文章简介：本文将为大家介绍在应用微软Windows系列OS服务器中，在对服务器安全性做评估、检查时所需的安全检查要素与注意事项。笔者意愿旨在提高国内企业的安全认识以及个人的安全意识与服务器管理人员的安全技术水平；为创造绿色的安全网络环境而微尽薄力。

服务器安全检查十大要素正文内容：
(注：本文所讲诉的观点针对Win 2K、Win Server 2003等Win系统服务器平台；Unix、Linux不在本文讲述范围；因此文为要素总结，部分地方未涉及到技术细节，关于详细的技术细节处理办法将在笔者的其它文章中详述...)

一、基本安全策略的部署宗旨："最小权限+最少应用+最细的设置+日常的检查=最大的安全"(最少权限是指各种服务与应用程序运行在最小的权限范围；最少应用是指服务器仅安装必需的应用软件与程序；最细的设置是指在应用安全策略时必需得周全、细心；日常检查是指服务器 的日常检查、系统优化、垃圾临时文件清理、Log数据的分析等常规维护工作。)

二、操作系统本身安全："是否将所有系统补丁都完全更新到最新？如果不是特别原因您可以将补丁的更新设置为自动进行；是否对Win系统 本身存在的一些己知或者未知的漏洞与隐患进行了修正或者弥补？例如：采用ACLs控制系统的关键命令与关键服务、降底某些服务器的服务或 应用程序的默认运行权限、防范程序Overflow溢出攻击、提权等(注：关于防溢出提权参考下笔者以前的文章：《防溢出提权攻击解决办法》)

三、密码/口令安全:"所有系统口令、以及各种应用程序与服务、Web、数据库等口令是否全是强悍的口令？在这里本人建议大家在使用口令时 尽量的用到转义字符，因为转义字符存在破解与直接读取较难的特点。或者利用加密字串不作口令。例如:“Leebolin$)^_^1688!@#”这样的口令。"

四、WEB服务器安全:"包括 1、IIS自身的安全，以及用户在设置时的安全极别的高底、以及虚拟主机的安全、网页目录读写权限Acls、脚本权限使用是否适当等等...这里就不再详述，不太明白的读者可以去服安论坛参考一下本人以前写过的几篇关于Web安全的文章如：《FSO安全隐患解决办法》、《ASP木马Webshell之安全防范解决办法》、《ASP.NET木马及Webshell安全解决方案》。2、扩展脚本或三访Web服务器的安全，如加强PHP的安全设置，加强Apache、TomCat、Resin等的安全)。3、如有必要请启动WEB服务的SSL连接，以加强安全性。"

五、TCP/IP协议相关："1、TCP/UDP端口安全；2、ACLs访问控制列表；3、防火墙安全策略；4、NetBIOS,IPX,ICMP,IGMP
等协议安全"（详细情况情可以去服务器安全讨论区相关版块查看一下相关文章与教程，以保证TCP/IP协议应用的相关安全性。例如：禁用ICMP、改注册表加强系统对SYN攻击、ICMP、IGMP等攻击的抗衡能力，及采用IPSec或者Firewall、Tcp/IP Filter封端常见木马端口与不安全协议等）本文笔者:李泊林,英文名: LeeBolin.（AD^_^:游刃在技术鬼神边缘,打造服务器安全神话！创世纪网络技术前瞻，成就互联网革命先驱！服务器安全讨论区 [S.S.D.A] http://www.31896.net) 　　

六、数据库的安全:"1、如果采用SQL Server数据库，请确保SQL的安全：删除危险的扩展存储过程xp_cmdshell、 Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、 xp_regread、Xp_regwrite、Xp_regremovemultistring之类或降SQL SERVER不要以system权限运行；如果采用MySQL请如实做相关的安全。2、数据库服务器请用最新版本软件，如用SQL 2000请必需打上Sp4。3、如数据库服务器不需要外部连接，请最好不要开放TCP1433/TCP3306、UDP1434等等。"(详细细节情况请参相关资料，这里不再详述)如无数据库服务器则略过此项..

七、邮件服务器安全："1、邮件服务器不管您选择那一款软件，建议都用新版...因为旧版的漏洞太多；诸如像Imail以前的N个溢出与三地提升权限的漏洞而引起的攻击。2、邮件服务器做好反垃圾处理，以及做好服务器的优化。"(详细细节情况请参相关资料，这里不再详述)如无邮件服务器则略过此项..）

八、FTP服务器的安全："1、 FTP服务器当然是一般WEB服务器所需必的了，就Win下常见的较多有Microsoft的IIS FTP以及Serv-U。2、如用Serv-U或其它三方FTP服务器软件，请确保新版本，并加固安全设置。如：详细的控制各用户的上传下载权限、更换默认的FTP连接端口、以及采用SSL加密码连接方式，对FTP的连接数进行适当限制防攻击与暴破等等。3、如用Win自带的FTP，请将FTP所用的 User加上强状的口令，并配合NTFS的ACLs对FTP站点目录进行严格控制..."(详细细节情况请参相关资料，这里不再详述)如无FTP服务器则略过此项..）

九、其它三方安全："1、尽量少在服务器上安装不必要的一些三方软件。2、确保服务器上的所有三方软件的安全，及时更新并升级...3、确保经常远程连接服务器的个人电脑的安全。4、确保机房的网络运行环境的安全。5、如非必要一定不要在服务器上开网页，上QQ之类；最好是封避服务器的对外连接。6、尽量不要在服务器上运行不明的程序、服务器不是测试机。6、如果您对服务器的安全没底的话，还是最好安装个不错的防毒系统并及时更新病毒库；以及加上防火墙并设置好安全规则。 "

十、安全数据备份与安全制度:"建立起良好的服务器数据备份机制，确保发生不测时能第一时间进行灾难恢复。以及建立起良好的服务器日常安全维护与安全维护制度、责任落实人头，定期有工作人员对服务器进行查看。"

笔者后记：在这里为大家简单介绍的是笔者在进行服务器安全检查时所注意的常规安全要素。在下一篇中将为大家陆续的推出系列的服务器安全、网络安全、电子信息安全解决方案的文章...其实服务器的安全是个整体的概念；远远不止这些,有可能你在应用安全策略时有一小点的疏忽就可以让你的网站、甚至整个服务器沦陷。因此安全策略必需走防患未然、把危险与隐患消灭在萌芽状态的宗旨，任何一个小地方都不能马虎、今天关于“服务器安全检查十大要素”就为大家介绍到这里...

其它方面的服务器安全经验让我们在下一篇文章中再共同分享吧:-) (注：由于本人才疏学浅，如文中有错误实为在所难免，还请各位看官见谅!旨在抛砖引玉，如果您对本文有任何意见，请别忘了在论坛跟贴^0^,先行谢过!)

关于本文版权：本文版权归服务器安全研究专家小组与服务器安全讨论区共同所有，您可以任意转载，但务必请保留文章的完整性以及来源与作者信息；请珍惜别人的知识版权！

关于本文作者： 李泊林/LeeBolin 资深系统工程师、专业网络安全顾问。已成功为国内多家大中型企业，ISP服务商提供了完整的网络安全解决方案。尤其擅长于整体网络安全方案的设计、大型网络工程的策划、以及提供完整的各种服务器系列安全整体解决方案。联系方式:E-mail:boli.lee#Gmail.com (换#为@) QQ:24460394 您对本文有任何问题可以来信、QQ在线或者到服安论坛与作者进行交流。