IIS Web服務(wù)器安全加固步驟:
步驟 安裝和配置 Windows Server 2003。
注意:
1.將\System32\cmd.exe轉(zhuǎn)移到其他目錄或更名����;
2.系統(tǒng)帳號(hào)盡量少,更改默認(rèn)帳戶名(如Administrator)和描述��,密碼盡量復(fù)雜���;
3.拒絕通過(guò)網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)(匿名登錄���;內(nèi)置管理員帳戶�;Support_388945a0;Guest�;所有非操作系統(tǒng)服務(wù)帳戶)
4.建議對(duì)一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限��,但這樣做有可能使某些正常的腳本程序不能執(zhí)行��,或者某些需要寫(xiě)的操作不能完成�����,這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改�,建議在做更改前先在測(cè)試機(jī)器上作測(cè)試,然后慎重更改��。
5.NTFS文件權(quán)限設(shè)定(注意文件的權(quán)限優(yōu)先級(jí)別比文件夾的權(quán)限高):
6.禁止C$、D$一類的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer�、REG_DWORD、0x0
7.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks��、REG_DWORD��、0x0
8.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用戶無(wú)法列舉本機(jī)用戶列表
0x2 匿名用戶無(wú)法連接本機(jī)IPC$共享
說(shuō)明:不建議使用2�,否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng),如SQL Server
9.僅給用戶真正需要的權(quán)限����,權(quán)限的最小化原則是安全的重要保障
10.在本地安全策略->審核策略中打開(kāi)相應(yīng)的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對(duì)象訪問(wèn) 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問(wèn) 失敗
賬戶登錄事件 成功 失敗
審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍���;審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看��,這樣就失去了審核的意義��。 與之相關(guān)的是:
在賬戶策略->密碼策略中設(shè)定:
密碼復(fù)雜性要求 啟用
密碼長(zhǎng)度最小值 6位
強(qiáng)制密碼歷史 5次
最長(zhǎng)存留期 30天
在賬戶策略->賬戶鎖定策略中設(shè)定:
賬戶鎖定 3次錯(cuò)誤登錄
鎖定時(shí)間 20分鐘
復(fù)位鎖定計(jì)數(shù) 20分鐘
11.在Terminal Service Configration(遠(yuǎn)程服務(wù)配置)-權(quán)限-高級(jí)中配置安全審核����,一般來(lái)說(shuō)只要記錄登錄�、注銷(xiāo)事件就可以了。
12.解除NetBios與TCP/IP協(xié)議的綁定
控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用 2000:控制面版——網(wǎng)絡(luò)和撥號(hào)連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級(jí)——WINS——禁用TCP/IP上的NETBIOS
13.在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選,僅開(kāi)放必要的端口(如80)
14.通過(guò)更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止139空連接
15.修改數(shù)據(jù)包的生存時(shí)間(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)
16.防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默認(rèn)值為0x0)
17.禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默認(rèn)值為0x2)
18.防止ICMP重定向報(bào)文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默認(rèn)值為0x1)
19.不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默認(rèn)值為0x2)
20.設(shè)置arp緩存老化時(shí)間設(shè)置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認(rèn)值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認(rèn)值為600)
21.禁止死網(wǎng)關(guān)監(jiān)測(cè)技術(shù)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默認(rèn)值為ox1)
22.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默認(rèn)值為0x0)
安裝和配置 IIS 服務(wù):
1.僅安裝必要的 IIS 組件�����。(禁用不需要的如FTP 和 SMTP 服務(wù))
2.僅啟用必要的服務(wù)和 Web Service 擴(kuò)展�,推薦配置:
萬(wàn)維網(wǎng)服務(wù)子組件
3.將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤(pán)分開(kāi),保存在專用磁盤(pán)空間內(nèi)����。
4.在IIS管理器中刪除必須之外的任何沒(méi)有用到的映射(保留asp等必要映射即可)
5.在IIS中將HTTP404 Object Not Found出錯(cuò)頁(yè)面通過(guò)URL重定向到一個(gè)定制HTM文件
6.Web站點(diǎn)權(quán)限設(shè)定(建議)
7. 建議使用W3C擴(kuò)充日志文件格式,每天記錄客戶IP地址�,用戶名,服務(wù)器端口���,方法,URI字根����,HTTP狀態(tài),用戶代理���,而且每天均要審查日志����。(最好不要使用缺省的目錄,建議更換一個(gè)記日志的路徑��,同時(shí)設(shè)置日志的訪問(wèn)權(quán)限���,只允許管理員和system為Full Control)��。
8.程序安全:
1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端�����,盡量少的在ASP文件里出現(xiàn)��,涉及到與數(shù)據(jù)庫(kù)連接地用戶名與口令應(yīng)給予最小的權(quán)限;
2) 需要經(jīng)過(guò)驗(yàn)證的ASP頁(yè)面���,可跟蹤上一個(gè)頁(yè)面的文件名,只有從上一頁(yè)面轉(zhuǎn)進(jìn)來(lái)的會(huì)話才能讀取這個(gè)頁(yè)面���。
3) 防止ASP主頁(yè).inc文件泄露問(wèn)題;
4) 防止UE等編輯器生成some.asp.bak文件泄露問(wèn)題����。
安全更新����。應(yīng)用所需的所有 Service Pack 和 定期手動(dòng)更新補(bǔ)丁。
安裝和配置防病毒保護(hù)。推薦NAV 8.1以上版本病毒防火墻(配置為至少每周自動(dòng)升級(jí)一次)��。
安裝和配置防火墻保護(hù)�。推薦最新版BlackICE Server Protection防火墻(配置簡(jiǎn)單,比較實(shí)用)
監(jiān)視解決方案���。根據(jù)要求安裝和配置 MOM代理或類似的監(jiān)視解決方案��。
加強(qiáng)數(shù)據(jù)備份�����。Web數(shù)據(jù)定時(shí)做備份�,保證在出現(xiàn)問(wèn)題后可以恢復(fù)到最近的狀態(tài)���。
考慮實(shí)施 IPSec 篩選器�。用 IPSec 過(guò)濾器阻斷端口
Internet 協(xié)議安全性 (IPSec) 過(guò)濾器可為增強(qiáng)服務(wù)器所需要的安全級(jí)別提供有效的方法�����。本指南推薦在指南中定義的高安全性環(huán)境中使用該選項(xiàng)�,以便進(jìn)一步減少服務(wù)器的受攻擊面���。
有關(guān)使用 IPSec 過(guò)濾器的詳細(xì)信息�,請(qǐng)參閱模塊其他成員服務(wù)器強(qiáng)化過(guò)程。
下表列出在本指南定義的高級(jí)安全性環(huán)境下可在 IIS 服務(wù)器上創(chuàng)建的所有 IPSec 過(guò)濾器�����。
在實(shí)施上表所列舉的規(guī)則時(shí)�����,應(yīng)當(dāng)對(duì)它們都進(jìn)行鏡像處理���。這樣可以確保任何進(jìn)入服務(wù)器的網(wǎng)絡(luò)通信也可以返回到源服務(wù)器�����。
SQL服務(wù)器安全加固
附:Win2003系統(tǒng)建議禁用服務(wù)列表
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
