win服务器安全设置方案

2024年1月23日发(作者：)

服务器安全设置方案

一. 防病毒设置

选用NOD32杀毒软件，首先ESET NOD32是误报最少的杀毒软件

在市场上琳琅满目的杀软中，ESET NOD32和诺顿是当今误报最少的两款产品了。为什么这样说呢？我们先看看国际独立权威机构VB100%的测试结果（截至2007年11月）：

杀软厂商

ESET NOD32

卡巴斯基

瑞星

金山

江民

赛门铁克

参测次数

49

54

0

2

0

46

通过次数

46

40

0

1

0

40

未通过次数

3

14

0

1

0

6

大家都知道，VB100%的测试是极其严格的：参测杀软必须100%检测出所有流行性病毒样本（ITW），不能有一起误报发生。有一起误报就算失败，并且没有后续补测通过的机会。

从上图可以看出，NOD32和诺顿VB100%测试通过率分别达到了94%和87%，是国内市场销售的杀软中误报最少的。卡巴斯基的通过率是74%，存在较多误报的情况，这和用户的体会是基本吻合的。国内的三大杀软品牌，只有金山分别在去年和今年参加过两次，瑞星和江民从未参加过VB100%的测试。在该项测试中，最值得一提的是NOD32，配合业界第一的启发式引擎，在保持极低资源占用的前提下，能达到如此之低的误报率，实属不易。

让我们再看看另一家权威测试机构AV-Comparatives的评测结果。以下是AV-Comparatives于2007年5月份进行的一项测试，测试中所有的杀软都使用3个月前的病毒库，以最近3个月出现的20522个新型病毒作为样本，以检查杀软的未知病毒检测能力：

杀毒软件

ESET NOD32

卡巴斯基

大蜘蛛

小红伞

Avast

诺顿

未知病毒检测率

68%

9%

30%

71%

26%

24%

误报数量

极少

极少

很多

很多

较少

无

扫描速度

快

一般

慢

快

一般

快

认证级别

Advanced +

Standard

Standard

Standard

Advanced

Advanced

在对未知病毒的测试中，ESET NOD32以68%的检测率和极低的误报率拔得头筹，获得参赛17款杀软中唯一的Advanced+（优+）级认证。小红伞虽然检测率略高于ESET NOD32，但因误报很多，最终屈居ESET NOD32之下，获得了Advance（优）级认证。卡巴斯基只检测到未知病毒中的9%，是款完全依靠病毒库的杀软，因此只获得了Standard（普通）认证。诺顿虽然对未知病毒检测率不是很高（24%），但没有误报，也说明了赛门铁克产品在误报率方面控制地相当出色。象往常一样，国产3大杀软从未参加过AV-Comparatives的测试。

综上所述，ESET NOD32和诺顿在误报率方面的表现都很出色，是注重数据安全、避免资料误删除造成损失

的企业用户的首选。对于个人用户来说，ESET NOD32更以优秀的ThreatSense启发式引擎，有效抵御半数以上的未知病毒，对于层出不穷、不断进化的恶性病毒来所，实属必备的利器。

今年杀软流行NOD32微软御用五年的世界防病毒顶尖之作NOD32

Eset NOD32为近年在全球迅速冒起的防毒软件，产品深受用户欢迎。NOD32 自面世以来， 在准确度及速度均打破多项世界纪录。其优秀轻巧的设计， 令NOD32 在新、旧、中英文版本之Windows 以至Linux 、Netware 等各平台均有出色的性能表现， 执行速度非常之高。很多用户转用NOD32 后， 均发觉计算机运作大为畅顺， 不会有一般越趋复杂的防毒软件， 安装后会拖慢计算机甚或影响日常工作的情形!

在准确度方面，NOD32 侦测能力无容置疑。NOD32 是防毒界权威机构Virus Bulletin VB100% 奬项的29 届得主，高据全球排行榜的第一。NOD32 在上市6 年以来从未测漏任何一只全球流通(ItW) 的计算机病毒，是世界唯一有此成绩的防毒软件。对于近期最新的病毒超过60种变种病毒, NOD32 均能实时全部栏截, 为用户提供最顶尖的保护!

在Virus Bulletin 100％测试的防毒软件唯有 NOD32 连续 6年 侦测高达100％，毫无遗漏．

根据全球权威病毒报告Virus Bulletin对市面上最普遍20种防毒软件的测试报告,NOD32的侦测病毒速度比其它对手快超过20到30倍,速度十分惊人!

个人的使用体会：

从99年起我就开始上网，中间使用过不少的杀毒软件，从诺顿，趋势，金山，瑞星，江民，卡巴等等„在04年时我安装了NOD32后到现在，我机器基本没中过什么病毒，我原先给一台公网的WIN2003服务器安装了NOD32，到目前为止服务器一直稳定运行，没有出现中过任何病毒（WEB服务器，经常有文件上传，这也是最容易让病毒进入服务器的地方），包括我原先的公司所以客户机没出现过中毒情况，而且他的特点是占用内存小，杀毒速度快，病毒库每天都有1-2次升级，个人感觉是当前最好的杀毒软件。使用前一定要先删除掉诺顿，不然NOD32和诺顿有冲突会造成开机不正常。

二.安全设置

1.360安全卫士

360安全卫士是由奇虎公司推出的完全免费的安全类上网辅助工具软件，它拥有查杀流行木马、清理恶评及系统插件，管理应用软件，卡巴斯基杀毒，系统实时保护，修复系统漏洞等数个强劲功能，同时还提供系统全面诊断，弹出插件免疫，清理使用痕迹以及系统还原等特定辅助功能，并且提供对系统的全面诊断报告，方便用户及时定位问题所在，真正为每一位用户提供全方位系统安全保护。

融合奇虎360ARP防火墙最新版v1.1，双向拦截ARP攻击，及时查杀本机ARP木马，有效解决局域网内频繁掉线问题

增强木马查杀引擎，及时解决首页劫持

免费体验90天强劲优化清理功能

文件粉碎机功能支持windows vista系统

网页防漏功能，浏览网站更安全

漏洞补丁集中分发，网管好帮手

他主要在在安全防护方面，比如前段时间熊猫病毒，当时360安全卫士及时发布了专杀工具，可以说这是一款不可缺少的安全防护软件，而且他支持系统漏洞扫描来及时更新系统的补丁。在新版中增加了arp病毒防护，前段时间arp病毒对各个企业造成了不可估量的影响，通过他可以有效的防护arp病毒。以前web服务器机房那边的网络状况非常不好，本机是没问题，可是机房内别人的服务器被黑客入侵后，一直在网络上发arp欺骗病毒，导致服务器不能正常连接网络。只能通过和机房那边的管理员联系才解决这个问题。在客户机方面，他可以有效防止恶意网页和流氓软件。安装后大开所以保护，并设置为自动升级。目前这

款软件还不支持win2003，所以补丁要让系统自动升级。

2.防火墙

3.系统组策略

通过系统组策略，我们可以限制一些系统命令，比如net命令，net user黑客一般都是使用这个命令来创建入侵账户，比如format格式化硬盘，at自动在一个时间内执行命令，del 删除命令,command,cmd,start等等，可以根据服务器实际情况进行设置。

4. 关闭不需要的服务，以下为建议选项

Computer Browser:维护网络计算机更新，禁用

# Distributed File System: 局域网管理共享文件，不需要禁用

# Distributed linktracking client：用于局域网更新连接信息，不需要禁用

# Error reporting service：禁止发送错误报告

# Microsoft Serch：提供快速的单词搜索，不需要可禁用

# NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

5.用户账号和密码

1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码，字母大小写＋数字＋符号。

3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。

4、在运行中输入回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用。

6、禁止C$、D$、ADMIN$一类的缺省共享

打开注册表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0

# 7.解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

8.限制ntfs权限

去掉其他用户的权限只留下Administrator，system，creator owner，web管理用户

9. 修改Windows Server 2003的远程桌面端口

打开”开始→运行”，输入”regedit”，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]，将PortNumber的值（默认是3389），修改成所希望的端口即可，例如5631。

进入以下路径：[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal

ServerWinStationsRDP-Tcp]，将PortNumber的值（默认是3389）修改成端口5631。

修改完毕，重新启动电脑，以后远程登录的时候使用端口5631就可以了。

_u安全设置

首先升级serv_u到目前最新的6.4版本.该版本已经解决以往版本中的提升权限的漏洞.

安装设置

1. 安装目录不要使用默认的路径,安装前记得备份和,设置LocalAdministrator的密码要复杂.

2. 创建一个用户,然后把他从user组里删除,在服务设置里以该用户来启动serv_u.

3. 设置serv_u安装目录的NTFS权限,只保留administrator和该用户.

4. 检测原来的FTP账户,看是否有可疑的账户,比如该账户有执行的权限.

11.修改tomcat运行账户

在里面设置tomcat的启动用户账号，该用户账号权限为最小，这样作是为了防止JSP木马，通过启动tomcat的system账户来入侵系统。

Tomcat是一个世界上广泛使用的支持JSP和servlets的Web服务器。它在JAVA运行时上能够很好地运行并支持Web应用部署。

运行Tomcat很简单；到Tomcat网站下载安装程序就可进行Tomcat的安装。没有人对Tomcat的危险性有透彻的了解。Tomcat Web应用程序的主要安全风险存在于以下方面：

Tomcat的JSP或JSP内调用的bean能够实施下列高风险性任务：

·运行一个Windows系统环境下的程序

·读取任意文件夹内任何文件的内容

·删除任意文件夹中的文件

·在任意文件夹内创建新文件

虽然Tomcat确实提供了很多的安全性，但是由于以下因素而显示了其漏洞：

1. 安装后，Tomcat作为一个系统服务运行

2. 如果没有将其作为系统服务运行，缺省地几乎所有Web服务器管理员都是将其以Administrator权限运行

这两种方式都允许Java运行时访问Windows系统下任意文件夹中的任何文件。缺省情况下，Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时，Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来，Java运行时就取得了所有文

件夹中所有文件的全部权限。并且Servlets(JSP在运行过程中要转换成Servlets)取得了同样的权限。所以Java代码可以调用Java SDK中的文件API列出文件夹中的全部文件，删除任何文件，最大的危险在于以系统权限运行一个程序。当任一Servlets含有如下代码：

Runtime rt = time();

("c:")

这就是最大的危险，并且很多人都未认识到这点。

确保Tomcat安全的途径

首先，新建一个帐户

1. 用"ITOMCAT_计算机名"建立一个普通用户

2. 为其设置一个密码

3. 保证"密码永不过期"(Password Never Expires)被选中

修改Tomcat安装文件夹的访问权限

1. 选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomcat安装文件夹。

2. 为"ITOMCAT_计算机名"用户赋予读、写、执行的访问权限。

3. 为"ITOMCAT_计算机名"用户赋予对WebApps文件夹的只读访问权限。

4. 如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。

当你需要Tomcat作为系统服务运行时，采取以下步骤：

1. 到"控制面板"，选择"管理工具"，然后选择"服务"。

2. 找到Tomcat：比如Apache 等等，打开其"属性"。

3. 选择其"登录"(Log)标签。

4. 选择"以...登录"(Log ON Using)选项。

5. 键入新建的"ITOMCAT_计算机名"用户作为用户名。

6. 输入密码。

7. 重启机器。

当你需要在一个DOS窗口下运行Tomcat时，采取以下步骤：

1. 在"开始"按钮的"运行"框中键入CMD以打开一个DOS窗口。

2. 键入"RunAs /user：ITOMCAT_计算机名 "命令。

3. 在询问"ITOMCAT_计算机名"用户的密码时输入设置的密码。

4. 这将打开一个新的DOS窗口。

5. 在新开的DOS窗口中，转换到Tomcat的bin文件夹内。

6. 键入"catalina run"命令。

7. 关闭第一个DOS窗口。

以"ITOMCAT_计算机名"用户在新的DOS窗口内运行只授予该用户相应的权限；当你在这个新的DOS

窗口中运行Tomcat时，它只取得了这个选定用户的权限。这样Tomcat就安全了。

设置

打开本地安全策略－IP安全策略，在里面创建新的IP策略，只允许WEB,SQL,ftp服务

10.防火墙设置

可以使用windows2003自带的防火墙，只运行WEB,SQL,ftp服务访问网络。

12. 输入法问题

删除智能ABC,智能ABC以前存在一个漏洞就是输入v+后移+delete+空格会引起程序崩溃,虽然这个错误已经得到修正,但是对程序还是有影响.

其它安全相关设置，仅供参考

1、隐藏重要文件/目录

可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为SynAttackProtect，值为2

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为IGMPLevel 值为0

七、配置Sql服务器

1、System Administrators 角色最好不要超过两个

2、如果是在本机最好将身份验证配置为Win登陆

3、不要使用Sa账户，为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为：

use master

sp_dropextendedproc '扩展存储过程名'

xp_cmdshell：是进入操作系统的最佳捷径，删除

访问注册表的存储过程，删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。