(二) 系统服务器安全检查
 
检测关闭不必要的服务
是否建立安全账号策略和安全日志
是否已设置安全的IIS,删除不必要的IIS 组件和进行IIS 安全配置(对web服务器进行安全设置)
Web 站点目录的访问权限是否过大
服务器系统补丁是否打上,是否存在系统漏洞
扫描检测木马

 
 
服务器安全检查必备 让网管过个放心长假
 
 
喜乐中秋国庆长假即将来到，紧张的工作抛至脑后，尽享休息时刻的悠闲。日常专注企业基础设施支撑端的“苦逼”网管也可以远离机房的噪音和辐射，感受大自然的绿色气息。服务器作为企业业务的IT支持，承载关键业务数据和流程，网管欲舒心过长假，节前服务器安全检查需面面俱到。双节就在不远处，笔者在此列出服务器安全检查的几大注意点，算是个给网管们提个醒。
 
注意点一：UPS不间断电源检查
 
电源检查往往是容易被忽视的一环。如今大部分企业的业务需要7*24小时不间断运行，甭管是自动还是手动，反正不能停。那么选用UPS电源习以为常。UPS的新旧或者老化程度如何，能否在服务器出现异常情况时，实现正常关闭服务器的效能。网管需要对其进行检查，其出现故障的概率有多高，故障的自动应对举措有哪些，都需要预先思考周全。
 
注意点二：电缆线路与布线情况查看
 
对连接服务器的各条线路进行精细查看，关键是检查配线箱，看看插座是否对应插头，不插头与非适配插座乱串。电缆线路正常传输和布线合理与否都将影响到服务器正常运行情况，务必查看清楚。若有异常，最好找电缆线路的承包商来进行修复或优化。
 
注意点四：系统补丁是否安装完备
 
补丁较容易配置而且是免费提供，但有些网管可能会觉得系统运行效果不错，无需为其打补丁。殊不知，没有安装补丁的系统，一旦假期服务器出现问题，企业员工就将面临与自身的文件失去联系危机。网管需要检查服务器系统是否已安装补丁，以防万一。
 
注意点五：数据备份忘不得
 
企业数据一旦丢失是“致命”的，防止数据丢失，对服务器数据进行备份必不可省。别企图在服务器上某一区新建备份文件夹或者建立一个备份区，如果仅仅只做此项工作，如此备份方法仍非常危险，一旦服务器的硬盘区“失火”，那么所有分区的数据就将统统“销声匿迹”，如此备份有后患。建议外置使用专门单独时设备对数据进行二次备份，可使用较普遍的交叉备份方法或者成本较高的磁带。此外，已备份的数据也有可能发生被盗，建议网管在备份时能够通过密码对备份介质进行保护。
 
注意点六：强化服务器本地文件格式安全级别
 
服务器安全检查有来自自身设备问题，很大一部分来自防范外部攻击。因此有必要在节前检查服务器本地文件格式级别是否够高，别给黑客可乘之机。检查服务器操作系统是否已经对用户访问权限进行限制，避免因用户使用统一访问服务器的权限而存在不安全因素。同时，网管需检查系统是否使用了相关的网络检测软件对企业网络运行情况进行全天候监视。
 

 
 

 
 
    IDC运维部

1.    需求及功能
 
目前对服务器的管理，始终离不开安全这个话题。如果要对一台windows服务器的安全基线进行一个检查，你认为需要多长的时间呢？
 
我们的检查内容主要包括：当前服务器性能检查(CPU使用率\内存使用率\磁盘使用率)、安全组策略加固设置检查、注册表加固设置检查、系统服务加固设置检查等等。要求记录现有设置，并且通过与我们要求的设置进行对比，判断检查结果是否符合安全规范。
 
如果通过传统的方式，一个熟练的windows管理员要检查上述内容，保守估计用时每台15分钟，如果检查10台就是2个多小时了。有没有效率一点方法？
 
答案是肯定的。工作原因，用过某些厂商基线检查工具，对windows来说，检查内容都差不多，自己也可以写一个类似的东西，想检查什么都可以自己来定义，界面也简洁点。反正检查时只需敲下命令，然后喝茶，坐等1分钟左右完成检查，查看结果就行了。对需要周期性进行安全基线检查的朋友来说，绝对能大大节约时间。算上前期部署时间也不超过3分钟，部署后一劳永逸，以后安全基线检查只需要敲个命令就行。检查10台windows服务器可能就5分钟，因为可以在SecureCRT上开多个session来同时跑。
 
 
 
2.    实现原理及展示
 
2.1原理
 
原理是利用Python中的paramiko模块，通过ssh协议验证windows的登录信息，然后
 
调用windows的PowerShell来实现对window检查命令的执行，然后取得结果，通过shell进行判断，输出结果（包括htm格式的结果）。目前测试过windows server2008R2和 2012R2 服务器，可以正常执行。当然写脚本过程中会遇到一些问题，但是都有解决的思路，对脚本有兴趣的话可以讨论下。
 
 
 
2.2展示例子
 
执行脚本后，输入需要检查的windows服务器信息即可
 
 
 
 
检查结果自动输出，并进行判断，红色为不符合规范，绿色为符合规范
 
 
 
 
还有HTM格式结果,会通过脚本里的sz命令自动下载到你的secureCRT保存路径里
 
 
 
 
检查内容主要包括检查项目符合率、服务器性能检查(CPU使用率\内存使用率\磁盘使用率)、安全组策略加固设置检查、注册表加固设置检查、系统服务加固设置检查、是否安装最新补丁、高危端口检查等
 
 
 
3.    准备
 
3.1   一台Centos系统：   我使用的虚拟机centos6.6 （centos7上运行可能会报错）用来执行脚本，然后执行windows命令。需要有python(一般已经安装了)
 
3.2   软件:freesshd        官网上下载即可，主要是在被管理的windows服务器上安装
 
4.    实现步骤
 
4.1各windows服务器安装freesshd：freesshd的安装直接默认下一步即可
 
freesshd安装完成后需要稍作设置，如图：
 
 
 
 
 
 
 
 
 
 
 
 
 
第一次运行freesshd如图
 
 
 
 
然后点击右下角的freesshd图标进行相关设置，SSH选项卡中，将Command shell设置成C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe如图：
 
 
 
 
Users选项卡中点击“Add…”
 
 
 
 
在弹出的窗口加入windows服务器的管理员账号，然后将Shell打上√ 如图：
 
 
 
 
最后可选择是否在Automatic updates里面关闭自动更新，我一般选择关闭
 
 
 
 
设置完成后，在开始-运行 里面键入”services.msc”将freesshd服务重启一下
 
 
 
 
Sshd在windows服务器上设置完成。
 
4.2安全设置（可选）：各windows服务器上配置ipsec只允许我们的centos服务器连接sshd的22端口，这样就避免了其他未授权的ssh连接，建议设置。
 
如果启用了防火墙的话，还需要在防火墙里面设置允许freesshd程序通过防火墙，设置完成后可以在centos服务器上telnet X.X.X.X（windows服务器IP） 22 的方式来测试连接是否OK，如图测试正常：
 
          
 
 
 
4.3脚本准备
 
1）在本文后面下载shell脚本
 
2）在centos服务器中上传脚本,命令rz然后选择脚本上传即可
 
4.4运行脚本开始检查
 
5.    脚本下载地址
 
 
 
后续：脚本编写思路
 
明确要检查的内容-收集检查结果-从检查结果里面取需要的数据-对数据进行判断-生成结果
 
 
 
​
 
 

 
目录
 
课程目标
1.服务器面临的安全挑战
2016年服务器安全健康状况
服务器面临的安全挑战
1.高危漏洞攻击
2.开放端口攻击
3.恶意木马攻击
   
   
2.服务器安全管理123
服务器安全管理的五种方式
1.及时打补丁
2.修改默认的账号密码
3.启动防火墙
4.关闭不必要的服务、端口
5.检测服务器日志
   
   
3.通过安骑士发现登录风险
阿里云安骑士的主要功能
阿里云安骑士架构
1.异地登录
2.暴力破解
3.登录IP白名单
   
4.通过安骑士修复常见漏洞
常见漏洞简介
漏洞管理流程
安骑士漏洞管理主要功能
软件漏洞
CMS漏洞
基线检测
    
安骑士漏洞管理的应用场景
  
 

 
课程目标
 
 
1.服务器面临的安全挑战
 
2016年服务器安全健康状况
 
 
服务器面临的安全挑战
 
自身脆弱性、外部威胁
 
 
1.高危漏洞攻击
 
 
2.开放端口攻击
 
 
3.恶意木马攻击
 
 
2.服务器安全管理123
 
服务器安全管理的五种方式
 
 
1.及时打补丁
 

 
 
 
2.修改默认的账号密码
 

 
 
3.启动防火墙
 
防火墙在控制面板 \ 所有控制面板项 \ windows 防火墙里
 
 打开windows防火墙，启用
 
 回退到上一页，点击高级设置
 新建规则
 
 
4.关闭不必要的服务、端口
 

 
 进入控制面板 \ 所有控制面板项 \ 管理工具，选择服务
 
 
 
5.检测服务器日志
 

 在控制面板 \ 所有控制面板项 \ 管理工具里
 点击事件查看器
 
 
可以看windows日志、应用程序和服务日志
 
 
3.通过安骑士发现登录风险
 
安骑士是阿里云上的一款安全防护产品
 
阿里云安骑士的主要功能
 
 
阿里云安骑士架构
 
 
1.异地登录
 

 
 
2.暴力破解
 
 
3.登录IP白名单
 
 
4.通过安骑士修复常见漏洞
 
常见漏洞简介
 
系统漏洞和应用漏洞
 
 
漏洞管理流程
 
 
安骑士漏洞管理主要功能
 
漏洞管理 
  
软件漏洞
CMS漏洞
 
基线检查 
  
高危风险配置检测
 
 
 
软件漏洞
 
 
CMS漏洞
 
 
基线检测
 
 
安骑士漏洞管理的应用场景