求一个服务器安全管理规范制度

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

请不要在回答技术问题时复制粘贴 AI 生成的内容

这是一个创建于 1668 天前的主题，其中的信息可能已经有所发展或是发生改变。

公司有几台 Windows 操作系统的服务器，之前出现过中毒、删库的情况，管理太混乱，连是谁搞出来的问题都不知道。我临危受命，现在要搞一个服务器的管理制度出来，但是之前没有太接触这一块，希望大家帮我看看怎么弄。

目前的情况是：
1 、我们有一个软件服务商，他们都使用一个远程工具连接我们的服务器，而且这个工具在我们服务器上没有任何日志记录，也就是说是谁什么时间连进来我们也不知道。据说他们那边有日志，但是我们没有。
2 、服务器上装的东西太乱，360 浏览器各种广告横飞，查询资料直接在服务器上查询，各种下载...
3 、U 盘什么的随意使用，也没有专门使用的盘。
4 、数据库有公网端口，有时候服务商直接远程连接数据库。

请问怎样做才能比较安全呢，至少不会中毒删库跑路也不知道谁干的，可以做到责任可追查，日志记录完善。

服务器

日志

中毒

服务商

9 条回复 2021-05-26 15:49:46 +08:00

bpf2049

2021-05-26 09:49:44 +08:00

堡垒机

barrysn

2021-05-26 09:54:07 +08:00

1. 先禁用高权限用户直接登录，只用普通用户登录，高权限操作需要申请
2. 设置审计用户，记录用户做的所有操作
3. 启用堡垒机，所有人必须通过堡垒机登录服务器，堡垒机也开审计
4. 定期更换服务器密码
5. 定期漏扫
6. 数据库业务用户设置 select,update,delete,insert 足够了，
7. 可以考虑开启 VPN，所有了解服务器的操作需要登录 vpn 后才可以访问
目前就想到这么多

Routeros

2021-05-26 09:56:02 +08:00

1 、所谓服务商，连接过来的无非也是“个人”而已；所以建议堡垒机。可以就用开源的，能力不行就花钱。有 3A 审计功能。
2 、装的东西乱说明管理不善，用的人多，谁都知道密码。建议密码由一个人保存，达到责任落实到个人。
3 、U 盘是万万不能瞎逼插的，公 A 网、交警网络都有这个问题。建议你用专门的杀毒软件封锁 U 盘端口。或者直接物理锁。
4 、数据库公网端口？这个端口就不该出现，数据库就不该有这个。老老实实待在“后置区”，如果必须要公网，说明这个系统真的垃圾！

Dragonish3600

2021-05-26 10:08:38 +08:00

最简单的，
1. 公司搞一个 Linux 机器当 jump host，从外网只能通过 ssh 连进来。需要连内网服务器就用端口转发连。这样 linux 就有登录日志。
2.所有服务器加入域，然后使用组策略开启审核和禁用 U 盘
3. 所有用户不给 adm 权限

willis

2021-05-26 10:27:20 +08:00

简单解决方案招个运维，权限都回收，有操作向运维申请

楼上几个说的都不错，我在补充一下想到的：
1. windows 服务器补丁要定时打，普通用户能提权到 root 的也很多
2. 有域控的话，用域策略或企业级的杀毒软件控制软件安装权限和一些敏感操作。把普通用户权限降到最低
3. zabbix 之类的做好流量和性能监控
4. 用开源堡垒机或者付费堡垒机审计，规范订出来之后，发现异常先先杀鸡儆猴

dko

2021-05-26 10:46:54 +08:00

jumpserver 了解一下，免费版的功能够你用了

freecloud

2021-05-26 10:50:02 +08:00

堡垒机，等保服务。有需要，可以联系我。

zhjits

2021-05-26 12:20:52 +08:00

首先你得有域控，禁用本地账号，保证所有用户必须是域用户。关一下 NTLM 以及常见的别的不安全协议。
然后就方便了，GPO 限制一下用户权限，HVCI 全部设置成强制模式，只允许 MS 签名的程序和你的业务程序运行。
数据库这种东西当然是至少得进了堡垒机才能访问的啦……防火墙上干掉所有非必要的端口转发。（啥，你服务器直接连的公网，那当我没说）
至于监控，日志收集，这些慢慢搞起来就好了。

alvinbone88

2021-05-26 15:49:46 +08:00

既然楼上说要关 NTLM，那我提醒一下 windows 的一个坑
windows 下不能关闭 NTLM 的同时开启 NLA，不然远程连不上