IISWeb服務(wù)器安全加固步驟_第1頁
IISWeb服務(wù)器安全加固步驟_第2頁
IISWeb服務(wù)器安全加固步驟_第3頁
IISWeb服務(wù)器安全加固步驟_第4頁
IISWeb服務(wù)器安全加固步驟_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、文檔從互聯(lián)網(wǎng)中收集,已重新修正排版,word格式支持編輯,如有幫助歡迎下載支持。-16 -word格式支持編輯,如有幫助歡迎下載支持。IIS Web服務(wù)器安全加步驟:步驟 安裝和配置 WindowsServer 2003。注意:1. 將v systemrootSystem32cmd.exe轉(zhuǎn)移到其他目錄或更名:2. 系統(tǒng)帳號盡量少.更改默認帳戶名(如Administrator)和描述,密碼盡址復(fù)朵:3. 拒絕通過網(wǎng)絡(luò)訪問該訃算機(匿名登錄:內(nèi)宜管理員帳戶:Support_388945a0: Guest:所有非操作系統(tǒng)服務(wù)帳戶)4 建議對一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控

2、制權(quán)限.但這樣做有可能使某些正常的腳木程序不能執(zhí)行.或者某些需要寫的 操作不能完成,這時需要對這些文件所在的文件夾權(quán)限進行更改.建議在做更改前先在測試機器上作測試.然后慎重更改。5. NTFS文件權(quán)限設(shè)定(注總:文件的權(quán)限優(yōu)先級別比文件夾的權(quán)限商):文件類型建議的NTFS權(quán)限CGI 文件(.exe、dll、.cmd、pl)腳本文件(asp)包含文件(inc.shtm、.shtml)靜態(tài)內(nèi)容(.txtx .gifjpg、htm. html)Every one (執(zhí)行)Administrators (完全控制)System (完全控制)6禁止C$. D$類的缺省共宇HKEY_LOCAL_MACHI

3、NESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareServer % REG_DWORD、0x07.禁止ADMINS缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparametersAutoShareWksx REG_DW0RD、 0x0& 限制甜。$缺省共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonTnous REG_DW0RD 0x0 缺省0x1匿名

4、用戶無法列舉木機用戶列表0x2匿名用戶無法連接木機IPC$共孚說明:不建議使用2,否則可能會造成你的一些服務(wù)無法啟動.如SQL Server9. 僅給用戶真正需要的權(quán)限.權(quán)限的最小化原則是安全的重要保障10. 在木地安全策略-審核策略中打開相應(yīng)的審核,推薦的審核是:賬戶管理成功失敗登錄爭件成功失敗對象訪問失敗策略見改成功失敗特權(quán)使用失敗系統(tǒng)爭件成功失敗目錄服務(wù)訪問失敗賬戶登錄爭件成功失敗審核項目少的缺點是萬一你想看發(fā)現(xiàn)沒有記錄那就一點都沒轍:審核項目太多不僅會占用系統(tǒng)資源而且會導(dǎo)致你根木沒空去看.這樣就失去了審 核的總義。與之相關(guān)的是:在賬戶策略密碼策略中設(shè)定:密碼復(fù)雜性要求啟用密碼長度最小值

5、6位強制密碼歷史5次最長存留期30天在賬戶策略- 賬戶鎖定策略中設(shè)定:賬戶鎖定3次錯誤登錄鎖定時間20分鐘復(fù)位鎖定計數(shù)20分鐘11. 在Terminal Service Configration (遠程服務(wù)配迓)-權(quán)限-高級中配宜安全審孩,一般來說只要記錄登錄、注銷爭件就可以C12. 解除NetBios與TCP/IP協(xié)議的綁定控制而版網(wǎng)絡(luò)綁定NetBios接口禁用2000:控制而版網(wǎng)絡(luò)和撥號連接木地網(wǎng)絡(luò)屈性TCP/IP屬性商級 WINS禁用TCP/IP上的NETBIOS13. 在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選,僅開放必要的端口 (如80)14. 通過更改注冊表 Local_Machine

6、SystemCurrentControlSetControlLSA-RestrictAnonymous = 1 來禁止 139 空連接15. 修改數(shù)據(jù)包的生存時間(TTL)值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG.DWORD 0-0xff(0-255 十進制,默認值 128)防止SYN洪水攻擊HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect REG_DWORD 0/2

7、(默認值為 0x0)17. 禁止響應(yīng)ICMP路由通告報文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterfacePerformRouterDiscovery REG_DWORD 0x0(默認值為 0x2)18. 防止ICMP重定向報文的攻擊HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnablelCMPRedirects REG.DWORD 0x0(默認值為 OxD19. 不支持IGMP協(xié)議HKEY_L

8、OCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersIGNfPLevel REG.DWORD 0x0 (默認值為 0x2)20. 設(shè)Sarp緩存老化時間設(shè)宜HKEY-LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParametersArpCacheLife REG_DWORD O-OxFFFFFFFF (秒數(shù),默認值為 120 秒)ArpCacheMinReferencedLife REG.DWORD O-OxFFFFFFFF (秒數(shù),默認值為 600)21. 禁止死網(wǎng)關(guān)監(jiān)測技

9、術(shù)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParametersEnableDeadGWDetect REG.DWORD 0x0(默認值為 oxi)22. 不支持路由功能HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParametersIPEnableRouter REG.DWORD 0x0(默認值為 0x0)安裝和配置IIS服務(wù):1. 僅安裝必要的IIS組件。(禁用不需要的如FTP和SMTP服務(wù))2. 僅啟用必婆的服務(wù)和Web Service擴展,推薦配置:UI

10、中的組件名稱設(shè)置設(shè)置邏輯后臺智能傳輸服務(wù)(BITS)服務(wù)器擴展啟用BITS是Windowsupdates和自動更新所使用的后臺文件傳輸機制。如果使 用 Windows Updates或自動更新在IIS服務(wù)器中自動應(yīng)用Service Pack 和熱修補程序則必須有該組件。公用文件啟用IIS需要這些文件,一定要在IIS服務(wù)器中啟用它們。文件傳輸協(xié)議(FTP)服務(wù)禁用允許IIS服務(wù)湍提供FTP服務(wù)。專用IIS服務(wù)器不需要該服務(wù)。FrontPage 2002 Server Extensions禁用為管理和發(fā)布Web站點提供Frontpage支持。如果沒有使用Frontpage擴 展的Web站點,請在專

11、用IIS服務(wù)湍中禁用該組件。Internet信息服務(wù)管理器啟用IIS的管理界而。Internet 打印禁用提供基于Web的打卬機管理,允許通過HTTP共宇打印機。專用IIS服務(wù)器不需要該組件。NNTP服務(wù)禁用在Internet中分發(fā)、查詢、檢索和投遞Usenet新聞文章。專用IIS服務(wù)器 不需要該組件。SMTP服務(wù)禁用支持傳輸電子郵件。專用IIS服務(wù)器不需要該組件。萬維網(wǎng)服務(wù)啟用為客戶端提供Web服務(wù).靜態(tài)和動態(tài)內(nèi)容。專用IIS服務(wù)器需要該組件。萬維網(wǎng)服務(wù)子組件UI中的組件 名稱安裝選項設(shè)置邏輯ActiveServer Page啟用提供ASP支持。如果IIS服務(wù)器中的Web站點和應(yīng)用程序都不使

12、用ASP.請禁用該組件:或使用Web服務(wù)擴展禁用它。Internet 數(shù)據(jù)連接器禁用通過擴展名為.ide的文件提供動態(tài)內(nèi)容支持。如果IIS服務(wù)器中的Web站點和應(yīng)用程序都不包 括idc擴展文件,請禁用該組件:或使用Web服務(wù)擴展禁用它。遠程管理(HTML)禁用提供管理IIS的HTML界而。改用IIS管理器可使管理更容易并減少了 IIS服務(wù)器的攻擊面。專用 IIS服務(wù)器不需要該功能。遠程桌面Web連接禁用包括了管理終端服務(wù)客戶端連接的Microsoft ActiveX控件和范例貞而。改用IIS管理器可使管理更 容易,并減少了 IIS服務(wù)器的攻擊面。專用IIS服務(wù)器不需雯該組件。服務(wù)湍端包括禁用提

13、供.shtm. .shtml和.stm文件的支持。如果在IIS服務(wù)器中運行的Web站點和應(yīng)用程序都不使用上述擴展的包括文件,請禁用該組件。WebDAV禁用WebDAV擴展了 HTTP/1.1協(xié)議,允許客戶端發(fā)布.鎖定和管理Web中的資源。專用IIS服務(wù)器禁用該組件:或使用Web服務(wù)擴展禁用該組件。萬維網(wǎng)服務(wù)啟用為客戶端提供Web服務(wù).靜態(tài)和動態(tài)內(nèi)容。專用IIS服務(wù)器需要該組件3. 將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開,保存在專用磁盤空間內(nèi)。4. 在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)5. 在IIS中將HTTP401 Object Not Found出錯貞面通過

14、URL重定向到一個定制HTM文件6. Web站點權(quán)限設(shè)定(建議)Web站點權(quán)限:授予的權(quán)限:讀允許寫不允許腳本源訪問不允許目錄瀏覽建議關(guān)閉日志訪問建議關(guān)閉索引資源建議關(guān)閉執(zhí)行推薦選擇 僅限于腳木7. 建議使用W3C擴充日志文件格式,每天記錄客戶IP地址,用戶名,服務(wù)器端口,方法.URI字根,HTTP狀態(tài),用戶代理,而且每天均要審査日志。(最好不要使用缺省的目錄,建議更換一個記日總的路徑同時設(shè)置日吉的訪問權(quán)限,只允許管理員和system為Full Control) & 程序安全:1)涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少的在ASP文件里出現(xiàn).涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的

15、權(quán)限;2)需要經(jīng)過驗證的ASP頁血.可跟蹤上一個貞面的文件名.只有從上一貞面轉(zhuǎn)進來的會話才能讀取這個貞面。3)防止ASP主頁nc文件泄露問題;口安全更新??诎惭b和配置防病毒保護。4)防止UE等編輯器生成some. asp. bak文件泄露問題。應(yīng)用所需的所有Service Pack和定期于動更新補丁。推薦NAV8.1以上版木病毒防火增(配宜為至少每周自動升級一次。 安裝和配置防火墻保護。推薦最新版BlackICE Server Protection防火墻(配置簡單,比較實用)口監(jiān)視解決方案。根據(jù)要求安裝和配置MOM代理或類似的監(jiān)視解決方案。口加強數(shù)據(jù)備份。Web數(shù)據(jù)定時做備份.保證在出現(xiàn)問題后

16、可以恢復(fù)到最近的狀態(tài)??诳蓟嵤㊣PSec篩選器。用ipsec過濾容阻斷端口Internet協(xié)議安全性(IPSec)過濾器可為増強服務(wù)器所需要的安全級別提供有效的方法。木指南推薦在抬南中定義的高安全性壞境中使用該選項.以便進一步減少服務(wù)器的受攻擊面C有關(guān)使用IPSec過濾器的詳細信息請參閱模塊其他成員服務(wù)湍強化過程。服務(wù)協(xié)議源端口目標端口源地址目標地址操作鏡像Terminal ServicesTCP所有3389所有ME允許是HTTP ServerTCP所有80所有ME允許是HTTPS ServerTCP所有443所有ME允許是下表列出在木指南定義的島級安全性環(huán)境下可在IIS服務(wù)器上創(chuàng)建的所有I

17、PSec過濾器。在實施上表所列舉的規(guī)則時.應(yīng)*對它們都進行鏡像處埋這樣可以確保任何進入服務(wù)器的網(wǎng)絡(luò)通信也可以返回到源服務(wù)器。SQL服務(wù)器安全加步驟說明MDAC升級安裝最新的 MDAC (/ down load, ht m)密碼策略由于SQL Server不能更改sa用戶名稱,也不能刪除這個超級用戶,所以.我們必須對這個 帳號進行最強的保護.、“1然.包括使用一個非常強壯的密碼,載好不要在數(shù)據(jù)庫應(yīng)用中使用 sa帳號。新建立一個擁有與sa樣權(quán)限的超級用戶來管理數(shù)據(jù)庫。同時養(yǎng)成定期修改密碼 的好習慣。數(shù)據(jù)庫管理員應(yīng)該定期査看是否有不符合密碼要求的帳號。比如使用下面的SQL 語句:Use master

18、Select name.Password from syslogins where password is null數(shù)據(jù)庫日志的記核數(shù)據(jù)庫登錄事件的“失敗和成功”.在實例屬性中選擇“安全性”,將其中的審核級別選定錄為全部.這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日吉里面.就詳細記錄了所有帳號的登錄爭件。管理擴展存儲過xp_cmdshell是進入操作系統(tǒng)的最佳捷徑是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。請把它程去掉。使用這個SQL語句:use mastersp_dropextendedproc xp_cmdshe如果你需要這個存儲過程,請用這個語句也可以恢復(fù)過來。sp_addextendedproc xp_cmds

19、hell; xpsql70dOLE自動存儲過程(會造成管理器中的某些特征不能使用).這些過程包括如下(不需要可 以全部去掉:Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo S p_O AGe t Pro pe rtySp_OAMethod Sp.OASetProperty Sp_OAStop去掉不需要的注冊表訪問的存儲過程.注冊表存儲過程甚至能夠讀出操作系統(tǒng)管理員的密碼 來,如下:Xp_regaddmultistri ngXp_regdeletekeyXp_regdeletevalue Xp_regenumvaluesXpregreadXp_regremovemultistringXp_regwrite防TCP/IP端口探在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏SQLServer實例。測請在上一步配宜的基礎(chǔ)上,更改原默認的1433端口。在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQLServer。對網(wǎng)絡(luò)連接進行使用操作系統(tǒng)自己的IPScc可以實現(xiàn)IP數(shù)據(jù)包

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論