如何加固server 2008服务器

　　目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权，进而拿下服务器权限的。所以配合服务器来设置防止webshell是有效的方法。下面我们来看看如何加固server 2008服务器。

如何加固server 2008服务器

　　1、更新系统补丁

　　更新补丁是安全加固最重要的步骤。

　　2、禁用不需要的服务

　　以下服务必须禁用：Server、Workstation、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser

　　3、系统权限设置

　　由于系统权限设置的地方非常多，我们只能公布常用的部分。

　　部分文件被系统隐藏了，不便于设置，因此我们先将所有文件显示出来。

　　·更改系统盘所有者为Administrators

　　·所有盘根目录只保留Administrators和SYSTEM权限。

　　·系统盘加上Users“读取权限”，仅当前目录

　　·C:\WINDOWS、C:\WINDOWS\system32、C:\Windows\SysWOW64 只保留Administrators和SYSTEM，以及User读和执行

　　·C:\Program Files 、C:\Program Files (x86) 只保留Administrators和SYSTEM

　　·C:\Program Files\Common Files 、C:\Program Files (x86)\Common Files 只保留Administrators和SYSTEM，以及User读和执行

　　·C:\ProgramData 只保留Administrators和SYSTEM，以及User读和执行

　　·C:\Users 只保留Administrators和SYSTEM

　　·C:\inetpub 只保留Administrators和SYSTEM

　　·C:\inetpub\custerr 只保留Administrators和SYSTEM，以及User读

　　·C:\inetpub\temp 只保留Administrators和SYSTEM，以及User读写删除和IIS_IUSRS读写删除

　　·C:\Windows\Temp 只保留Administrators和SYSTEM，以及User读写删除和IIS_IUSRS读写删除

　　·C:\Windows\tracing 只保留Administrators和SYSTEM，以及User读和network service读

　　·C:\Windows\Vss 只保留Administrators和SYSTEM，以及User读和network service读写删除

　　·C:\ProgramData\Microsoft\DeviceSync 只保留Administrators和SYSTEM，以及User读

　　·C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM，如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx

　　注意：如果您安装了SQL Server软件，还需要给系统盘上SQL Server相关目录加上MSSQLSERVER的权限。

　　如果设置后网站无法访问，给网站目录加上Users的读写删除权限试试。

　　4、卸载危险组件

　　regsvr32 /u %SystemRoot%\system32\shell32.dll

　　regsvr32 /u %SystemRoot%\system32\wshom.ocx

　　5、开启防火墙

　　建议只开放需要的端口，如：80、3389

　　注意：开启防火墙前必须先确认当前远程端口已经在放行规则

　　我当前用的33699端口，因此防火墙需要加上33699端口

　　6、更改远程端口

　　有很多暴力破解工具专门针对远程登录，更改远程端口能防范扫描。

　　更改端口后注意到防火墙添加新端口放行规则，推荐使用我司免费软件更改，会自动添加好规则。

　　7、软件降权设置

　　常用的Serv-U、SQL Server、MySQL、Apache、Tomcat等都存在安全隐患。

　　由于设置方法各不相同，具体请参考我站对应的课程。

　　8、安装安全辅助软件

　　没有绝对的安全，只有尽量提升安全，人工+软件搭配，才能最大限度提升安全。

如何加固server 2008服务器之IIS加固

　　1、删除默认站点

　　IIS安装完成之后会存在一个默认站点，安全性配置较低，可直接删除。

　　2、禁用不必要的Web服务拓展

　　ISAPI(Internet服务器应用程序编程接口)拓展或CGI(通用网关接口)拓展。如果允许未知的ISAPI和CGI拓展在Web服务器上运行，则服务器更容易遭受攻击。

　　Active Server Pages扩展支持asp页面功能，假设网站是静态网站，此拓展不必开启。

　　ASP.Net V1.1 V2.0支持ASP.NET技术开发的aspx动态页面，假设网站是asp，此拓展不必开启。

　　FrontPage Server Extensions 2002支持管理,创建以及浏览FrontPage扩展的网站，不需要此扩展可以禁用。

　　WebDAV(Web Distributed Authoring and Versioning)WebDAV扩展了HTTP.1.1通信协议的功能，让具备适当权限的用户，可以直接通过浏览器、网上邻居来管理服务器上的webDAV文件夹内的文件。如无必要，应当禁止WebDAV。

　　3、IIS访问权限配置

　　如果IIS中有多个网站，建议为每个网站配置不同的匿名访问账户。

　　方法：

　　a. 新建一个账号，加入Guests组

　　b. “网站属性”--->“目录安全性”--->“身份验证和访问控制”，把“启用匿名访问”处，用刚新建的账户代替默认账户，下图所示。

　　4、网站目录权限配置

　　目录有写入权限，一定不要分配执行权限

　　目录有执行权限，一定不要分配写入权限

　　网站上传目录和数据库目录一般需要分配“写入”权限，但一定不要分配执行权限

　　其他目录一般只分配“读取”和“记录访问”权限即可

　　5、删除不必要的应用程序扩展

　　IIS默认支持.asp、.cdx等扩展名的映射，除了.asp之外其他的扩展几乎用不到。这些拓展加重了服务器的负担，而且我们知道，没有限制.asa或者.cer等拓展名，黑客可以利用上传漏洞进行攻击。

　　站点属性->主目录-配置->删除.asa和.cer等拓展

　　6、错误信息配置

　　特殊字符会使页面产生报错信息，攻击者将会获得网站目录等敏感信息，因此需要取消报错信息显示。

　　7、IIS日志文件配置

　　默认的日志修改为扩展W3C日志记录格式。

　　关于如何加固server 2008服务器就为大家介绍到这里，由于Server 2008 R2已经停维，除了更新系统补丁还需部署服务器安全加固软件来保证服务器系统安全，如果有需要的朋友可以下载服务器安全狗来加固服务器，或者直接向安全狗公司寻求更高等级的安全防护服务。