当前位置：公众IT > 技术文章 > 如何防止服务器被入侵？

如何防止服务器被入侵？

新闻来源：互联网资料整理发布时间：2023/4/5 16:59:10 共计：4599 浏览

你的问题，有我，我是IT屠工！
1、用户安全
(1) 运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字，并新建同名Administrator 普通用户，设置超长密码去除所有隶属用户组。
(2) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—密码策略启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。
(3) 运行 gpedit.msc ——计算机配置—安全设置—账户策略—账户锁定策略启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。
(4) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项交互式登录 :不显示上次的用户名；——启动交互式登录：回话锁定时显示用户信息；——不显示用户信息
(5) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—安全选项
网络访问：可匿名访问的共享；——清空
网络访问：可匿名访问的命名管道；——清空
网络访问：可远程访问的注册表路径；——清空
网络访问：可远程访问的注册表路径和子路径；——清空
(6) 运行
gpedit.msc
——计算机配置—安全设置—本地策略通过终端服务拒绝登陆——加入一下用户
ASPNET
Guest IUSR_***** IWAM_*****
NETWORK SERVICE
SQLDebugger
注：用户添加查找如下图：
(7) 运行 gpedit.msc ——计算机配置—安全设置—本地策略—策略审核即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下：
2、共享安全
(1) 运行 Regedit——删除系统默认的共享增加一个键：名称 : AutoShareServer ; 类型 : REG_DWORD值; : 0
(2) 运行 Regedit——禁止 IPC 空连接把 RestrictAnonymous 的键值改成 ”1”。
3. 服务端口安全
(1) 运行 Regedit——修改 3389 远程端口
打开，将 PortNamber 的键值（默认是3389 ）修改成自定义端口:14720
打开，将 PortNumber 的键值（默认是3389）修改成自定义端口 :14720
(2) 运行 services.msc——禁用不需要的和危险的服务以下列出建议禁止的服务，具体情况根据需求分析执行：
Alerter 发送管理警报和通知
Automatic Updates Windows 自动更新服务
Computer Browser 维护网络计算机更新（网上邻居列表）
Distributed File System 局域网管理共享文件
Distributed linktracking client 用于局域网更新连接信息
Error reporting service 发送错误报告
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用(RPC)
Remote Registry 远程修改注册表
Removable storage 管理可移动媒体、驱动程序和库
Remote Desktop Help Session Manager 远程协助
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Shell Hardware Detection 为自动播放硬件事件提供通知。
Messenger 消息文件传输服务
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet 服务和 Microsoft Serch 用的
PrintSpooler 打印服务
telnet telnet 服务
Workstation 泄漏系统用户名列表（注：如使用局域网请勿关闭）
(3) 运行 gpedit.msc —— IPSec安全加密端口，内部使用加密访问。
原理：利用组策略中的“ IP 安全策略”功能中，安全服务器（需要安全）功能。
将所有访问远程如13013 端口的请求筛选到该ip安全策略中来，使得该请求需要通过双方的预共享密钥进行身份认证后才能进行连接，其中如果一方没有启用“需要安全”时，则无法进行连接，同时如果客户端的预共享密钥错误则无法与服务器进行连接。在此条件下，不影响其他服务的正常运行。
操作步骤：
1) 打开
GPEDIT.MSC
，在计算机策略中有“ IP 安全策略” ,选择“安全服务器（需要安全）”项目属性，然后在IP 安全规则中选择“所有IP 通信”打开编辑，在“编辑规则属性”中，双击“所有IP通信”，在 IP 筛选器中，添加或编辑一个筛选
2) 退回到 “编辑规则属性” 中，在此再选择“身份验证方法” 。删除“ Kerberos 5”,
点击添加，在“新身份验证方法”中，选择“使用此字符串（预共享密钥），然后填写服务器所填的预共享密钥（服务器的预共享密钥为 ”123abc,.”）。然后确定。
3) 选择“安全服务器（需要安全）”右键指派即可。附截图：
以上是我的，希望可以帮助到您！

这个问题非常好，有助于提高大家安全意识。防止服务器被入侵是网络安全的范畴。我们要系统性思维来考虑。
中国在2016年推出了《网络安全法》，同时，在2019年12月发布了《等级保护》2.0。这里头都对网络安全要求提高到了更高的高度。按国家要求，我们安全至少需要从两方面来防护：
技术手段
在计算机安全技术上，我们可以从4个方面来着手分析服务器存在的风险，以及防范措施。
①、物理环境安全
物理环境就是指我们服务器存放的位置，我们需要分析它是否存在风险，比如：
如果是自有服务器，你必须要有相对隔离的专用空间，并配上门禁和视频监控控制出入。因为如果服务器人人都可以触碰到它，那它没有任何安全可言。因为只要物理上可以接触到，那就有可能会被恶意的人盗走服务器，然后在慢慢破解服务器，获取服务器的信息。
如果服务器是托管，你必须要求托管方有上面提到的门禁、视频监控等。不过，一般都会有。
如果是云服务器，也就是虚拟机，那你要求云服务商的物理服务器必须在国内，同样有上面提到的基本物理安全。
②、通讯网络安全
通讯网络就是服务器需要对外提供服务使用的网络系统。这一块是我们比较熟悉的。我们需要做如下措施来保障安全：
出口必须有防火墙，（有条件用双机）通过防火墙的的规则，可以屏蔽不需要开放的端口。使得黑客们的攻击面变窄。
服务器和桌面终端不能在同一个区域，至少需要划分VLAN隔离。
对外服务的访问尽量采用加密访问，比如：web服务就尽量采用HTTPS来提供；
有分支结构访问的，采用加密IPsec VPN或者SSL VPN来访问。
服务器本身需要有 TPM 芯片（现在一般都有），该芯片是可信计算模块，可以帮助我们的服务器对内部的计算信息进行加密。确保不会在计算过程中因为信息被窃取而出现安全问题。
③、区域边界安全
这里说的区域是指我们内部网络进行区域划分，比如：桌面处于一个区域（安全级别较低），服务器处于一个区域（安全级别较高）；
不同的区域之间虽然有前面提到的VLAN隔离，但是我们还需要部署防火墙系统，让低安全等级的区域不能随意进入高安全等级区域。
出口的边界区域，除了前面提到需要出口防火墙外，还可以配备入侵防御系统IPS、来防范攻击。因为防火墙只是收窄了攻击面。相当于只是一个小区保安帮忙过滤了一下进出人员。但无法防范伪冒正常流量的攻击。所以需要配备IPS，来对入侵进行防御。
服务器必须配备防病毒系统。如果服务器众多，可以配备防病毒网关。服务器就1-2台，那就在服务器上安全企业杀毒软件，防止病毒入侵。
④、计算安全
计算安全就是服务器本身的计算安全。这里需要防止服务器本身的软硬件不安全和内部人员的恶意行为。
系统要加固，也就是操作系统要及时打补丁，尤其是安全补丁。如果服务器众多，可以考虑上服务器加固系统。
身份安全：也就是服务器的密码必须复杂口令、并且定时更换。有条件的可以采用动态密码和静态密码结合的双因子认证。
定期要进行漏洞扫描，防止服务器在使用过程中出现漏洞。一旦扫描发现漏洞，需要立即进行修复。
服务器日志要集中收集，运维人员定时分析日志。发现异常入侵行为日志，应该立即预警，并作出防御行动。
最后，为了防止内部人员恶意入侵，我们还需要一套堡垒机，通过堡垒机来控制所有的运维人员对服务器的操作。确保其权限始终，并且操作行为可被追踪。
管理手段
管理手段是指我们服务器在持续运营的阶段，我们要保障它的安全性可以持续。我们需要通过建立以下管理手段：
建立安全管理制度，制定安全策略、发布完整的安全管理制度；
建立安全管理机构：落实安全岗位、人员职责，并有监督机制；
人员安全管理：对安全人员要定期进行安全培训，对人员入职、离职做好安全管理。对于来访人员应该做好安全管控，比如：必须明确可以进入的区域，不能进入的区域；
采购安全设备，要关注安全设备厂商的资质、设备的认证情况；
建立安全运维制度：无论自己运维还是第三方运维，都必须有一套安全运维管理制度来管理整个安全运维
结束语
从系统化思维出发，可以全面防范服务器入侵。由于整个安全防范是非常大的一个范围。每个范围都是很大的技术知识体系。这里只是简要描述。如有疑问可以关注评论。

最安全的方法，把服务器关掉
开个玩笑，防止服务器入侵是一个长期化的工程，没有一个办法能一劳永逸，除非，你把服务器关了；
入侵服务器有以下几个关键突破口:
1、操作系统漏洞
操作系统是一个庞大的代码集合，上千万行甚至上亿行的代码，为了兼容各种设备，运行各种软件，想要彻底的指望系统没有bug，没有漏洞是不可能的，只能指望厂家勤更新，自己勤打补丁，并且关闭不必要的服务，减少系统的漏洞；
2、业务系统漏洞
您本身运行在系统上运行的业务软件，未客户提供的服务，这些都是由程序员开发的，一个业务系统或软件，做的在精细，都不可避免的出现bug或者漏洞，只能发现问题，解决问题，做好数据备份是最至关重要的；
3、其他软件
在服务器上不可避免的运行着除操作系统和业务服务的一些软件和工具，这些软件或工具本身就存在bug或漏洞，会被利用，多升级软件或者多做数据备份。
古话说:只有千日做贼，哪有千日防贼的，信息安全就是一场弄不结束的矛与盾的战争，这个世界上应该还内有完美的、0漏洞的系统，做好日常的检查、升级、防护、预警和数据备份，才是做重要的。
希望我的对您有所帮助。

您好！很高兴您的问题！
防止黑客入侵服务器第一步：防ACCESS数据库下载
添加MDB的扩展映射就可以了。方法：IIS属性，主目录，配置，映射，应用程序扩展里添加。mdb的应用解析，至于选择的解析文件大家可以自已测试，只要访问数据库时出现无法找到该页就可以了，这里给出一个选择为wam.dll
防止黑客入侵服务器第二步：防上传
以MSSQL数据库为例。在IIS的WEB目录，在权限选项里只能IIS用户读取和列出目录的权限，然后进入上传文件保存和存放数据库的目录，给IIS用户加上写入的权限，然后在这二个目录的属性，执行权限选项
防止黑客入侵服务器第三步：防MSSQL注入
这很重要，在一次提醒，连接数据库万万不能用SA帐号。一般来说可以使用DB——OWNER权限来连接数据库。不过这存在差异备份来获得WEBSHELL的问题。下面就说一下如何防差异备份。
差异备份是有备份的权限，而且要知道WEB目录。现在找WEB目录的方法是通过注册表或是列出主机目录自已找，这二个方法其实用到了XP_REGREAD和XP_DRITREE这二个扩展存储，我们只要删除他们就可以了。但是还有一点就是万一程序自已爆出目录呢。所以要让帐号的权限更低，无法完成备份。操作如下：在这个帐号的属性，数据库访问选项里只需要选中对应的数据库并赋予其DB_OWNER权限，对于其它数据库不要操作，接着还要到该数据库，属性，权限，把该用户的备份和备份日志的权限去掉就可以了，这样入侵者就不能通过差异备份来获取WEBSEHLL了。