IISWeb服務(wù)器安全加固步驟

1、文檔從互聯(lián)網(wǎng)中收集，已重新修正排版，word格式支持編輯，如有幫助歡迎下載支持。-16 -word格式支持編輯，如有幫助歡迎下載支持。IIS Web服務(wù)器安全加步驟:步驟 安裝和配置 WindowsServer 2003。注意：1. 將v systemrootSystem32cmd.exe轉(zhuǎn)移到其他目錄或更名：2. 系統(tǒng)帳號(hào)盡量少.更改默認(rèn)帳戶名（如Administrator）和描述，密碼盡址復(fù)朵：3. 拒絕通過(guò)網(wǎng)絡(luò)訪問(wèn)該訃算機(jī)（匿名登錄：內(nèi)宜管理員帳戶：Support_388945a0： Guest：所有非操作系統(tǒng)服務(wù)帳戶）4 建議對(duì)一般用戶只給予讀取權(quán)限，而只給管理員和System以完全控

2、制權(quán)限.但這樣做有可能使某些正常的腳木程序不能執(zhí)行.或者某些需要寫的 操作不能完成，這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改.建議在做更改前先在測(cè)試機(jī)器上作測(cè)試.然后慎重更改。5. NTFS文件權(quán)限設(shè)定（注總:文件的權(quán)限優(yōu)先級(jí)別比文件夾的權(quán)限商）：文件類型建議的NTFS權(quán)限CGI 文件(.exe、dll、.cmd、pl)腳本文件(asp)包含文件(inc.shtm、.shtml)靜態(tài)內(nèi)容(.txtx .gifjpg、htm. html)Every one （執(zhí)行）Administrators （完全控制）System （完全控制）6禁止C$. D$類的缺省共宇HKEY_LOCAL_MACHI

3、NESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer % REG_DWORD、0x07.禁止ADMINS缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareWksx REG_DW0RD、 0x0& 限制甜。$缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonTnous REG_DW0RD 0x0 缺省0x1匿名

4、用戶無(wú)法列舉木機(jī)用戶列表0x2匿名用戶無(wú)法連接木機(jī)IPC$共孚說(shuō)明:不建議使用2,否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng).如SQL Server9. 僅給用戶真正需要的權(quán)限.權(quán)限的最小化原則是安全的重要保障10. 在木地安全策略-審核策略中打開(kāi)相應(yīng)的審核，推薦的審核是：賬戶管理成功失敗登錄爭(zhēng)件成功失敗對(duì)象訪問(wèn)失敗策略見(jiàn)改成功失敗特權(quán)使用失敗系統(tǒng)爭(zhēng)件成功失敗目錄服務(wù)訪問(wèn)失敗賬戶登錄爭(zhēng)件成功失敗審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍：審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根木沒(méi)空去看.這樣就失去了審 核的總義。與之相關(guān)的是：在賬戶策略密碼策略中設(shè)定：密碼復(fù)雜性要求啟用密碼長(zhǎng)度最小值

5、6位強(qiáng)制密碼歷史5次最長(zhǎng)存留期30天在賬戶策略- 賬戶鎖定策略中設(shè)定：賬戶鎖定3次錯(cuò)誤登錄鎖定時(shí)間20分鐘復(fù)位鎖定計(jì)數(shù)20分鐘11. 在Terminal Service Configration （遠(yuǎn)程服務(wù)配迓）-權(quán)限-高級(jí)中配宜安全審孩，一般來(lái)說(shuō)只要記錄登錄、注銷爭(zhēng)件就可以C12. 解除NetBios與TCP/IP協(xié)議的綁定控制而版網(wǎng)絡(luò)綁定NetBios接口禁用2000：控制而版網(wǎng)絡(luò)和撥號(hào)連接木地網(wǎng)絡(luò)屈性TCP/IP屬性商級(jí) WINS禁用TCP/IP上的NETBIOS13. 在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選，僅開(kāi)放必要的端口 （如80）14. 通過(guò)更改注冊(cè)表 Local_Machine

6、SystemCurrentControlSetControlLSA-RestrictAnonymous = 1 來(lái)禁止 139 空連接15. 修改數(shù)據(jù)包的生存時(shí)間（TTL）值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG.DWORD 0-0xff（0-255 十進(jìn)制，默認(rèn)值 128）防止SYN洪水攻擊HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect REG_DWORD 0/2

7、（默認(rèn)值為 0x0）17. 禁止響應(yīng)ICMP路由通告報(bào)文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterfacePerformRouterDiscovery REG_DWORD 0x0（默認(rèn)值為 0x2）18. 防止ICMP重定向報(bào)文的攻擊HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnablelCMPRedirects REG.DWORD 0x0（默認(rèn)值為 OxD19. 不支持IGMP協(xié)議HKEY_L

8、OCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersIGNfPLevel REG.DWORD 0x0 （默認(rèn)值為 0x2）20. 設(shè)Sarp緩存老化時(shí)間設(shè)宜HKEY-LOCAL_MACHINESYSTEMCurrentControlSetServices：TcpipParametersArpCacheLife REG_DWORD O-OxFFFFFFFF （秒數(shù)，默認(rèn)值為 120 秒）ArpCacheMinReferencedLife REG.DWORD O-OxFFFFFFFF （秒數(shù)，默認(rèn)值為 600）21. 禁止死網(wǎng)關(guān)監(jiān)測(cè)技

9、術(shù)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParametersEnableDeadGWDetect REG.DWORD 0x0（默認(rèn)值為 oxi）22. 不支持路由功能HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParametersIPEnableRouter REG.DWORD 0x0（默認(rèn)值為 0x0）安裝和配置IIS服務(wù)：1. 僅安裝必要的IIS組件。（禁用不需要的如FTP和SMTP服務(wù)）2. 僅啟用必婆的服務(wù)和Web Service擴(kuò)展，推薦配置：UI

10、中的組件名稱設(shè)置設(shè)置邏輯后臺(tái)智能傳輸服務(wù)（BITS）服務(wù)器擴(kuò)展啟用BITS是Windowsupdates和自動(dòng)更新所使用的后臺(tái)文件傳輸機(jī)制。如果使 用 Windows Updates或自動(dòng)更新在IIS服務(wù)器中自動(dòng)應(yīng)用Service Pack 和熱修補(bǔ)程序則必須有該組件。公用文件啟用IIS需要這些文件，一定要在IIS服務(wù)器中啟用它們。文件傳輸協(xié)議（FTP）服務(wù)禁用允許IIS服務(wù)湍提供FTP服務(wù)。專用IIS服務(wù)器不需要該服務(wù)。FrontPage 2002 Server Extensions禁用為管理和發(fā)布Web站點(diǎn)提供Frontpage支持。如果沒(méi)有使用Frontpage擴(kuò) 展的Web站點(diǎn)，請(qǐng)?jiān)趯?/p>

11、用IIS服務(wù)湍中禁用該組件。Internet信息服務(wù)管理器啟用IIS的管理界而。Internet 打印禁用提供基于Web的打卬機(jī)管理，允許通過(guò)HTTP共宇打印機(jī)。專用IIS服務(wù)器不需要該組件。NNTP服務(wù)禁用在Internet中分發(fā)、查詢、檢索和投遞Usenet新聞文章。專用IIS服務(wù)器 不需要該組件。SMTP服務(wù)禁用支持傳輸電子郵件。專用IIS服務(wù)器不需要該組件。萬(wàn)維網(wǎng)服務(wù)啟用為客戶端提供Web服務(wù).靜態(tài)和動(dòng)態(tài)內(nèi)容。專用IIS服務(wù)器需要該組件。萬(wàn)維網(wǎng)服務(wù)子組件UI中的組件 名稱安裝選項(xiàng)設(shè)置邏輯ActiveServer Page啟用提供ASP支持。如果IIS服務(wù)器中的Web站點(diǎn)和應(yīng)用程序都不使

12、用ASP.請(qǐng)禁用該組件：或使用Web服務(wù)擴(kuò)展禁用它。Internet 數(shù)據(jù)連接器禁用通過(guò)擴(kuò)展名為.ide的文件提供動(dòng)態(tài)內(nèi)容支持。如果IIS服務(wù)器中的Web站點(diǎn)和應(yīng)用程序都不包 括idc擴(kuò)展文件，請(qǐng)禁用該組件：或使用Web服務(wù)擴(kuò)展禁用它。遠(yuǎn)程管理(HTML)禁用提供管理IIS的HTML界而。改用IIS管理器可使管理更容易并減少了 IIS服務(wù)器的攻擊面。專用 IIS服務(wù)器不需要該功能。遠(yuǎn)程桌面Web連接禁用包括了管理終端服務(wù)客戶端連接的Microsoft ActiveX控件和范例貞而。改用IIS管理器可使管理更 容易，并減少了 IIS服務(wù)器的攻擊面。專用IIS服務(wù)器不需雯該組件。服務(wù)湍端包括禁用提

13、供.shtm. .shtml和.stm文件的支持。如果在IIS服務(wù)器中運(yùn)行的Web站點(diǎn)和應(yīng)用程序都不使用上述擴(kuò)展的包括文件，請(qǐng)禁用該組件。WebDAV禁用WebDAV擴(kuò)展了 HTTP/1.1協(xié)議,允許客戶端發(fā)布.鎖定和管理Web中的資源。專用IIS服務(wù)器禁用該組件：或使用Web服務(wù)擴(kuò)展禁用該組件。萬(wàn)維網(wǎng)服務(wù)啟用為客戶端提供Web服務(wù).靜態(tài)和動(dòng)態(tài)內(nèi)容。專用IIS服務(wù)器需要該組件3. 將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開(kāi)，保存在專用磁盤空間內(nèi)。4. 在IIS管理器中刪除必須之外的任何沒(méi)有用到的映射（保留asp等必要映射即可）5. 在IIS中將HTTP401 Object Not Found出錯(cuò)貞面通過(guò)

14、URL重定向到一個(gè)定制HTM文件6. Web站點(diǎn)權(quán)限設(shè)定（建議）Web站點(diǎn)權(quán)限：授予的權(quán)限：讀允許寫不允許腳本源訪問(wèn)不允許目錄瀏覽建議關(guān)閉日志訪問(wèn)建議關(guān)閉索引資源建議關(guān)閉執(zhí)行推薦選擇 僅限于腳木7. 建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法.URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審査日志。（最好不要使用缺省的目錄，建議更換一個(gè)記日總的路徑同時(shí)設(shè)置日吉的訪問(wèn)權(quán)限，只允許管理員和system為Full Control） & 程序安全：1）涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn).涉及到與數(shù)據(jù)庫(kù)連接地用戶名與口令應(yīng)給予最小的

15、權(quán)限；2）需要經(jīng)過(guò)驗(yàn)證的ASP頁(yè)血.可跟蹤上一個(gè)貞面的文件名.只有從上一貞面轉(zhuǎn)進(jìn)來(lái)的會(huì)話才能讀取這個(gè)貞面。3）防止ASP主頁(yè)nc文件泄露問(wèn)題;口安全更新?？诎惭b和配置防病毒保護(hù)。4）防止UE等編輯器生成some. asp. bak文件泄露問(wèn)題。應(yīng)用所需的所有Service Pack和定期于動(dòng)更新補(bǔ)丁。推薦NAV8.1以上版木病毒防火增（配宜為至少每周自動(dòng)升級(jí)一次。 安裝和配置防火墻保護(hù)。推薦最新版BlackICE Server Protection防火墻（配置簡(jiǎn)單，比較實(shí)用）口監(jiān)視解決方案。根據(jù)要求安裝和配置MOM代理或類似的監(jiān)視解決方案?？诩訌?qiáng)數(shù)據(jù)備份。Web數(shù)據(jù)定時(shí)做備份.保證在出現(xiàn)問(wèn)題后

16、可以恢復(fù)到最近的狀態(tài)?？诳蓟?shí)施IPSec篩選器。用ipsec過(guò)濾容阻斷端口Internet協(xié)議安全性（IPSec）過(guò)濾器可為増強(qiáng)服務(wù)器所需要的安全級(jí)別提供有效的方法。木指南推薦在抬南中定義的高安全性壞境中使用該選項(xiàng).以便進(jìn)一步減少服務(wù)器的受攻擊面C有關(guān)使用IPSec過(guò)濾器的詳細(xì)信息請(qǐng)參閱模塊其他成員服務(wù)湍強(qiáng)化過(guò)程。服務(wù)協(xié)議源端口目標(biāo)端口源地址目標(biāo)地址操作鏡像Terminal ServicesTCP所有3389所有ME允許是HTTP ServerTCP所有80所有ME允許是HTTPS ServerTCP所有443所有ME允許是下表列出在木指南定義的島級(jí)安全性環(huán)境下可在IIS服務(wù)器上創(chuàng)建的所有I

17、PSec過(guò)濾器。在實(shí)施上表所列舉的規(guī)則時(shí).應(yīng)*對(duì)它們都進(jìn)行鏡像處埋這樣可以確保任何進(jìn)入服務(wù)器的網(wǎng)絡(luò)通信也可以返回到源服務(wù)器。SQL服務(wù)器安全加步驟說(shuō)明MDAC升級(jí)安裝最新的 MDAC (/ down load, ht m)密碼策略由于SQL Server不能更改sa用戶名稱,也不能刪除這個(gè)超級(jí)用戶，所以.我們必須對(duì)這個(gè) 帳號(hào)進(jìn)行最強(qiáng)的保護(hù).、“1然.包括使用一個(gè)非常強(qiáng)壯的密碼，載好不要在數(shù)據(jù)庫(kù)應(yīng)用中使用 sa帳號(hào)。新建立一個(gè)擁有與sa樣權(quán)限的超級(jí)用戶來(lái)管理數(shù)據(jù)庫(kù)。同時(shí)養(yǎng)成定期修改密碼 的好習(xí)慣。數(shù)據(jù)庫(kù)管理員應(yīng)該定期査看是否有不符合密碼要求的帳號(hào)。比如使用下面的SQL 語(yǔ)句：Use master

18、Select name.Password from syslogins where password is null數(shù)據(jù)庫(kù)日志的記核數(shù)據(jù)庫(kù)登錄事件的“失敗和成功”.在實(shí)例屬性中選擇“安全性”，將其中的審核級(jí)別選定錄為全部.這樣在數(shù)據(jù)庫(kù)系統(tǒng)和操作系統(tǒng)日吉里面.就詳細(xì)記錄了所有帳號(hào)的登錄爭(zhēng)件。管理擴(kuò)展存儲(chǔ)過(guò)xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑是數(shù)據(jù)庫(kù)留給操作系統(tǒng)的一個(gè)大后門。請(qǐng)把它程去掉。使用這個(gè)SQL語(yǔ)句：use mastersp_dropextendedproc xp_cmdshe如果你需要這個(gè)存儲(chǔ)過(guò)程，請(qǐng)用這個(gè)語(yǔ)句也可以恢復(fù)過(guò)來(lái)。sp_addextendedproc xp_cmds

19、hell； xpsql70dOLE自動(dòng)存儲(chǔ)過(guò)程（會(huì)造成管理器中的某些特征不能使用）.這些過(guò)程包括如下（不需要可 以全部去掉：Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo S p_O AGe t Pro pe rtySp_OAMethod Sp.OASetProperty Sp_OAStop去掉不需要的注冊(cè)表訪問(wèn)的存儲(chǔ)過(guò)程.注冊(cè)表存儲(chǔ)過(guò)程甚至能夠讀出操作系統(tǒng)管理員的密碼 來(lái)，如下：Xp_regaddmultistri ngXp_regdeletekeyXp_regdeletevalue Xp_regenumvaluesXpregreadXp_regremovemultistringXp_regwrite防TCP/IP端口探在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏SQLServer實(shí)例。測(cè)請(qǐng)?jiān)谏弦徊脚湟说幕A(chǔ)上，更改原默認(rèn)的1433端口。在IPSec過(guò)濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQLServer。對(duì)網(wǎng)絡(luò)連接進(jìn)行使用操作系統(tǒng)自己的IPScc可以實(shí)現(xiàn)IP數(shù)據(jù)包