win2008 服务器安全检查步骤指引(日常维护说明)

　文档写好有一段时间了，可一直不敢上传，对服务器安全了解得越多，就越觉得自己很肤浅，很多都还没入门，发上来在这么多大神面前搬门弄斧，一不小心可能就会给劈得渣都不剩了。

　　在编写的过程中，有不少地方心里明白是怎么回事，要怎么去分析和处理，但就是不知道怎么用文字表述出来（真是书到用时方狠少啊），文笔有限也请大家见谅。

　　有的地方想深入一些说说，讲一些所以然出来，但个人实力有限，我也只是知其然而已。现在也只能厚着脸皮讲一讲自己在服务器日常管理的一些方法，和近段时间碰到一些问题的分析处理方式，而一些其他的攻击方法，那也只有碰到后才能根据实际情况来作出处理，现在没有碰到也不知道怎么讲那些分析处理方法，文中提出的一些内容仅供参考，大家可以做为一种操作的思路。

　　上一文《服务器安全部署文档》中，只是写了怎么部署服务器才能更安全些，但为什么要这样设置，为什么要用McAfee防火墙等，却没有详细的进行描述，不过想想，如果真的再讲细一点，那文档的长度可能还要多一半，大家就真的看得更头晕了，呵呵......不过本文会对其中一小部分内容重新进行说明，补充一下。

　　好了就不再啰嗦了，转入正题。

　　目录
1. 前言 3
2. 部署环境 3
2.1 服务器环境信息 3
3. 安全检查 4
3.1. 检查VirusScan控制台 4
3.2. 检查McAfee HIP防火墙 6
3.3. 检查Windows防火墙 9
3.4. 检查IIS相关设置和网站目录访问权限 10
3.5. 检查管理员帐号 14
3.6. 检查Windows日志 15
3.7. 检查IIS网站访问日志 16
3.8. 检查FTP日志 17
3.9. 检查网站相关日志 17
3.10. 检查服务器运行进程 19
4. 备份数据 21
5. 相关说明 21

1.前言

　　服务器做好了安全部署以后，如果没有做好日常维护的话，那就等于将围着篱笆的羊群放在空旷的草原上而不去理它，当有一天狼发现了篱笆存在问题，扒开篱笆闯进羊群尽情享受时，而主人却远在天边而不知。而做好日常维护的话，就可以比较及时发现问题并修复漏洞，减少损失。

2. 部署环境

　　略（请参考服务器部署文档）

3. 安全检查

3.1. 检查McAfee的VirusScan控制台

　　可能有朋友会问，为什么使用McAfee而不用其他工具？这是因为McAfee有访问保护这个功能，只要开启了对应的安全策略，那么不过通授权（访问保护里设置的排除进程）的所有软件，都无法进行对应的操作。比如开启了“禁止在 Windows 文件夹中创建新的可执行文件”或自定义一个策略，禁止在服务器上所有目录创建dll与exe文件，那么别人在黑服务器时，调用了一些方法可能就无法执行了。万一他们使用了我们开放的一些服务上传了木马或入侵进来的，这种安全策略也会给他们在进行提权操作时带来很大的困难。

　　在启用这些策略后，我们在添加排除进程时，必须将不了解不熟悉的进程全部排除在外，有一些进程不是必须要用到的，临时开放后就要将它删除，才能让服务器更加安全。当然不怕神一样的敌人，就怕猪一样的队友，服务器管理糊乱设置，看到日志中的阻止项就顺手加入排除进程的话，那我也无话可说了。

　　打开VirusScan控制台

　　检查相关项是否正常开启

　　检查访问保护日志

　　查看是否有新禁用或阻止记录，查看该记录是什么帐户操作的，是否影响网站的运行，然后再考虑是否加入到规则列表中，一般来说阻止项不影响网站或服务运行的，全部不用理睬。

　　从日志这里，你可以看到是什么用户在操作的，运行的是那个程序，做什么操作的时候给阻止的。一般来说我们服务器是做网站用的，如果这里禁用的是SYSTEM或IIS的相关帐号，那么认真看看这些程序是不是网站运行必须的，是的话就放行，不是的就不用理它。而管理员帐号的操作，如果是自己操作时产生的，就临时放行一下就可以了，如果不是的话，就要查查是不是可能给入侵了。

　　如果需要添加的，就加入到访问保护的排除进程规则中

　　添加后再测试一下看看是否正常，如果还不行，再打开查看一下日志，将新日志记录所禁止的进程添加到对应策略里。

3.2. 检查McAfee HIP防火墙

　　McAfee HIP防火墙可以直接监控服务器所有端口对内对外的所有访问，可以直接禁用指定软件使用某个端口，可即時防御和阻挡已知的、零时差、阻断服务 (DoS)、分散式阻断服务 (DDoS)、SYN Flood 与加密式攻击等。

　　如果启用了应用程序策略，还可以直接控制服务器所有软件的使用与运行。

　　双击防火墙图标打开防火墙软件

　　查看IPS政策防入侵防火墙是否开启

　　检查防火墙是否启用，并查看里面已设置好的规则里是否有新添加的项，判断这些项设置是否正常

　　查看活动记录，开启纪录所有允许项目，看看有没有新的端口有访问链接，并判断是否充许，如果不允许的话，在防火墙规则中手动添加进去

　　手动添加阻止规则

　　再次查看活动记录，该商品的访问已给阻止

　　如果想服务器更安全的话，还可以开启应用策略功能，这样的话服务器里运行任何软件都需要经过授权了，虽然会比较麻烦，但系统也会更加安全可靠，具体怎么设置大家可以在虚拟机上测试一下就知道了。

3.3. 检查Windows防火墙

　　打开Windows防火墙，查看该防火墙是否开启（虽然已经有McAfee防火墙在了，但系统自带防火墙还要须要开启，以防止万一不小心关闭了其中一个防火墙时，另外一个还处于开启状态）

　　检查防火墙端口开启情况，是否是自己设定那些，有没有新增开启端口，有的话做出相应判断并咨询服务器的其他管理人员。

3.4. 检查IIS相关设置和网站目录访问权限

　　主要检查几个网站的目录设置，查看是否开启了目录写入权限，然后对所有有写入权限的文件夹检查其是否有可执行权限
同时检查网站有没有多出新的目录（有的目录可能是开发人员随意添加的而服务器管理员又不清楚，有的可能是黑客添加的），这些目录权限设置如何等。
　　

　　除了检查写入权限外，也检查一下是否添加了新的帐户，如果根目录有写入权限的话就得小心了，另外如果多了新的帐户也要注意一下是否是其他管理员添加的