摘要

为提升服务器安全性， 减少信息资产的泄漏风险， 我们需要对服务器进行安全加固，从系统

策略、应用程序、帐号密码等各方面进行加强，避免一些低级安全问题的出现。本文基于集 团信息化安全规定，针对服务器安全配置的方法进行详细描述。并提供了服务器加固检查表

模板，方便系统管理员对加固的步骤及结果进行检查。

服务器安全加固检查表

注意：请先将如下工具包复制到本地：网络安全 服务器安全工具包；对于操作熟

练的管理员，可以按照如下表格进行加固：

服务器加固检查表

服务器IP:加固日期：加固人：

服务器用途：□应用 □数据库 □其他

类型

加固内容

影响

对策

1

更改系统管理员(Administrator)帐号及

使用管理员帐号的服务将会受到影

检查服务及DTS看所

密码

响

有者是否为管理员

2

禁用guest用户

使用guest将无法登陆

3

禁用远程桌面连接，并更改3389端口

将无法使用mstsc进行访问

使用DameWare连接

4

服务器加 固

启用windows防火墙，打开1433、80、

6129、 3500

将无法PING通该机器，并且无法通 过网络直接访问；应用没有没有打 开的端口的服务将关闭

检查IIS中的应用；通 知应用管理员

5

将服务器加入域

需要重启。域管理员可以访问，并 默认应用域安全策略，自动打补丁

6

安装安全卫士 360，安装所有补丁

需要重启

7

加固服务器(禁止空连接和远程操作注 册表/取消上次登陆名显示)

无影响

8

关闭所有共享目录

将无法通过共享目录访问服务器文 件

使用DameWare连接

9

检查影子帐号

无影响

10

数据库加 固

禁用sa帐号

使用sa验证的数据库连接将失败

修改所有数据库连接， 创建新的登录帐号

11

删除不安全存储过程

未知

12

关闭上传文件的文件夹执行权限

未知

13

IIS加固

关闭目录浏览权限

未知

14

关闭目录写入权限

未知

15

更改IIS默认主目录

未知

1.加固步骤详解

1.1加固服务器

使用工具“安全加固工具 .exe ” (两个SQL文件是其专用文件)，重启计算机。

1.1.1修改管理员帐号与密码

在“我的电脑”右键，点击“管理”，进入“本地用户和组”，点击“用户”，在“ Adm in istrator”

用户上右键点击“重命名”和“设置密码”。然后点击“确认”按钮完成该步骤。

1.1.2修改远程访问端口

一般建议把服务器的远程桌面访问功能禁用，并且修改默认端口号。注意，第二步设置了 新

的远程访问端口号后要将新的终端号(如 8190)在防火墙中的例外中加入，再次远程时请使

用IP加新端口号登录(例子： 23:8190 )

如果运行失败，可通过注册表进行修改，包括两个地方:

立件CE) 髓(!)收薄夹woo

71

* 二J Sys t cnR-eioiirces

sO _

由□ -J 」 u

□

LI _l -I

3 |_l

由□

自□

Ternan&l Server

Addins

Author]z bdApplic

InputD^vjic^s

Keyb昨汕dlyp色 Hoping Li￡eih3in4 C^re S^sFrocs Vtiliti E3 VIDEO

Yds IE |_| i-d.p￥d 白ra= 口 IBS 白｛_J TinSt泌冷皿 E O ConE?l$ 白?匚)RDF-Tcp

? ￡j UitrOvirridit Tir>eZ?o.eIjD!forii

15 口I Enuil

英塑

gftU)

BIG貝

險值来设査)

jointer q.c I l veDcl ay

耽 GJWKD

onooooan^ (io)

jj||OulLE^ifC ount

KEG_mKD

(hOODCOBe

￡|]OutBufDel^

KE>j_miLD

(taOOOOOKA (100)

j^JOulBufLeneth

KEG」M狙D

(hooooaei.2(530)

叢p赧1砖

KESOKD

03)

凹]■dDLL

KEG豆

tdWp

關阿如

脚51吨

thiQUDOOMi C73)

EEG_JZ

t cp

Sojrflitrtiiwib&t-

HZG_DTOHII

CteOODOO^d 口潮)

S trvi c

OG^Z

t cpup

-匚X.

2J

我的电Jti\HKE7_1BCAL_IATHIXE\SYSTEN\￡昭 eMCentr ?1S? tVCdTLlrolM