Windows 2003服務(wù)器安全加固方案
因?yàn)镮IS(即Internet Information Server)的方便性和易用性,使它成為最受歡迎的Web服務(wù)器軟件之一。但是,IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個安全的Web服務(wù)器,是很多人關(guān)心的話題。要創(chuàng)建一個安全可靠的Web服務(wù)器,必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全,因?yàn)镮IS的用戶同時也是Windows 2003的用戶,并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制,所以保護(hù)IIS安全的第一步就是確保Windows 2000操作系統(tǒng)的安全,所以要對服務(wù)器進(jìn)行安全加固,以免遭到黑客的攻擊,造成嚴(yán)重的后果。
我們通過以下幾個方面對您的系統(tǒng)進(jìn)行安全加固:
1. 系統(tǒng)的安全加固:我們通過配置目錄權(quán)限,系統(tǒng)安全策略,協(xié)議棧加強(qiáng),系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng),整體提高服務(wù)器的安全性。
2. IIS手工加固:手工加固iis可以有效的提高iweb站點(diǎn)的安全性,合理分配用戶權(quán)限,配置相應(yīng)的安全策略,有效的防止iis用戶溢出提權(quán)。
3. 系統(tǒng)應(yīng)用程序加固,提供應(yīng)用程序的安全性,例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。
系統(tǒng)的安全加固:
1.目錄權(quán)限的配置:
1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán),之后再對其下的子目錄作單獨(dú)的目錄權(quán)限,如果WEB站點(diǎn)目錄,你要為其目錄權(quán)限分配一個與之對應(yīng)的匿名訪問帳號并賦予它有修改權(quán)限,如果想使網(wǎng)站更加堅(jiān)固,可以分配只讀權(quán)限并對特殊的目錄作可寫權(quán)限。
1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限,之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。
1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限,所在要配置Documents and Settings這個目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán),其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以輕松的調(diào)取這個配置文件。
1.4 配置Program files目錄,為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。
1.5 配置Windows目錄,其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的,不過還是應(yīng)該進(jìn)入SYSTEM32目錄下,將 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。
1.6審核MetBase.bin,C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫。
2.組策略配置:
在用戶權(quán)利指派下,從通過網(wǎng)絡(luò)訪問此計算機(jī)中刪除Power Users和Backup Operators;
啟用不允許匿名訪問SAM帳號和共享;
啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲憑據(jù)或Passport;
從文件共享中刪除允許匿名登錄的DFS$和COMCFG;
啟用交互登錄:不顯示上次的用戶名;
啟用在下一次密碼變更時不存儲LANMAN哈希值;
禁止IIS匿名用戶在本地登錄;
3.本地安全策略設(shè)置:
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問失敗
審核特權(quán)使用失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
注:在設(shè)置審核登陸事件時選擇記失敗,這樣在事件查看器里的安全日志就會記錄登陸失敗的信息。
相關(guān)文章:
1. Windows 2000 創(chuàng)建SMTP虛擬服務(wù)器2. Unix服務(wù)器共享Vista磁盤目錄3. win 10怎么關(guān)閉Diagnostic服務(wù)?4. 在 UNIX 中安裝和配置開發(fā) Web 服務(wù)器5. Win8電腦系統(tǒng)服務(wù)怎么打開?6. Win7開機(jī)提示“profile服務(wù)未能登錄,無法在系統(tǒng)中創(chuàng)建更多線程”如何解決?7. Win10開機(jī)提示user profile service服務(wù)登錄失敗怎么辦?8. 在Win2003中為SMTP服務(wù)配置本地域9. WMI服務(wù)是什么?Win7系統(tǒng)如何禁用WMI服務(wù)?10. Win Vista服務(wù)安全強(qiáng)化十大策略
網(wǎng)公網(wǎng)安備