服務(wù)器安全—基本安全策略的部署宗旨：

最小權(quán)限+最少應(yīng)用+最細的設(shè)置+日常的檢查=最大的安全；

最少權(quán)限是指各種服務(wù)與應(yīng)用程序運行在最小的權(quán)限范圍；

最少應(yīng)用是指服務(wù)器僅安裝必需的應(yīng)用軟件與程序；

最細的設(shè)置是指在應(yīng)用安全策略時必需得周全、細心；

日常檢查是指服務(wù)器 的日常檢查、系統(tǒng)優(yōu)化、垃圾臨時文件清理、Log數(shù)據(jù)的分析等常規(guī)維護工作。

服務(wù)器安全—操作系統(tǒng)本身安全：

是否將所有系統(tǒng)補丁都完全更新到最新？如果不是特別原因您可以將補丁的更新設(shè)置為自動進行；

是否對Win系統(tǒng)本身存在的一些己知或者未知的漏洞與隱患進行了修正或者彌補？例如：采用ACLs控制系統(tǒng)的關(guān)鍵命令與關(guān)鍵服務(wù)、降底某些服務(wù)器的服務(wù)或應(yīng)用程序的默認運行權(quán)限、防范程序Overflow溢出攻擊、提權(quán)等。

服務(wù)器安全—密碼/口令安全：

所有系統(tǒng)口令、以及各種應(yīng)用程序與服務(wù)、 Web、數(shù)據(jù)庫等口令是否全是強悍的口令？在這里本人建議大家在使用口令時盡量的用到轉(zhuǎn)義字符，因為轉(zhuǎn)義字符存在破解與直接讀取較難的特點?；蛘呃眉用茏执蛔骺诹?。例如:“Leebolin$)^_^1688!@#”這樣的口令。

服務(wù)器安全—WEB服務(wù)器安全：

包括

1、IIS自身的安全，以及用戶在設(shè)置時的安全極別的高底、以及虛擬主機的安全、網(wǎng)頁目錄讀寫權(quán)限Acls、腳本權(quán)限使用是否適當(dāng)?shù)鹊取?/p>

2、擴展腳本或三訪Web服務(wù)器的安全，如加強PHP的安全設(shè)置，加強Apache、TomCat、Resin等的安全)。

3、如有必要請啟動WEB服務(wù)的SSL連接，以加強安全性。

服務(wù)器安全—TCP/IP協(xié)議相關(guān)：

1、TCP/UDP端口安全；

2、ACLs訪問控制列表；

3、防火墻安全策略；

4、NetBIOS,IPX,ICMP,IGMP等協(xié)議安全。

詳細情況情可以去查看一下相關(guān)文章與教程，以保證TCP/IP協(xié)議應(yīng)用的相關(guān)安全性。例如：禁用ICMP、改注冊表加強系統(tǒng)對SYN攻擊、ICMP、IGMP等攻擊的抗衡能力，及采用IPSec或者Firewall、Tcp/IP Filter封端常見木馬端口與不安全協(xié)議等。

服務(wù)器安全—數(shù)據(jù)庫的安全：

1、如果采用SQL Server數(shù)據(jù)庫，請確保SQL的安全：

刪除危險的擴展存儲過程xp_cmdshell、 Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、 xp_regread、Xp_regwrite、Xp_regremovemultistring之類或降SQL SERVER不要以system權(quán)限運行；如果采用MySQL請如實做相關(guān)的安全。

2、數(shù)據(jù)庫服務(wù)器請用最新版本軟件，如用SQL 2000請必需打上Sp4。

3、如數(shù)據(jù)庫服務(wù)器不需要外部連接，請最好不要開放TCP1433/TCP3306、UDP1434等等。如無數(shù)據(jù)庫服務(wù)器則略過此項。

服務(wù)器安全—郵件服務(wù)器安全：

1、郵件服務(wù)器不管您選擇那一款軟件，建議都用新版…因為舊版的漏洞太多；諸如像Imail以前的N個溢出與三地提升權(quán)限的漏洞而引起的攻擊。

2、郵件服務(wù)器做好反垃圾處理，以及做好服務(wù)器的優(yōu)化。詳細細節(jié)情況請參相關(guān)資料，這里不再詳述)如無郵件服務(wù)器則略過此項。

服務(wù)器安全—FTP服務(wù)器的安全：

1、 FTP服務(wù)器當(dāng)然是一般WEB服務(wù)器所需必的了，就Win下常見的較多有Microsoft的IIS FTP以及Serv-U。

2、如用Serv-U或其它三方FTP服務(wù)器軟件，請確保新版本，并加固安全設(shè)置。如：詳細的控制各用戶的上傳下載權(quán)限、更換默認的FTP連接端口、以及采用SSL加密碼連接方式，對FTP的連接數(shù)進行適當(dāng)限制防攻擊與暴破等等。

3、如用Win自帶的FTP，請將FTP所用的 User加上強狀的口令，并配合NTFS的ACLs對FTP站點目錄進行嚴格控制。如無FTP服務(wù)器則略過此項

服務(wù)器安全—其它三方安全：

1、盡量少在服務(wù)器上安裝不必要的一些三方軟件。

2、確保服務(wù)器上的所有三方軟件的安全，及時更新并升級

3、確保經(jīng)常遠程連接服務(wù)器的個人電腦的安全。

4、確保機房的網(wǎng)絡(luò)運行環(huán)境的安全。

5、如非必要一定不要在服務(wù)器上開網(wǎng)頁，上QQ之類；最好是封避服務(wù)器的對外連接。

6、盡量不要在服務(wù)器上運行不明的程序、服務(wù)器不是測試機。

7、如果您對服務(wù)器的安全沒底的話，還是最好安裝個不錯的防毒系統(tǒng)并及時更新病毒庫；以及加上防火墻并設(shè)置好安全規(guī)則。

服務(wù)器安全—安全數(shù)據(jù)備份與安全制度：

建立起良好的服務(wù)器數(shù)據(jù)備份機制，確保發(fā)生不測時能第一時間進行災(zāi)難恢復(fù)。以及建立起良好的服務(wù)器日常安全維護與安全維護制度、責(zé)任落實人頭，定期有工作人員對服務(wù)器進行查看。

原文鏈接：http://netsecurity.51cto.com/art/201107/272703.htm