,找一个相关专业的学生,把网上的开源代码稍加修改,任务就算完成了。这样的网站,因为代码本身存在漏洞,就会给黑客制造机会。同时,学生在选择程序的时候,都会找一些安全性不够好的ASP。
众所周知,三分技术七分管理。管理是非常重要的。对于众多的被挂马的二级网站来说,网站上线后,很少有管理员主动地管理。从我们处理的一些网站来看,很多网站根本找不到管理员,或者是找了,管理员却直接关闭服务器。等过一段时间后在开启,问题依旧存在。
因此,要有效地防止网站被挂马,主要还是靠管理。当然,管理的基础是技术,没有好的技术人员做支持,再好的管理也是空谈。
在技术层面上,有两个方面,一方面是服务器本身的安全,另外一方面是网站程序的安全。
对于网站程序本身,可以进行代码审计。如果没有足够的人力和物力,就用黑客工具进行扫面,检查漏洞,降低程序本身的风险。
对于服务器本身,有两种情况,部分学校的二级网站是托管网络中心的,就不需要担心服务器安全的问题,只需踏踏实实地做好网站自身的管理。
对于服务器的安全加固,以Windows2003为例,分为两大个部分介绍:一是系统和软件的安全加固;二是加强系统软件日常管理。
系统安装
1)确保安装介质的来源可靠;
2)安装过程中断开网络,避免在安装过程中遭受网络攻击;
3)磁盘分区格式使用NTFS;
4)按照默认的选项安装,不安装无用的系统组件,如IIS、SMTP等;
5)安装完成后启用Windows防火墙;
6)安装杀毒软件,更新病毒库到最新日期;
7)补丁更新,启动Windows自动更新功能,并选择“自动下载更新,但是让我选择是否安装更新”选项;
8)设置域服务器的Internet时间服务器,进行时钟同步。
加固配置
对于安全加固配置,是很重要的一个环节。
1) 数据执行保护
“系统属性”→“高级”→“性能”→“设置”→“数据执行保护”,选择“只为关键Windows程序和服务启用数据执行保护”;
2) 关闭自动播放
应用于“所有驱动器”
a) 账户设置
i. 重命名默认的管理员帐号Administrator
ii. 禁用guest帐号
iii. 系统中不得存在共用帐号
iv. 新建的系统帐号第一次交给使用者时,必须设置为“用户下次登录时必须修改密码”
b) 禁用服务列表
c) 屏保设置
d) 组策略设置
i. 账户策略包括密码策略和账户锁定策略
ii. 本地策略包括审核策略和用户权限分配
*备份文件和目录:Administrators
*创建标记对象:No one
*创建页面文件:Administrators
*创建永久共享对象:No one
*从网络中访问这台计算机:No one
*从远端系统强制关机:No one
*调试程序:No one
*更改系统时间:Administrators
*关闭系统:Administrators
*管理审核和安全日志:Administrators
*还原文件和目录:Administrators
*内存中锁定页:No one
*配置单一进程:Administrators
*配置系统性能:No one
*取得文件或对象的所属权:Administrators
*替换进程级记号:No one
*跳过遍历检查(高级权力):No one
*修改固件环境值:Administrators
*以操作系统方式操作: No one
*域中添加工作站:No one
*在本地登录:Administrators
*增加计划优先级:No one
*装载和卸载设备驱动程序:Administrators
*作为服务登录(高级权力):No one
*作为批处理作业登录:No one
启用以下设置:
*交互式登录: 不显示上次的用户名
*网络访问: 不允许 SAM 帐户的匿名枚举
*“交互式登录: 试图登录的用户的消息标题“设置为“警告”
*“交互式登录: 试图登录的用户的消息文本”设置为:
本系统仅用于授权用户。任何未授权或者超出授权使用本系统的个人的活动,将会被本系统监控或者记录。本系统在监控或系统维护过程中,授权用户的活动也可能会受到监控。任何使用本系统的人都须要接受监控并被告知若监控中发现有任何可能的犯罪行为,系统人员可能向执法部门提供证据。
以上的安全加固操作,能大大提高系统的安全性。
对于网站的安全,还需加强管理,尤其是日志的查看等日常操作。只有通过不间断的管理,才能及时的发现存在的问题,才能提高服务器的安全。
安全没有绝对的,所有管理员需要不断地加固服务器。