This topic created in 1821 days ago, the information mentioned may be changed or developed.
公司有几台 Windows 操作系统的服务器,之前出现过中毒、删库的情况,管理太混乱,连是谁搞出来的问题都不知道。我临危受命,现在要搞一个服务器的管理制度出来,但是之前没有太接触这一块,希望大家帮我看看怎么弄。
目前的情况是:
1 、我们有一个软件服务商,他们都使用一个远程工具连接我们的服务器,而且这个工具在我们服务器上没有任何日志记录,也就是说是谁什么时间连进来我们也不知道。据说他们那边有日志,但是我们没有。
2 、服务器上装的东西太乱,360 浏览器各种广告横飞,查询资料直接在服务器上查询,各种下载...
3 、U 盘什么的随意使用,也没有专门使用的盘。
4 、数据库有公网端口,有时候服务商直接远程连接数据库。
请问怎样做才能比较安全呢,至少不会中毒删库跑路也不知道谁干的,可以做到责任可追查,日志记录完善。
9 replies • 2021-05-26 15:49:46 +08:00
 |
|
2
barrysn May 26, 2021  2
1. 先禁用高权限用户直接登录,只用普通用户登录,高权限操作需要申请
2. 设置审计用户,记录用户做的所有操作
3. 启用堡垒机,所有人必须通过堡垒机登录服务器,堡垒机也开审计
4. 定期更换服务器密码
5. 定期漏扫
6. 数据库业务用户设置 select,update,delete,insert 足够了,
7. 可以考虑开启 VPN,所有了解服务器的操作需要登录 vpn 后 才可以访问
目前就想到这么多
|
 |
|
3
Routeros May 26, 2021 1
1 、所谓服务商,连接过来的无非也是“个人”而已;所以建议堡垒机。可以就用开源的,能力不行就花钱。有 3A 审计功能。
2 、装的东西乱说明管理不善,用的人多,谁都知道密码。建议密码由一个人保存,达到责任落实到个人。
3 、U 盘是万万不能瞎逼插的,公 A 网、交警网络都有这个问题。建议你用专门的杀毒软件封锁 U 盘端口。或者直接物理锁。
4 、数据库公网端口?这个端口就不该出现,数据库就不该有这个。老老实实待在“后置区”,如果必须要公网, 说明这个系统真的垃圾!
|
 |
|
4
Dragonish3600 May 26, 2021
最简单的,
1. 公司搞一个 Linux 机器当 jump host,从外网只能通过 ssh 连进来。需要连内网服务器就用端口转发连。这样 linux 就有登录日志。
2.所有服务器加入域,然后使用组策略开启审核和禁用 U 盘
3. 所有用户不给 adm 权限
|
 |
|
5
willis May 26, 2021
简单解决方案 招个运维,权限都回收,有操作向运维申请
楼上几个说的都不错,我在补充一下想到的:
1. windows 服务器补丁要定时打,普通用户能提权到 root 的也很多
2. 有域控的话,用域策略或企业级的杀毒软件控制软件安装权限和一些敏感操作。把普通用户权限降到最低
3. zabbix 之类的做好流量和性能监控
4. 用开源堡垒机或者付费堡垒机审计,规范订出来之后,发现异常先先杀鸡儆猴
|
 |
|
6
dko May 26, 2021
jumpserver 了解一下,免费版的功能够你用了
|
 |
|
8
zhjits May 26, 2021
首先你得有域控,禁用本地账号,保证所有用户必须是域用户。关一下 NTLM 以及常见的别的不安全协议。
然后就方便了,GPO 限制一下用户权限,HVCI 全部设置成强制模式,只允许 MS 签名的程序和你的业务程序运行。
数据库这种东西当然是至少得进了堡垒机才能访问的啦……防火墙上干掉所有非必要的端口转发。(啥,你服务器直接连的公网,那当我没说)
至于监控,日志收集,这些慢慢搞起来就好了。
|
 |
|
9
alvinbone88 May 26, 2021
既然楼上说要关 NTLM,那我提醒一下 windows 的一个坑
windows 下不能关闭 NTLM 的同时开启 NLA,不然远程连不上
|
Select Language