IISWeb服務(wù)器安全加固步驟

文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .IISWeb服務(wù)器安全加固步驟 ：步驟注意：安裝和配置Windows1.將<systemroot>\System32\cmd.exe轉(zhuǎn)移到其他目錄或更名；Server2003。2.系統(tǒng)帳號(hào)盡量少，更改默認(rèn)帳戶(hù)名（如Administrator）和描述，密碼盡量復(fù)雜；3.拒絕通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)該計(jì)算機(jī)（匿名登錄；內(nèi)置管理員帳戶(hù)；Support_388945a0；Guest；所有非操作系統(tǒng)服務(wù)帳戶(hù)）4.建議對(duì)一般用戶(hù)只給予讀取權(quán)限，而只給管理員和System以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫(xiě)的操作不能完成，這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改，建議在做更改前先在測(cè)試機(jī)器上作測(cè)試，然后慎重更改 。NTFS文件權(quán)限設(shè)定（注意文件的權(quán)限優(yōu)先級(jí)別比文件夾的權(quán)限高）：文件類(lèi)型建議的NTFS權(quán)限CGI文件（.exe、.dll、.cmd、.pl）Everyone（執(zhí)行）腳本文件(.asp)Administrators（完全控制）包含文件（.inc、.shtm、.shtml）System（完全控制）靜態(tài)內(nèi)容（.txt、.gif、.jpg、.htm、.html）禁止C$、D$一類(lèi)的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareServer、REG_DWORD、0x0禁止ADMIN$缺省共享-1-文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersAutoShareWks、REG_DWORD、0x0限制IPC$缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsarestrictanonymousREG_DWORD0x0 缺省0x1匿名用戶(hù)無(wú)法列舉本機(jī)用戶(hù)列表0x2匿名用戶(hù)無(wú)法連接本機(jī) IPC$共享說(shuō)明:不建議使用 2，否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng)，如 SQLServer僅給用戶(hù)真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障在本地安全策略->審核策略中打開(kāi)相應(yīng)的審核，推薦的審核是：賬戶(hù)管理成功失敗登錄事件成功失敗對(duì)象訪(fǎng)問(wèn)失敗策略更改成功失敗特權(quán)使用失敗系統(tǒng)事件成功失敗目錄服務(wù)訪(fǎng)問(wèn)失敗賬戶(hù)登錄事件成功失敗-2-文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍；審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看，這樣就失去了審核的意義。 與之相關(guān)的是：在賬戶(hù)策略->密碼策略中設(shè)定：密碼復(fù)雜性要求 啟用密碼長(zhǎng)度最小值 6位強(qiáng)制密碼歷史 5次最長(zhǎng)存留期 30天在賬戶(hù)策略->賬戶(hù)鎖定策略中設(shè)定：賬戶(hù)鎖定3次錯(cuò)誤登錄鎖定時(shí)間20分鐘復(fù)位鎖定計(jì)數(shù) 20分鐘在TerminalServiceConfigration（遠(yuǎn)程服務(wù)配置）-權(quán)限-高級(jí)中配置安全審核，一般來(lái)說(shuō)只要記錄登錄、注銷(xiāo)事件就可以了。解除NetBios與TCP/IP協(xié)議的綁定控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用2000：控制面版——網(wǎng)絡(luò)和撥號(hào)連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級(jí)——WINS——禁用TCP/IP上的NETBIOS在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選，僅開(kāi)放必要的端口（如80）14.通過(guò)更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1來(lái)禁止139空連接15.修改數(shù)據(jù)包的生存時(shí)間(TTL)值-3-文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDefaultTTLREG_DWORD0-0xff(0-255 十進(jìn)制,默認(rèn)值128)防止SYN洪水攻擊HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersSynAttackProtectREG_DWORD0x2(默認(rèn)值為0x0)禁止響應(yīng)ICMP路由通告報(bào)文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interfacePerformRouterDiscoveryREG_DWORD0x0(默認(rèn)值為0x2)防止ICMP重定向報(bào)文的攻擊HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersEnableICMPRedirectsREG_DWORD0x0(默認(rèn)值為0x1)不支持IGMP協(xié)議HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersIGMPLevelREG_DWORD0x0(默認(rèn)值為0x2)設(shè)置arp緩存老化時(shí)間設(shè)置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersArpCacheLifeREG_DWORD0-0xFFFFFFFF(秒數(shù),默認(rèn)值為120秒)ArpCacheMinReferencedLifeREG_DWORD0-0xFFFFFFFF(秒數(shù),默認(rèn)值為600)-4-文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .禁止死網(wǎng)關(guān)監(jiān)測(cè)技術(shù)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersEnableDeadGWDetectREG_DWORD0x0(默認(rèn)值為ox1)不支持路由功能HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ParametersIPEnableRouterREG_DWORD0x0(默認(rèn)值為0x0)安裝和配置IIS服務(wù)：1.僅安裝必要的IIS組件。（禁用不需要的如FTP和SMTP服務(wù)）2.僅啟用必要的服務(wù)和WebService擴(kuò)展，推薦配置:UI中的組件名稱(chēng)設(shè)置設(shè)置邏輯后臺(tái)智能傳輸服務(wù)(BITS)服務(wù)器擴(kuò)展啟用BITS是WindowsUpdates和“自動(dòng)更新”所使用的后臺(tái)文件傳輸機(jī)制。如果使用WindowsUpdates或“自動(dòng)更新”在IIS服務(wù)器中自動(dòng)應(yīng)用ServicePack和熱修補(bǔ)程序，則必須有該組件。公用文件啟用IIS需要這些文件，一定要在IIS服務(wù)器中啟用它們。文件傳輸協(xié)議(FTP)服務(wù)禁用允許IIS服務(wù)器提供FTP服務(wù)。專(zhuān)用IIS服務(wù)器不需要該服務(wù)。FrontPage2002ServerExtensions禁用為管理和發(fā)布Web站點(diǎn)提供FrontPage支持。如果沒(méi)有使用FrontPage擴(kuò)展的Web站點(diǎn)，請(qǐng)?jiān)趯?zhuān)用IIS服務(wù)器中禁用該組件。Internet信息服務(wù)管理器啟用IIS的管理界面。Internet打印禁用提供基于Web的打印機(jī)管理，允許通過(guò)HTTP共享打印機(jī)。專(zhuān)用IIS服務(wù)器-5-文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .不需要該組件。NNTP服務(wù)禁用在Internet中分發(fā)、查詢(xún)、檢索和投遞Usenet新聞文章。專(zhuān)用IIS服務(wù)器不需要該組件。SMTP服務(wù)禁用支持傳輸電子郵件。專(zhuān)用IIS服務(wù)器不需要該組件。萬(wàn)維網(wǎng)服務(wù)啟用為客戶(hù)端提供Web服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專(zhuān)用IIS服務(wù)器需要該組件。萬(wàn)維網(wǎng)服務(wù)子組件UI中的組件安裝設(shè)置邏輯名稱(chēng)選項(xiàng)Active啟用提供ASP支持。如果IIS服務(wù)器中的Web站點(diǎn)和應(yīng)用程序都不使用ASP，請(qǐng)禁用該組件；或使用ServerPageWeb服務(wù)擴(kuò)展禁用它。Internet數(shù)禁用通過(guò)擴(kuò)展名為.idc的文件提供動(dòng)態(tài)內(nèi)容支持。如果IIS服務(wù)器中的Web站點(diǎn)和應(yīng)用程序都不包據(jù)連接器括.idc擴(kuò)展文件，請(qǐng)禁用該組件；或使用Web服務(wù)擴(kuò)展禁用它。遠(yuǎn)程管理禁用提供管理IIS的HTML界面。改用IIS管理器可使管理更容易，并減少了IIS服務(wù)器的攻擊面。專(zhuān)用(HTML)IIS服務(wù)器不需要該功能。遠(yuǎn)程桌面禁用包括了管理終端服務(wù)客戶(hù)端連接的MicrosoftActiveX?控件和范例頁(yè)面。改用IIS管理器可使管理更Web連接容易，并減少了IIS服務(wù)器的攻擊面。專(zhuān)用IIS服務(wù)器不需要該組件。服務(wù)器端包括禁用提供.shtm、.shtml和.stm文件的支持。如果在IIS服務(wù)器中運(yùn)行的Web站點(diǎn)和應(yīng)用程序都不使用上述擴(kuò)展的包括文件，請(qǐng)禁用該組件。WebDAV禁用WebDAV擴(kuò)展了HTTP/1.1協(xié)議，允許客戶(hù)端發(fā)布、鎖定和管理Web中的資源。專(zhuān)用IIS服務(wù)器禁-6-文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .用該組件；或使用 Web 服務(wù)擴(kuò)展禁用該組件。萬(wàn)維網(wǎng)服務(wù) 啟用 為客戶(hù)端提供 Web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專(zhuān)用 IIS 服務(wù)器需要該組件將IIS目錄＆數(shù)據(jù)與系統(tǒng)磁盤(pán)分開(kāi)，保存在專(zhuān)用磁盤(pán)空間內(nèi)。4.在IIS管理器中刪除必須之外的任何沒(méi)有用到的映射（保留asp等必要映射即可）5.在IIS中將HTTP404ObjectNotFound出錯(cuò)頁(yè)面通過(guò)URL重定向到一個(gè)定制HTM文件Web站點(diǎn)權(quán)限設(shè)定（建議）Web站點(diǎn)權(quán)限：授予的權(quán)限：讀允許寫(xiě)不允許腳本源訪(fǎng)問(wèn)不允許目錄瀏覽建議關(guān)閉日志訪(fǎng)問(wèn)建議關(guān)閉索引資源建議關(guān)閉執(zhí)行推薦選擇“僅限于腳本”7.建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶(hù)IP地址，用戶(hù)名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶(hù)代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪(fǎng)問(wèn)權(quán)限，只允許管理員和system為FullControl）。8.程序安全:1) 涉及用戶(hù)名與口令的程序最好封裝在服務(wù)器端，盡量少的在 ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫(kù)連接地用戶(hù)名與口令應(yīng)給予最小的權(quán)限 ;-7-文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .安全更新。安裝和配置防病毒保護(hù)。安裝和配置防火墻保護(hù)。監(jiān)視解決方案。加強(qiáng)數(shù)據(jù)備份?？紤]實(shí)施 IPSec 篩選器。

需要經(jīng)過(guò)驗(yàn)證的ASP頁(yè)面，可跟蹤上一個(gè)頁(yè)面的文件名，只有從上一頁(yè)面轉(zhuǎn)進(jìn)來(lái)的會(huì)話(huà)才能讀取這個(gè)頁(yè)面。防止ASP主頁(yè).inc文件泄露問(wèn)題;防止UE等編輯器生成文件泄露問(wèn)題。應(yīng)用所需的所有 ServicePack 和定期手動(dòng)更新補(bǔ)丁。推薦NAV8.1 以上版本病毒防火墻（配置為至少每周自動(dòng)升級(jí)一次）。推薦最新版 BlackICEServerProtection 防火墻（配置簡(jiǎn)單，比較實(shí)用 ）根據(jù)要求安裝和配置 MOM代理或類(lèi)似的監(jiān)視解決方案。Web數(shù)據(jù)定時(shí)做備份，保證在出現(xiàn)問(wèn)題后可以恢復(fù)到最近的狀態(tài)。用IPSec 過(guò)濾器阻斷端口Internet 協(xié)議安全性 (IPSec) 過(guò)濾器可為增強(qiáng)服務(wù)器所需要的安全級(jí)別提供有效的方法。本指南推薦在指南中定義的高安全性環(huán)境中使用該選項(xiàng)，以便進(jìn)一步減少服務(wù)器的受攻擊面。有關(guān)使用 IPSec 過(guò)濾器的詳細(xì)信息，請(qǐng)參閱模塊其他成員服務(wù)器強(qiáng)化過(guò)程。下表列出在本指南定義的高級(jí)安全性環(huán)境下可在IIS服務(wù)器上創(chuàng)建的所有IPSec過(guò)濾器。服務(wù)協(xié)議源端口目標(biāo)端口源地址目標(biāo)地址操作鏡像TerminalServicesTCP所有3389所有ME允許是HTTPServerTCP所有80所有ME允許是HTTPSServerTCP所有443所有ME允許是在實(shí)施上表所列舉的規(guī)則時(shí)，應(yīng)當(dāng)對(duì)它們都進(jìn)行鏡像處理。這樣可以確保任何進(jìn)入服務(wù)器的網(wǎng)絡(luò)通信也可以返回到源服務(wù)器。-8-文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .SQL服務(wù)器安全加固步驟說(shuō)明MDAC升級(jí)安裝最新的MDAC（/download.htm）密碼策略由于SQLServer不能更改sa用戶(hù)名稱(chēng)，也不能刪除這個(gè)超級(jí)用戶(hù)，所以，我們必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù)，當(dāng)然，包括使用一個(gè)非常強(qiáng)壯的密碼，最好不要在數(shù)據(jù)庫(kù)應(yīng)用中使用sa帳號(hào)。新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶(hù)來(lái)管理數(shù)據(jù)庫(kù)。同時(shí)養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫(kù)管理員應(yīng)該定期查看是否有不符合密碼要求的帳號(hào)。比如使用下面的SQL語(yǔ)句：UsemasterSelectname,Passwordfromsysloginswherepasswordisnull數(shù)據(jù)庫(kù)日志的記核數(shù)據(jù)庫(kù)登錄事件的“失敗和成功”，在實(shí)例屬性中選擇“安全性”，將其中的審核級(jí)別選定錄為全部，這樣在數(shù)據(jù)庫(kù)系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號(hào)的登錄事件。管理擴(kuò)展存儲(chǔ)過(guò)xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫(kù)留給操作系統(tǒng)的一個(gè)大后門(mén)。請(qǐng)把它程去掉。使用這個(gè)SQL語(yǔ)句：usemastersp_dropextendedproc'xp_cmdshell'如果你需要這個(gè)存儲(chǔ)過(guò)程，請(qǐng)用這個(gè)語(yǔ)句也可以恢復(fù)過(guò)來(lái)。-9-防TCP/IP端口探測(cè)對(duì)網(wǎng)絡(luò)連接進(jìn)行IP限制

文檔來(lái)源為:從網(wǎng)絡(luò)收集整理 .word版本可編輯.歡迎下載支持 .sp_addextendedproc'xp_cmdshell','xpsql70.dll'OLE自動(dòng)存儲(chǔ)過(guò)程（會(huì)造成管理器中的某些特征不能使用） ，這些過(guò)程包括如下（不需要可以全部去掉：Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注冊(cè)表訪(fǎng)問(wèn)的存儲(chǔ)過(guò)程， 注冊(cè)表存儲(chǔ)過(guò)程甚至能夠讀出操作系統(tǒng)管理員的密碼來(lái)，如下：Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvaluesXp_regread Xp_regremovemultistring Xp_regwrite在實(shí)例屬性中選擇 TCP/IP協(xié)議的屬性。選擇隱藏 SQLServer實(shí)例。請(qǐng)?jiān)谏弦徊脚渲玫幕A(chǔ)上，更改原默認(rèn)的 1433端口。在IPSec過(guò)濾拒絕掉 1434端口的UDP通訊，可以盡可能地隱藏你的 SQLServer。使用操作系統(tǒng)自己的 IPSec可以實(shí)現(xiàn) IP數(shù)據(jù)包的安全性。請(qǐng)對(duì)