壹基比网络观观
很高兴能回答您的问题,对于如何防范服务器被入侵攻击建议如下:
1、安装杀毒软件、服务器安全狗,网站安全狗,D盾之类的一些防护软件,对服务器系统进行漏洞扫描,修复漏洞,及时更新系统补丁,开启防火墙,对服务器的入站规则进行设置。
2、对端口策略进行设置,禁用所有TCP/IP端口,然后只开启80,修改远程端口3389并开启修改后的端口,设置远程允许登陆IP白名单,如果需要ftp可以修改ftp21端口并开启修改后的端口,如果需要sqlserver可以修改SQLServer1433端口并开启修改后的端口,如果需要mysql可以修改mysql3306端口并开启修改后的端口,修改端口方法可以网上搜索。
3、对系统磁盘目录和网站存放目录进行权限访问设置,将每个分区的权限只给administrator和system权限,其它都删掉。对于网站上传(如:图片,文件)存放目录只设写入权限。
4、禁用所有默认用户,并重新新建用户,禁用系统guest用户,adminstrator用户,然后新建管理员用户并加入管理员组和远程桌面组,密码设置为复杂密码。
5、开启远程桌面服务,关闭系统不必要的服务如:Print Spooler,Microsoft Serch,Remote Registry。
6、设置服务器本地安全策略如:
7、对服务器系统进行日常维护,病毒查杀,对网站程序进行漏洞扫描,发现一些可疑文件如(.asp文件)及时处理。
8、做好服务器raid备份、系统备份、网站文件备份。
以上是对服务器入侵的一些防范措施,不是很全面,希望对您有帮助。
程序员强哥
这个问题非常好,有助于提高大家安全意识。防止服务器被入侵是网络安全的范畴。我们要系统性思维来考虑。
中国在2016年推出了《网络安全法》,同时,在2019年12月发布了《等级保护》2.0。这里头都对网络安全要求提高到了更高的高度。按国家要求,我们安全至少需要从两方面来防护:
技术手段
在计算机安全技术上,我们可以从4个方面来着手分析服务器存在的风险,以及防范措施。
①、物理环境安全
物理环境就是指我们服务器存放的位置,我们需要分析它是否存在风险,比如:
如果是自有服务器,你必须要有相对隔离的专用空间,并配上门禁和视频监控控制出入。因为如果服务器人人都可以触碰到它,那它没有任何安全可言。因为只要物理上可以接触到,那就有可能会被恶意的人盗走服务器,然后在慢慢破解服务器,获取服务器的信息。
如果服务器是托管,你必须要求托管方有上面提到的门禁、视频监控等。不过,一般都会有。
如果是云服务器,也就是虚拟机,那你要求云服务商的物理服务器必须在国内,同样有上面提到的基本物理安全。
②、通讯网络安全
通讯网络就是服务器需要对外提供服务使用的网络系统。这一块是我们比较熟悉的。我们需要做如下措施来保障安全:
出口必须有防火墙,(有条件用双机)通过防火墙的的规则,可以屏蔽不需要开放的端口。使得黑客们的攻击面变窄。
服务器和桌面终端不能在同一个区域,至少需要划分VLAN隔离。
对外服务的访问尽量采用加密访问,比如:web服务就尽量采用HTTPS来提供;
有分支结构访问的,采用加密IPsec VPN或者SSL VPN来访问。
服务器本身需要有 TPM 芯片(现在一般都有),该芯片是可信计算模块,可以帮助我们的服务器对内部的计算信息进行加密。确保不会在计算过程中因为信息被窃取而出现安全问题。
③、区域边界安全
这里说的区域是指我们内部网络进行区域划分,比如:桌面处于一个区域(安全级别较低),服务器处于一个区域(安全级别较高);
不同的区域之间虽然有前面提到的VLAN隔离,但是我们还需要部署防火墙系统,让低安全等级的区域不能随意进入高安全等级区域。
出口的边界区域,除了前面提到需要出口防火墙外,还可以配备入侵防御系统IPS、来防范攻击。因为防火墙只是收窄了攻击面。相当于只是一个小区保安帮忙过滤了一下进出人员。但无法防范伪冒正常流量的攻击。所以需要配备IPS,来对入侵进行防御。
服务器必须配备防病毒系统。如果服务器众多,可以配备防病毒网关。服务器就1-2台,那就在服务器上安全企业杀毒软件,防止病毒入侵。
④、计算安全
计算安全就是服务器本身的计算安全。这里需要防止服务器本身的软硬件不安全和内部人员的恶意行为。
系统要加固,也就是操作系统要及时打补丁,尤其是安全补丁。如果服务器众多,可以考虑上服务器加固系统。
身份安全:也就是服务器的密码必须复杂口令、并且定时更换。有条件的可以采用动态密码和静态密码结合的双因子认证。
定期要进行漏洞扫描,防止服务器在使用过程中出现漏洞。一旦扫描发现漏洞,需要立即进行修复。
服务器日志要集中收集,运维人员定时分析日志。发现异常入侵行为日志,应该立即预警,并作出防御行动。
最后,为了防止内部人员恶意入侵,我们还需要一套堡垒机,通过堡垒机来控制所有的运维人员对服务器的操作。确保其权限始终,并且操作行为可被追踪。
管理手段
管理手段是指我们服务器在持续运营的阶段,我们要保障它的安全性可以持续。我们需要通过建立以下管理手段:
建立安全管理制度,制定安全策略、发布完整的安全管理制度;
-
建立安全管理机构:落实安全岗位、人员职责,并有监督机制;
人员安全管理:对安全人员要定期进行安全培训,对人员入职、离职做好安全管理。对于来访人员应该做好安全管控,比如:必须明确可以进入的区域,不能进入的区域;
采购安全设备,要关注安全设备厂商的资质、设备的认证情况;
建立安全运维制度:无论自己运维还是第三方运维,都必须有一套安全运维管理制度来管理整个安全运维
结束语
从系统化思维出发,可以全面防范服务器入侵。由于整个安全防范是非常大的一个范围。每个范围都是很大的技术知识体系。这里只是简要描述。如有疑问可以关注评论。
数智风
你的问题,有我回答,我是IT屠工!
1、用户安全
(1) 运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字, 并新建同名Administrator 普通用户,设置超长密码去除所有隶属用户组。
(2) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证 服务器账户的密码安全。
(3) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项 交互式登录 :不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息
(5) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项
网络访问:可匿名访问的共享;——清空
网络访问:可匿名访问的命名管道;——清空
网络访问:可远程访问的注册表路径;——清空
网络访问:可远程访问的注册表路径和子路径;——清空
(6) 运行
gpedit.msc
——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户ASPNET
Guest IUSR_***** IWAM_*****
NETWORK SERVICE
SQLDebugger
注:用户添加查找如下图:
(7) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下:
2、共享安全
(1) 运行 Regedit——删除系统默认的共享 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameter
s]增加一个键:名称 : AutoShareServer ; 类型 : REG_DWORD值; : 0
(2) 运行 Regedit——禁止 IPC 空连接 [Local_Machine/System/CurrentControlSet/Control/LSA] 把 RestrictAnonymous 的键值改成 ”1”。
3. 服务端口安全
(1) 运行 Regedit——修改 3389 远程端口
打开 [HKEY_LOCAL_MACHINE\\SYSTEM\\ CurrentControlSet\\Control\\Terminal
Server\\Wds\\rdpwd\\Tds\\tcp],将 PortNamber 的键值(默认是3389 )修改成自定义端 口:14720
打开 [HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentContro1Set\\Control\\Tenninal Server\\WinStations\\RDP-Tcp] ,将 PortNumber 的键值(默认是3389)修改成自定义 端口 :14720
(2) 运行 services.msc——禁用不需要的和危险的服务 以下列出建议禁止的服务,具体情况根据需求分析执行:
Alerter 发送管理警报和通知
Automatic Updates Windows 自动更新服务
Computer Browser 维护网络计算机更新(网上邻居列表)
Distributed File System 局域网管理共享文件
Distributed linktracking client 用于局域网更新连接信息
Error reporting service 发送错误报告
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用(RPC)
Remote Registry 远程修改注册表
Removable storage 管理可移动媒体、驱动程序和库
Remote Desktop Help Session Manager 远程协助
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Shell Hardware Detection 为自动播放硬件事件提供通知。
Messenger 消息文件传输服务
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet 服务和 Microsoft Serch 用的
PrintSpooler 打印服务
telnet telnet 服务
Workstation 泄漏系统用户名列表(注:如使用局域网请勿关闭)
(3) 运行 gpedit.msc —— IPSec安全加密端口,内部使用加密访问。
原理:利用组策略中的“ IP 安全策略”功能中,安全服务器(需要安全)功能。
将 所有访问远程如13013 端口的请求筛选到该ip安全策略中来, 使得该请求需要通过 双方的预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行 连接。在此条件下,不影响其他服务的正常运行。
操作步骤:
1) 打开
GPEDIT.MSC
,在计算机策略中有“ IP 安全策略” ,选择“安全服务器(需要 安全)”项目属性,然后在IP 安全规则中选择“所有IP 通信”打开编辑,在“编 辑规则属性”中,双击“所有IP通信”,在 IP 筛选器中,添加或编辑一个筛选2) 退回到 “编辑规则属性” 中,在此再选择“身份验证方法” 。删除“ Kerberos 5”,
点击添加,在“新身份验证方法”中,选择“使用此字符串(预共享密钥) ,然后填写服务器所填的预共享密钥 (服务器的预共享密钥为 ”123abc,.”)。然后确 定。
3) 选择“安全服务器(需要安全)”右键指派即可。 附截图:
以上是我的回答,希望可以帮助到您!
IT屠工
壹基比网络观观
服务器现在其实很难入侵
1、远程登录不要使用账号密码的形式,可以使用密钥。
2、开启防火墙。
3、只开放有用的端口。
4、使用可信的软件,防止后门木马。
5、不要在网络上晒服务器相关的信息,防止不小心被社会工程学攻击。
6、危险的系统漏洞及时打上补丁,云服务器提供商一般会提醒你。
我买服务器以来没有一个被入侵过,希望可以帮到你。
飞鸟千山
近年来网络黑客手段越来越高明,不少人曾遭遇服务器被黑到那时候再补救就为时已晚了。那么我们如何来判断服务器是否被入侵,平时又该怎样预防呢?看下面这篇文章相信会对你有所帮助。
如何判断服务器是否被入侵?
1.从表面来判断
①系统运行速度越来越慢
安装了病毒防火墙,系统中最近也并没安装什么软件,但是系统的运行速度一天比一天慢,而杀毒软件也没有进行病毒警告,这种情况下,十之八九中了流氓软件的招。
②部分软件,特别是浏览器设置被强行修改
由于流氓软件表面上是为用户提供了一些有用的功能,但实质上,它们是为了达到宣传自己的网站、自己的产品等目的。因此,流氓软件一旦成功入侵电脑,
它们便会在一些软件上提供相应的插件工具栏,以浏览器类软件居多,在浏览器家族中又以IE最受流氓软件欢迎。当发现日常使用的软件的工具栏被增加了一些
项目或是像浏览器的设置被修改了,也足可以说明系统中可能感染了流氓软件。
③自动弹出广告窗口
在正常使用电脑过程中,时而不时地自动弹出一些广告窗口,关闭后隔一断时间又会出现,做广告本是流氓软件的一个目的,因此,当你频繁地看到自动弹出的
广告时,系统也有可能感染了流氓软件。)
④自动打开网站
与自动弹出广告类似,有些流氓软件更猖狂,会自动启动浏览器并打开一些网站,如果你遇到了这种情况也说明系统有招流氓软件的迹象了。
2.利用工具检测
①使用系统的任务管理器:
当系统感染了流氓软件后,只要流氓软件正在运行的话,一般都是可以通过系统的任务管理器来寻觅其踪影:按下“Ctrl+Shift+Esc”打开任务管理器窗口,再单
击“进程”选项卡,在进程列表中将会看到流氓软件的踪影了。不过,这种方法只适合那些对电脑系统比较熟悉并对流氓软件对应的进程有所了解的朋友们采用
②使用专用检测工具
使用任务管理器这个系统自带的工具来检测流氓软件对用户的要求相对高些,为此,推荐大多数用户使用专业的流氓软件检测工具来检测,这样既直观,操作
也会方便很多。[例如:超级兔子、Upiea、恶意软件清理助手、360安全卫士、Windows
Defender等]最后推荐使用雨过天晴保护系统,可以实现开机一键恢复,快速便捷!
怎样预防
1,停掉Guest 帐号
2,把系统administrator帐号改名
3,创建一个陷阱帐号
4,把共享文件的权限从”everyone”组改成“授权用户”
5,使用极其复杂的安全密码
6,设置屏幕保护密码
7,使用NTFS格式分区
8,运行防毒软件
9,保障备份盘的安全
看过上述教程相信大家对服务器被入侵这一词汇有了更清晰的认识,更希望大家能去采取相应措施预防。还大家一个安全的网络环境。
欢乐趣闻
公司的服务器一般都安装有安全软件,去保护计算机的安全,但是还是会有病毒出现,是服务器宕机。下面提出我的几点建议:
1.做好常规检查,定期检查是不是出现了一些非常规的文件,早发现早删除。
2.修改默认的用户名和密码,还要修改默认的开放端口,关闭一些不常用的端口,防止成为病毒入侵的门径。
3.尽量使用大公司的云服务器,例如阿里云、腾讯云等,大公司的安全还是值得信赖的。
大致就这么些,希望可以帮到你。[来看我]
少年风
北信源的服务器加固可以防止服务器病毒及非法行为的入侵。
科技赋能量
1、在部署应用系统时,对代码和中间件进行漏洞扫描,避免应用开发不完善导致应用漏洞
2、对操作系统进行最新补丁升级,避免操作系统漏洞
3、关闭操作系统常见端口和服务,如137、445、3389等
4、禁用操作系统非必要的账户,将操作系统超级用户改名,设置复杂密码
5、边界设置防火墙,如无必要,关闭访问互联网权限,进入端口进行策略设置,关闭其它非业务端口
6、开启web防火墙,将web应用加入到策略中
7、开启动ips入侵防御系统
8、设置地域来源,如有必要,可关闭国外访问
创思传感
您好!很高兴回答您的问题!
防止黑客入侵服务器第一步:防ACCESS数据库下载
添加MDB的扩展映射就可以了。方法:IIS属性,主目录,配置,映射,应用程序扩展里添加。mdb的应用解析,至于选择的解析文件大家可以自已测试,只要访问数据库时出现无法找到该页就可以了,这里给出一个选择为wam.dll
防止黑客入侵服务器第二步:防上传
以MSSQL数据库为例。在IIS的WEB目录,在权限选项里只能IIS用户读取和列出目录的权限,然后进入上传文件保存和存放数据库的目录,给IIS用户加上写入的权限,然后在这二个目录的属性,执行权限选项
防止黑客入侵服务器第三步:防MSSQL注入
这很重要,在一次提醒,连接数据库万万不能用SA帐号。一般来说可以使用DB——OWNER权限来连接数据库。不过这存在差异备份来获得WEBSHELL的问题。下面就说一下如何防差异备份。
差异备份是有备份的权限,而且要知道WEB目录。现在找WEB目录的方法是通过注册表或是列出主机目录自已找,这二个方法其实用到了XP_REGREAD和XP_DRITREE这二个扩展存储,我们只要删除他们就可以了。但是还有一点就是万一程序自已爆出目录呢。所以要让帐号的权限更低,无法完成备份。操作如下:在这个帐号的属性,数据库访问选项里只需要选中对应的数据库并赋予其DB_OWNER权限,对于其它数据库不要操作,接着还要到该数据库,属性,权限,把该用户的备份和备份日志的权限去掉就可以了,这样入侵者就不能通过差异备份来获取WEBSEHLL了。
