【正文】 以產(chǎn)生成功事件，某些政策可以產(chǎn)生失敗事件，作為一種最佳實踐，企業(yè)不該忽略成功事件（會產(chǎn)生大量的安全日志）而只開啟失敗事件。實際上，安全日志中許多最重要的事件是成功事件，比如關(guān)鍵用戶帳戶和組的變化、帳戶鎖定的變化，以及安全設(shè)置的變化等等。但是復雜的權(quán)限分組可能會引起權(quán)限的錯誤配置，不能識別某個人的錯誤。歸功于適當?shù)目紤]和規(guī)劃，Windows Server 2008最終賦予企業(yè)期待已久的功能：成功地匹配了用戶的能力和權(quán)限。 Web專用網(wǎng)站服務(wù)器的安全設(shè)置(1)來源：中國紅盟 時間：20101226 10:50:00 點擊：2 今日評論：0 條IIS的相關(guān)設(shè)置：刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制， 帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。對于數(shù)據(jù)庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個mdb的擴展映射，將這個映射使用一個無關(guān)的dll文件如C:。設(shè)置為發(fā)送文本錯誤信息。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入權(quán)限。方法用戶從腳本提升權(quán)限：ASP的安全設(shè)置：設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：regsvr32/u C:\WINNT\System32\ del C:\WINNT\System32\regsvr32/u C:\WINNT\system32\del C:\WINNT\system32\, , 。但不推薦該方法。可以針對需要FSO和不需要FSO的站點設(shè)置兩個組，對于需要FSO的用戶組給予c:，不需要的不給權(quán)限。對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用！PHP的安全設(shè)置：默認安裝的php需要有以下幾個注意的問題：C:\winnt\。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。可以為mysql設(shè)置一個啟動用戶，該用戶只對mysql目錄有權(quán)限。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。修改servu的banner信息，設(shè)置被動模式端口范圍（4001—4003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。更改servu的啟動用戶：在系統(tǒng)中新建一個用戶，設(shè)置一個復雜點的密碼，不屬于任何組。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權(quán)限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。數(shù)據(jù)庫服務(wù)器的安全設(shè)置對于專用的MSSQL數(shù)據(jù)庫服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對外只開放1433和5631端口。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。 例外情況是master和 tempdb 數(shù)據(jù)庫,因為對他們guest帳戶是必需的。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。Web專用網(wǎng)站服務(wù)器的安全設(shè)置(2)來源：中國紅盟 時間：20101226 10:52:00 點擊：3 今日評論：0 條第二部分 入侵檢測和數(shù)據(jù)備份 入侵檢測工作作為服務(wù)器的日常管理，入侵檢測是一項非常重要的工作，在平常的檢測過程中，主要包含日常的服務(wù)器安全例行檢查和遭到入侵時的入侵檢查，也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。應用到安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方，這些地方是日常的安全檢測的重點所在。查看是否有CPU和內(nèi)存占用過高等異常情況。用進程管理器查看進程時里面會有一項taskmgr，這個是進程管理器自身的進程。通常的后門如果有進程的話，一般會取一個與系統(tǒng)進程類似的名稱，此時要仔細辨別[通常迷惑手段是變字母o為數(shù)字0，變字母l為數(shù)字1。4．查看當前端口開放情況使用activeport，查看當前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經(jīng)允許的端口與外界在通信。打開計算機管理==》軟件環(huán)境==》正在運行任務(wù)在（此處可以查看進程管理器中看不到的隱藏進程），查看當前運行的程序，如果有不明程序，記錄下該程序的位置，打開任務(wù)管理器結(jié)束該進程，對于采用了守護進程的后門等程序可嘗試結(jié)束進程樹，如仍然無法結(jié)束，在注冊表中搜索該程序名，刪除掉相關(guān)鍵值，切換到安全模式下刪除掉相關(guān)的程序文件。對于不清楚的服務(wù)打開該服務(wù)的屬性，查看該服務(wù)所對應的可執(zhí)行文件是什么，如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件，可粗略放過。如果無法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒有其他正常開放服務(wù)依存在該服務(wù)上，可暫時停止掉該服務(wù)，然后測試下各種應用是否正常。6．查看相關(guān)日志，粗略檢查系統(tǒng)中的相關(guān)日志記錄。對于出現(xiàn)的錯誤如能在服務(wù)器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號和具體描述信息，以便找到問題解決的辦法。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。必要時可運行一次殺毒程序?qū)ο到y(tǒng)盤進行一次掃描處理。打開“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否發(fā)生更改。需要查看的目錄有c:。C:winntsystem32。c:winntsystem32inetsrvdata。然后再檢查servu安裝目錄，查看這些目錄的權(quán)限是否做過變動。10．檢查啟動項主要檢查當前的開機自啟動程序。發(fā)現(xiàn)入侵時的應對措施對于即時發(fā)現(xiàn)的入侵事件，以下情況針對系統(tǒng)已遭受到破壞情況下的處理，系統(tǒng)未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。如情況嚴重建議采用實地處理。如采用遠程處理，如情況嚴重第一時間停止所有應用服務(wù)，更改IP策略為只允許遠程管理端口進行連接然后重新啟動服務(wù)器，重新啟動之后再遠程連接上去進行處理，重啟前先用AReporter檢查開機自啟動的程序。以下處理措施針對用戶站點被入侵但未危及系統(tǒng)的情況，如果用戶要求加強自己站點的安全性，可按如下方式加固用戶站點的安全：站點根目錄只給administrator讀取權(quán)限，權(quán)限繼承下去。高級里面有刪除子文件夾和文件權(quán)限logfiles給system寫入權(quán)限。高級里面沒有刪除子文件夾和文件權(quán)限如需要進一步修改，可針對用戶站點的特性對于普通文件存放目錄如html、js、圖片文件夾只給讀取權(quán)限，對asp等腳本文件給予上表中的權(quán)限。 數(shù)據(jù)備份和數(shù)據(jù)恢復數(shù)據(jù)備份工作大致如下：1． 每月備份一次系統(tǒng)數(shù)據(jù)。3． 確保備份數(shù)據(jù)的安全，并分類放置這些數(shù)據(jù)備份。 數(shù)據(jù)恢復工作：1．系統(tǒng)崩潰或遇到其他不可恢復系統(tǒng)正常狀態(tài)情況時，先對上次系統(tǒng)備份后發(fā)生的一些更改事件如應用程序、安全策略等的設(shè)置做好備份，恢復完系統(tǒng)后再恢復這些更改。Web專用網(wǎng)站服務(wù)器的安全設(shè)置(3)來源：中國紅盟 時間：20101226 10:54:00 點擊：2 今日評論：0 條第三部分　服務(wù)器性能優(yōu)化 服務(wù)器性能優(yōu)化系統(tǒng)性能優(yōu)化整理系統(tǒng)空間: 刪除系統(tǒng)備份文件，刪除驅(qū)動備份，刪除不用的輸入法，刪除系統(tǒng)的幫助文件，卸載不常用的組件。性能優(yōu)化：刪除多余的開機自動運行程序；減少預讀取，減少進度條等待時間；讓系統(tǒng)自動關(guān)閉停止響應的程序；禁用錯誤報告,但在發(fā)生嚴重錯誤時通知；關(guān)閉自動更新,改為手動更新計算機；啟用硬件和DirectX加速；禁用關(guān)機事件跟蹤；禁用配置服務(wù)器向?qū)В?減少開機磁盤掃描等待時間；將處理器計劃和內(nèi)存使用都調(diào)到應用程序上；調(diào)整虛擬內(nèi)存；內(nèi)存優(yōu)化；修改cpu的二級緩存；修改磁盤緩存。一般來說此值最小應設(shè)為服務(wù)器內(nèi)存的10%。這個參數(shù)指明了分配給高速緩存的內(nèi)存大小。在這種情況下系統(tǒng)的性能可能會降低。必須注意的是修改注冊表后，需要重新啟動才能使新值生效。保持HTTP連接。但此設(shè)置會帶來嚴重的安全問題，不值得推薦。如果使用Ultra2的SCSI硬盤，可以顯著提高IIS的性能。另外，不要將頁交換文件放在與WIndows NT引導區(qū)相同的分區(qū)中。然后定期運行磁盤碎片整理程序以保證在存儲Web服務(wù)器數(shù)據(jù)的分區(qū)中沒有碎片。推薦使用Norton的Speeddisk，可以很快的整理NTFS分區(qū)。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、JavaScript或CSS文件。7．起用資源回收使用IIS5Recycle定時回收進程資源。出現(xiàn)這種錯誤可以通過卸載殺毒軟件解決，在命令行下運行：regsvr32 和regsvr32 。如是所有站點存在該問題，并且HTML頁面沒有出現(xiàn)該問題，相關(guān)日志出現(xiàn)“服務(wù)器無法加載應用程序‘/LM/W3SVC/1/ROOT‘。那十有八九是服務(wù)器系統(tǒng)中的ASP相關(guān)組件出現(xiàn)了問題，重新啟動IIS服務(wù)，嘗試是否可以解決該問題，無法解決重新啟動系統(tǒng)嘗試是否可解決該問題，如無法解決可重新修復一下ASP組件：首先刪除組件中的關(guān)于IIS的三個東西，需要先將屬性里的高級中“禁止刪除”的勾選取消。3. IIS出現(xiàn)105錯誤：在系統(tǒng)日志中“服務(wù)器無法注冊管理工具發(fā)現(xiàn)信息。4．MySQL服務(wù)無法啟動【錯誤代碼1067】的解決方法啟動MySQL服務(wù)時都會在中途報錯！內(nèi)容為：在 本地計算機 無法啟動MySQL服務(wù) 錯誤1067：進程意外中止。 [mysqld] set basedir to installation path, ., c:/mysql 設(shè)置為MYSQL的安裝目錄 basedir=D://WebServer/MySQL set datadir to location of data directory, ., c:/mysql/data or d:/mydata/data 設(shè)置為MYSQL的數(shù)據(jù)目錄 datadir=D://WebServer/MySQL/data注意，我在更改系統(tǒng)的temp目錄之后沒有對更改后的目錄給予system用戶的權(quán)限也出現(xiàn)過該問題。查看任務(wù)管理器，管理員在這種情況下，只好重新啟動IIS服務(wù)，奇怪的是，重新啟動IIS服務(wù)后一切正常，但可能過了一段時間后，問題又再次出現(xiàn)了。 解決辦法：把數(shù)據(jù)庫下載到本地，然后用ACCESS打開，進行修復操作。如果還不行，只有新建一個ACCESS數(shù)據(jù)庫，再從原來的數(shù)據(jù)庫中導入所有表和記錄。6．Windows installer出錯：在安裝軟件的時候出現(xiàn)“不能訪問windows installer 服務(wù)。請和你的支持人員聯(lián)系以獲得幫助” ，提示：“指定的服務(wù)已存在”。如果提示的是上述信息，可以嘗試以下解決方法：運行“msiexec /unregserver”卸載Windows Installer服務(wù)，如果無法卸載可使用SRVINSTW進行卸載，然后下載windows installer的安裝程序[地址：]，用winrar解壓該文件，右鍵單擊選擇“安裝”，重新啟動系統(tǒng)后運行“msiexec /regserver”重新注冊Windows Installer服務(wù)。您發(fā)表的問題不代表本站觀點。每臺服務(wù)器保證每周重新啟動一次。對于沒有啟動起來或服務(wù)未能及時恢復的情況要采取相應措施。 2．服務(wù)器的安全、性能檢查，每服務(wù)器至少保證每周登陸兩次粗略檢查兩次。如需要使用一些工具進行檢查，可直接在e:tools中查找到相關(guān)工具。對于下載的新工具對以后維護需要使用的話，將該工具保存到e:tools下，記錄該工具的名稱，功能，使用方法。3．服務(wù)器的數(shù)據(jù)備份工作，每服務(wù)器至少保證每月備份一次系統(tǒng)數(shù)據(jù)，系統(tǒng)備份采用ghost方式，對于ghost文件固定存放在e:ghost文件目錄下，文件名以備份的日期命名，每服務(wù)器至少保證每兩周備份一次應用程序數(shù)據(jù)，每服務(wù)器至少保證每月備份一次用戶數(shù)據(jù)，備份的數(shù)據(jù)固定存放在e:databak文件夾，針對各種數(shù)據(jù)再建立對應的子文件夾，如servu用戶數(shù)據(jù)放在該文件夾下的servu文件夾下，iis站點數(shù)據(jù)存放在該文件夾下的iis文件夾下。對于發(fā)現(xiàn)服務(wù)停止，首先檢查該服務(wù)器上同類型的服務(wù)是否中斷，如所有同類型的服務(wù)都已中斷及時登陸服務(wù)器查看相關(guān)原因并針對該原因嘗試重新開啟對應服務(wù)。所有的日志文件統(tǒng)一保存在e:logs下，應用程序日志保存在e:logsapp中，系統(tǒng)程序日志保存在e:logssys中，安全日志保存在e:logssec中。所有的備份日志文件都以備份的日期命名。6．服務(wù)器的補丁修補、應用程序更新工作，對于新出的漏洞補丁，應用程序方面的安全更新一定要在發(fā)現(xiàn)的第一時間給每服務(wù)器打上應用程序的補丁。每服務(wù)器必須保證每月重點的單獨檢查一次。8．不定時的相關(guān)工作，每服務(wù)器由于應用軟件更改或其他某原因需要安裝新的應用程序或卸載應用程序等操作必須知會所有管理員。相關(guān)建議：對每服務(wù)器設(shè)立一個服務(wù)器管理記載，管理員每次登陸系統(tǒng)都應該在此中進行詳細的記錄，共需要記錄以下幾項：登入時間，退出時間，登入時服務(wù)器狀態(tài)[包含不明進程記錄，端口連接狀態(tài)，系統(tǒng)帳號狀態(tài)，內(nèi)存/CPU狀態(tài)]，詳細操作情況記錄[詳細記錄下管理員登陸系統(tǒng)后的每一