一、入侵檢測和資料備份
(一)入侵檢測工作
作為伺服器的日常管理,入侵檢測是一項非常重要的工作,在平常的檢測過程中,主要包含日常的伺服器安全例行檢查和遭到入侵時的入侵檢查,也就是分為在入侵進行時的安全檢查和在入侵前後的安全檢查。系統的安全性遵循木桶原理,木桶原理指的是:一個木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那麼這個木桶的最大容量不取決於長的木板,而取決於最短的那塊木板。應用到安全方面也就是說系統的安全性取決於系統中最脆弱的地方,這些地方是日常的安全檢測的重點所在。
日常的安全檢測
日常安全檢測主要針對系統的安全性,工作主要按照以下步驟進行:
1、檢視伺服器狀態 開啟程序管理器,檢視伺服器效能,觀察CPU和記憶體使用狀況。檢視是否有CPU和記憶體佔用過高等異常情況。
2、檢查當前程序情況 切換“工作管理員”到程序,查詢有無可疑的應用程式或後臺程序在執行。用程序管理器檢視程序時裡面會有一項taskmgr,這個是程序管理器自身的程序。如果正在執行windows更新會有一項程序。對於拿不準的程序或者說不知道是伺服器上哪個應用程式開啟的程序,可以在網路上搜索一下該程序名加以確定[程序知識庫]通常的後門如果有程序的話,一般會取一個與系統程序類似的名稱,如,此時要仔細辨別[通常迷惑手段是變字母o為數字0,變字母l為數字1]
3、檢查系統帳號 開啟計算機管理,展開本地使用者和組選項,檢視組選項,檢視administrators組是否新增有新帳號,檢查是否有克隆帳號。
4、檢視當前埠開放情況 使用activeport,檢視當前的埠連線情況,尤其是注意與外部連線著的埠情況,看是否有未經允許的埠與外界在通訊。如有,立即關閉該埠並記錄下該埠對應的程式並記錄,將該程式轉移到其他目錄下存放以便後來分析。開啟計算機管理==》軟體環境==》正在執行任務[在此處可以檢視程序管理器中看不到的隱藏程序],檢視當前執行的程式,如果有不明程式,記錄下該程式的位置,開啟工作管理員結束該程序,對於採用了守護程序的後門等程式可嘗試結束程序樹,如仍然無法結束,在登錄檔中搜索該程式名,刪除掉相關鍵值,切換到安全模式下刪除掉相關的程式檔案。
5、檢查系統服務 執行,檢查處於已啟動狀態的服務,檢視是否有新加的未知服務並確定服務的用途。對於不清楚的服務開啟該服務的屬性,檢視該服務所對應的可執行檔案是什麼,如果確定該檔案是系統內的正常使用的檔案,可粗略放過。檢視是否有其他正常開放服務依存在該服務上,如果有,可以粗略的放過。如果無法確定該執行檔案是否是系統內正常檔案並且沒有其他正常開放服務依存在該服務上,可暫時停止掉該服務,然後測試下各種應用是否正常。對於一些後門由於採用了hook系統API技術,新增的服務專案在服務管理器中是無法看到的.,這時需要開啟登錄檔中的HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services項進行查詢,通過檢視各服務的名稱、對應的執行檔案來確定是否是後門、木馬程式等。
6、檢視相關日誌 執行,粗略檢查系統中的相關日誌記錄。在檢視時在對應的日誌記錄上點右鍵選“屬性”,在“篩選器”中設定一個日誌篩選器,只選擇錯誤、警告,檢視日誌的來源和具體描述資訊。對於出現的錯誤如能在伺服器常見故障排除中找到解決辦法則依照該辦法處理該問題,如果無解決辦法則記錄下該問題,詳細記錄下事件來源、ID號和具體描述資訊,以便找到問題解決的辦法。
7、檢查系統檔案 主要檢查系統盤的exe和dll檔案,建議系統安裝完畢之後用dir * /s >將C盤所有的exe檔案列表儲存下來,然後每次檢查的時候再用該命令生成一份當時的列表,用fc比較兩個檔案,同樣如此針對dll檔案做相關檢查。需要注意的是打補丁或者安裝軟體後重新生成一次原始列表。檢查相關係統檔案是否被替換或系統中是否被安裝了木馬後門等惡意程式。必要時可執行一次防毒程式對系統盤進行一次掃描處理。
8、檢查安全策略是否更改 開啟本地連線的屬性,檢視“常規”中是否只勾選了“TCP/IP協議”,開啟“TCP/IP”協議設定,點“高階”==》“選項”,檢視“IP安全機制”是否是設定的IP策略,檢視“TCP/IP”篩選允許的埠有沒有被更改。開啟“管理工具”=》“本地安全策略”,檢視目前使用的IP安全策略是否發生更改。
9、檢查目錄許可權 重點檢視系統目錄和重要的應用程式許可權是否被更改。需要檢視的目錄有c:;c:winnt; C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and Settings;然後再檢查serv-u安裝目錄,檢視這些目錄的許可權是否做過變動。檢查system32下的一些重要檔案是否更改過許可權,包括:cmd,net,ftp,tftp,cacls等檔案。
10、檢查啟動項 主要檢查當前的開機自啟動程式。可以使用AReporter來檢查開機自啟動的程式。
發現入侵時的應對措施
對於即時發現的入侵事件,以下情況針對系統已遭受到破壞情況下的處理,系統未遭受到破壞或暫時無法察覺到破壞,先按照上述的檢查步驟檢查一遍後再酌情考慮以下措施。系統遭受到破壞後應立即採取以下措施: 視情況嚴重決定處理的方式,是通過遠端處理還是通過實地處理。如情況嚴重建議採用實地處理。如採用實地處理,在發現入侵的第一時間通知機房關閉伺服器,待處理人員趕到機房時斷開網線,再進入系統進行檢查。如採用遠端處理,如情況嚴重第一時間停止所有應用服務,更改IP策略為只允許遠端管理埠進行連線然後重新啟動伺服器,重新啟動之後再遠端連線上去進行處理,重啟前先用AReporter檢查開機自啟動的程式。然後再進行安全檢查。 以下處理措施針對使用者站點被入侵但未危及系統的情況,如果使用者要求加強自己站點的安全性,可按如下方式加固使用者站點的安全:
站點根目錄----只給administrator讀取許可權,許可權繼承下去。 wwwroot ------給web使用者讀取、寫入許可權。高階裡面有刪除子資料夾和檔案許可權 logfiles------給system寫入許可權。 database------給web使用者讀取、寫入許可權。高階裡面沒有刪除子資料夾和檔案許可權
如需要進一步修改,可針對使用者站點的特性對於普通檔案存放目錄如html、js、圖片資料夾只給讀取許可權,對asp等指令碼檔案給予上表中的許可權。另外檢視該使用者站點對應的安全日誌,找出漏洞原因,協助使用者修補程式漏洞。
(二)資料備份和資料恢復
資料備份工作大致如下: 1、每月備份一次系統資料。
2、備份系統後的兩週單獨備份一次應用程式資料,主要包括IIS、serv-u、資料庫等資料。
3、確保備份資料的安全,並分類放置這些資料備份。因基本上採用的都是全備份方法,對於資料的保留週期可以只保留該次備份和上次備份資料兩份即可。
資料恢復工作:
1、系統崩潰或遇到其他不可恢復系統正常狀態情況時,先對上次系統備份後發生的一些更改事件如應用程式、安全策略等的設定做好備份,恢復完系統後再恢復這些更改。
2、應用程式等出錯採用最近一次的備份資料恢復相關內容。
二、伺服器效能優化
1、整理系統空間:
刪除系統備份檔案,刪除驅動備份,刪除不用的輸入法,刪除系統的幫助檔案,解除安裝不常用的元件。最小化C盤檔案。
2、效能優化:
刪除多餘的開機自動執行程式; 減少預讀取,減少進度條等待時間; 讓系統自動關閉停止響應的程式; 禁用錯誤報告,但在發生嚴重錯誤時通知; 關閉自動更新,改為手動更新計算機; 啟用硬體和DirectX加速; 禁用關機事件跟蹤; 禁用配置伺服器嚮導; 減少開機磁碟掃描等待時間;
將處理器計劃和記憶體使用都調到應用程式上; 調整虛擬記憶體; 記憶體優化; 修改cpu的二級快取; 修改磁碟快取。
IIS效能優化
1、調整IIS快取記憶體
HKEY_LOCAL_MACHINE SystemCurrentControlSetServicesInetInfoParametersMemoryCacheSize MemoryCacheSize的範圍是從0道4GB,預設值為3072000(3MB)。一般來說此值最小應設為伺服器記憶體的10%。IIS通過快取記憶體系統控制代碼、目錄列表以及其他常用資料的值來提高系統的效能。這個引數指明瞭分配給快取記憶體的記憶體大小。如果該值為0,那就意味著“不進行任何快取記憶體”。在這種情況下系統的效能可能會降低。如果你的伺服器網路通訊繁忙,並且有足夠的記憶體空間,可以考慮增大該值。必須注意的是修改登錄檔後,需要重新啟動才能使新值生效。
2、不要關閉系統服務: “Protected Storage”
3、對訪問流量進行限制
(1)對站點訪問人數進行限制 (2)站點頻寬限制。保持HTTP連線。 (3)程序限制, 輸入CPU的耗用百分比
4、提高IIS的處理效率
應用程式設定”處的“應用程式保護”下拉按鈕,從彈出的下拉列表中,選中“低(IIS程序)”選項,IIS伺服器處理程式的效率可以提高20%左右。但此設定會帶來嚴重的安全問題,不值得推薦。
5、將IIS伺服器設定為獨立的伺服器
(1)提高硬體配置來優化IIS效能 硬碟:硬碟空間被NT和IIS服務以如下兩種方式使用:一種是簡單地儲存資料;另一種是作為虛擬記憶體使用。如果使用Ultra2的SCSI硬碟,可以顯著提高IIS的效能 (2)可以把NT伺服器的頁交換檔案分佈到多個物理磁碟上,注意是多個“物理磁碟”,分佈在多個分割槽上是無效的。另外,不要將頁交換檔案放在與WIndows NT引導區相同的分割槽中 (3)使用磁碟映象或磁碟帶區集可以提高磁碟的讀取效能 (4)最好把所有的資料都儲存在一個單獨的分割槽裡。然後定期執行磁碟碎片整理程式以保證在儲存Web伺服器資料的分割槽中沒有碎片。使用NTFS有助於減少碎片。推薦使用Norton的Speeddisk,可以很快的整理NTFS分割槽。
6、起用HTTP壓縮
HTTP壓縮是在Web伺服器和瀏覽器間傳輸壓縮文字內容的方法。HTTP壓縮採用通用的壓縮演算法如gzip等壓縮HTML、Javas cript或CSS檔案。可使用pipeboost進行設定。
7、起用資源回收
使用IIS5 Recycle定時回收程序資源。