Web服务器安全设置,仍然是IT部门最关心的问题之一,因为最近频发的网络攻击已被证明。Web服务器安全方面一直重视程度不够,是各种网站经常被黑的主要原因。下面笔者总结了一下关于怎样保证Web服务器安全的措施,希望能给那些服务器尚存在漏洞的用户提供一些帮助。
本文主要以Windows server 操作系统的服务器作为目标对象,因基于IIS的Web网站服务器较多,由于存在托管敏感数据,Web服务器是一个组织中最容易被黑客针对攻击的地方,受攻击情况较严重。互联数据的专业web服务器从业人员在此,分享一些这个行业的信息给你,希望能够帮助到你抉择。
目前很少有公司请专门的安全工程师,在WEB这个行业很特殊,目前至少大部分中小互联网公司都不会考虑提供一个专门的关于安全的岗位,为什么会出现这种现象,因为安全这块技术需求多,大部分服务器都是LINUX的,所以需要了解Linux系统方面的知识、网络基础方面、TCP协议底层方面、各种工具原理方面等等,就拿一个非常著名的DDOS攻击,估计都让很多人都疼。
将安全委托给第三方我们购买阿里云、腾讯云的服务器时,会发现这些服务器都会提供各种各样的安全保障,这也得到了很多企业的认可,毕竟大公司嘛,做安全肯定不是一个人,肯定是很多很多人在做,这或许是很多互联网公司不设这个岗位的最大原因。
一些后端程序员身兼安全员,除了上面的两个原因,还有一个原因就是,很多后端程序员在安全方面还是有很多解决办法的,所以他们除了充当程序员,也充当安全员。
web服务器安全分类:
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.账户安全的管理权限和特权
把管理员adminstrator用户改名,启用密码安全策略,保证密码长度,启用密码锁定策略,防止暴力破解,创建新的用户,加入到administrators组,防止唯一的管理员用户被锁,停用guest用户。
3.停止不需要的服务,关闭不必要的端口、模块和应用扩展
Facebook官网被黑,Web服务器安全我们承受不起
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
web服务器购买链接: