IIS虛擬主機(jī)網(wǎng)站防木馬安全配置整理

IIS虛擬主機(jī)網(wǎng)站防木馬權(quán)限設(shè)置安全配置整理參考了網(wǎng)絡(luò)上很多關(guān)于WIN2003的安全設(shè)置以及自己動手做了一些實(shí)踐，綜合了這些安全設(shè)置文章整理而成，希望對大家有所幫助，另外里面有不足之處還請大家多多指點(diǎn)，然后給補(bǔ)上，謝謝！一、系統(tǒng)的安裝1、按照Windows2003安裝光盤的提示安裝，默認(rèn)情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。中.國.站.長.站2、IIS6.0的安裝以下為引用的內(nèi)容：

開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件

應(yīng)用程序———ASP.NET(可選)

|——啟用網(wǎng)絡(luò)COM+訪問(必選)

|——Internet信息服務(wù)(IIS)———Internet信息服務(wù)管理器(必選)

|——公用文件(必選)

|——萬維網(wǎng)服務(wù)———ActiveServerpages(必選)

|——Internet數(shù)據(jù)連接器(可選)

|——WebDAV發(fā)布(可選)

|——萬維網(wǎng)服務(wù)(必選)

|——在服務(wù)器端的包含文件(可選)然后點(diǎn)擊確定—>下一步安裝。3、系統(tǒng)補(bǔ)丁的更新:點(diǎn)擊開始菜單—>所有程序—>WindowsUpdate

按照提示進(jìn)行補(bǔ)丁的安裝。4、備份系統(tǒng):用GHOST備份系統(tǒng)。中.國.站長站5、安裝常用的軟件:例如：殺毒軟件、解壓縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。6、先關(guān)閉不需要的端口開啟防火墻導(dǎo)入IPSEC策略在"網(wǎng)絡(luò)連接"里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議(TCP/IP)，由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。在高級選項(xiàng)里，使用"Internet連接防火墻"，這是windows2003自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達(dá)到了一個(gè)IPSec的功能。中國站.長站修改3389遠(yuǎn)程連接端口修改注冊表Www@Chinaz@com開始--運(yùn)行--regedit依次展開HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WDS/RDPWD/TDS/TCP右邊鍵值中PortNumber改為你想用的端口號.注意使用十進(jìn)制(例10000)HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/WINSTATIONS/RDP-TCP/右邊鍵值中PortNumber改為你想用的端口號.注意使用十進(jìn)制(例10000)注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口修改完畢。重新啟動服務(wù)器設(shè)置生效。二、用戶安全設(shè)置1、禁用Guest賬號在計(jì)算機(jī)管理的用戶里面把Guest賬號禁用。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為Guest用戶的密碼拷進(jìn)去。2、限制不必要的用戶去掉所有的DuplicateUser用戶、測試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。3、把系統(tǒng)Administrator賬號改名Www@Chinaz@com大家都知道，Windows2003的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶，比如改成Guesycludx。4、創(chuàng)建一個(gè)陷阱用戶中.國站長站什么是陷阱用戶？即創(chuàng)建一個(gè)名為"Administrator"的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級復(fù)雜密碼。這樣可以讓那些Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。5、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶任何時(shí)候都不要把共享文件的用戶設(shè)置成"Everyone"組，包括打印共享，默認(rèn)的屬性就是"Everyone"組的，一定不要忘了改。6、開啟用戶策略使用用戶策略，分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘，用戶鎖定時(shí)間為20分鐘，用戶鎖定閾值為3次。(該項(xiàng)為可選)7、不讓系統(tǒng)顯示上次登錄的用戶名默認(rèn)情況下，登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為：打開注冊表編輯器并找到注冊表"HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName"，把REG_SZ的鍵值改成1。8、密碼安全設(shè)置a、使用安全密碼一些公司的管理員創(chuàng)建賬號的時(shí)候往往用公司名、計(jì)算機(jī)名做用戶名，然后又把這些用戶的密碼設(shè)置得太簡單，比如"welcome"等等。因此，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼。b、設(shè)置屏幕保護(hù)密碼這是一個(gè)很簡單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。c、開啟密碼策略注意應(yīng)用密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長度最小值為6位，設(shè)置強(qiáng)制密碼歷史為5次，時(shí)間為42天。d、考慮使用智能卡來代替密碼對于密碼，總是使安全管理員進(jìn)退兩難，密碼設(shè)置簡單容易受到黑客的攻擊，密碼設(shè)置復(fù)雜又容易忘記。如果條件允許，用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。三、系統(tǒng)權(quán)限的設(shè)置1、磁盤權(quán)限系統(tǒng)盤及所有磁盤只給Administrators組和SYSTEM的完全控制權(quán)限系統(tǒng)盤\DocumentsandSettings目錄只給Administrators組和SYSTEM的完全控制權(quán)限系統(tǒng)盤\DocumentsandSettings\AllUsers目錄只給Administrators組和SYSTEM的完全控制權(quán)限系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp://ftp.exe/、tftp.exe、telnet.exe、

netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只給Administrators組和SYSTEM的完全控制權(quán)限另將<systemroot>\System32\cmd.exe、、ftp://ftp.exe/轉(zhuǎn)移到其他目錄或更名DocumentsandSettings下所有些目錄都設(shè)置只給adinistrators權(quán)限。并且要一個(gè)一個(gè)目錄查看，包括下面的所有子目錄。站.長站刪除c:\inetpub目錄2、本地安全策略設(shè)置開始菜單—>管理工具—>本地安全策略A、本地策略——>審核策略Www@Chinaz@com審核策略更改成功失敗審核登錄事件成功失敗審核對象訪問失敗審核過程跟蹤無審核審核目錄服務(wù)訪問失敗

審核特權(quán)使用失敗審核系統(tǒng)事件成功失敗審核賬戶登錄事件成功失敗審核賬戶管理成功失敗B、本地策略——>用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。Chinaz~com通過終端服務(wù)允許登陸：只加入Administrators,RemoteDesktopUsers組，其他全部刪除站長.站C、本地策略——>安全選項(xiàng)C交互式登陸：不顯示上次的用戶名啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉啟用中國站.長站網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲存憑證啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享全部刪除中.國.站長站

網(wǎng)絡(luò)訪問：可匿名訪問的命全部刪除Www_Chinaz_com網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑全部刪除網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑全部刪除帳戶：重命名來賓帳戶重命名一個(gè)帳戶帳戶：重命名系統(tǒng)管理員帳戶重命名一個(gè)帳戶3、禁用不必要的服務(wù)開始-運(yùn)行-services.mscTCP/IPNetBIOSHelper提供TCP/IP服務(wù)上的NetBIOS和網(wǎng)絡(luò)上客戶端的NetBIOS名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)中國.站長站Server支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享ComputerBrowser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表Taskscheduler允許程序在指定時(shí)間運(yùn)行Messenger傳輸客戶端和服務(wù)器之間的NETSEND和警報(bào)器服務(wù)消息DistributedFileSystem:局域網(wǎng)管理共享文件，不需要可禁用Distributedlinktrackingclient：用于局域網(wǎng)更新連接信息，不需要可禁用Errorreportingservice：禁止發(fā)送錯(cuò)誤報(bào)告MicrosoftSerch：提供快速的單詞搜索，不需要可禁用Chinaz_comNTLMSecuritysupportprovide：telnet服務(wù)和MicrosoftSerch用的，不需要可禁用PrintSpooler：如果沒有打印機(jī)可禁用RemoteRegistry：禁止遠(yuǎn)程修改注冊表Www_Chinaz_comRemoteDesktopHelpSessionManager：禁止遠(yuǎn)程協(xié)助Workstation

關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組以上是在WindowsServer2003系統(tǒng)上面默認(rèn)啟動的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動。4、修改注冊表:修改注冊表，讓系統(tǒng)更強(qiáng)壯Chinaza、隱藏重要文件/目錄可以修改注冊表實(shí)現(xiàn)完全隱藏HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL"，鼠標(biāo)右擊"CheckedValue"，選擇修改，把數(shù)值由1改為0b、防止SYN洪水攻擊HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名為SynAttackProtect，值為2Chinaz新建EnablePMTUDiscoveryREG_DWORD0新建NoNameReleaseOnDemandREG_DWORD1新建EnableDeadGWDetectREG_DWORD0Chinaz~com新建KeepAliveTimeREG_DWORD300,000Www^Chinaz^com新建PerformRouterDiscoveryREG_DWORD0新建EnableICMPRedirectsREG_DWORD03.禁止響應(yīng)ICMP路由通告報(bào)文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface新建DWORD值，名為PerformRouterDiscovery值為0c.防止ICMP重定向報(bào)文的攻擊HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersChinaz將EnableICMPRedirects值設(shè)為0d.不支持IGMP協(xié)議Chinaz_comHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名為IGMPLevel值為0[中國站長站]e、禁止IPC空連接：cracker可以利用netuse命令建立空連接，進(jìn)而入侵，還有netview，nbtstat這些都是基于空連接的，禁止空連接就好了。Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把這個(gè)值改成"1"即可。f、更改TTL值Chinazcracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：TTL=107(WINNT);TTL=108(win2000);TTL=127或128(win9x);中國站.長站TTL=240或241(linux);TTL=252(solaris);ChinazTTL=240(Irix);實(shí)際上你可以自己改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTLREG_DWORD0-0xff(0-255十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦g.刪除默認(rèn)共享有人問過我一開機(jī)就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認(rèn)共享，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可h.禁止建立空連接默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成"1"即可。i、建立一個(gè)記事本，填上以下代碼。保存為*.bat并加到啟動項(xiàng)目中以下為引用的內(nèi)容：

netsharec$/del

netshared$/del

netsharee$/del

netsharef$/del

netshareipc$/del

netshareadmin$/del5、IIS站點(diǎn)設(shè)置：a、將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。b、啟用父級路徑Www@Chinaz@comc、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)d、在IIS中將HTTP404ObjectNotFound出錯(cuò)頁面通過URL重定向到一個(gè)定制HTM文件e、Web站點(diǎn)權(quán)限設(shè)定(建議)讀

允許寫

不允許腳本源訪問

不允許目錄瀏覽

建議關(guān)閉站.長站日志訪問

建議關(guān)閉索引資源

建議關(guān)閉Www.C執(zhí)行

推薦選擇"僅限于腳本"f、建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。(最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問權(quán)限，只允許管理員和system為FullControl)。

g、程序安全C1)涉及用戶名與口令的程序最好封裝在服務(wù)器端，