windows2003安全加固

　　由於IIS的方便性和易用性，使它成爲最受歡迎的Web服務器軟件之一。可是，IIS的安全性卻一直使人擔心。如何利用IIS創建一個安全的Web服務器，是不少人關心的話題。要建立一個安全可靠的Web服務器，必需要實現Windows 2003和IIS的雙重安全，由於IIS的用戶同時也是Windows 2003的用戶，而且IIS目錄的權限依賴Windows的NTFS文件系統的權限控制，因此保護IIS安全的第一步就是確保Windows 2003操做系統的安全，因此要對服務器進行安全加固，以避免遭到黑客的攻擊，形成嚴重的後果。

　　咱們經過如下幾個方面對您的系統進行安全加固：

　　1. 系統的安全加固：咱們經過配置目錄權限，系統安全策略，協議棧增強，系統服務和訪問控制加固您的系統，總體提升服務器的安全性。

　　2. IIS手工加固：手工加固iis能夠有效的提升iweb站點的安全性，合理分配用戶權限，配置相應的安全策略，有效的防止iis用戶溢出提權。

　　3. 系統應用程序加固，提供應用程序的安全性，例如sql的安全配置以及服務器應用軟件的安全加固。

 

　　系統的安全加固：

　　1.目錄權限的配置：

　　1.1 除系統所在分區以外的全部分區都賦予Administrators和SYSTEM有徹底控制權，以後再對其下的子目錄做單獨的目錄權限，若是WEB站點目錄，你要爲其目錄權限分配一個與之對應的匿名訪問賬號並賦予它有修改權限，若是想使網站更加堅固，能夠分配只讀權限並對特殊的目錄做可寫權限。

　　1.2 系統所在分區下的根目錄都要設置爲不繼承父權限，以後爲該分區只賦予Administrators和SYSTEM有徹底控制權。

　　1.3 由於服務器只有管理員有本地登陸權限，所在要配置Documents and Settings這個目錄權限只保留Administrators和SYSTEM有徹底控制權，其下的子目錄一樣。另外還有一個隱藏目錄也須要一樣操做。由於若是你安裝有PCAnyWhere那麼他的的配置信息都保存在其下，使用webshell或FSO能夠輕鬆的調取這個配置文件。

　　1.4 配置Program files目錄，爲Common Files目錄以外的全部目錄賦予Administrators和SYSTEM有徹底控制權。

　　1.5 配置Windows目錄，其實這一塊主要是根據自身的狀況若是使用默認的安全設置也是可行的，不過仍是應該進入SYSTEM32目錄下，將 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手鐗程序賦予匿名賬號拒絕訪問。

　　1.6審覈MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只容許Administrator用戶讀寫。

　　2.組策略配置:

　　在用戶權利指派下，從經過網絡訪問此計算機中刪除Power Users和Backup Operators;

　　啓用不容許匿名訪問SAM賬號和共享;

　　啓用不容許爲網絡驗證存儲憑據或Passport;

　　從文件共享中刪除容許匿名登陸的DFS$和COMCFG;

　　啓用交互登陸：不顯示上次的用戶名;

　　啓用在下一次密碼變動時不存儲LANMAN哈希值;

　　禁止IIS匿名用戶在本地登陸;

　　3.本地安全策略設置:

　　開始菜單—>管理工具—>本地安全策略

　　A、本地策略——>審覈策略

　　審覈策略更改　成功　失敗

　　審覈登陸事件　成功　失敗

　　審覈對象訪問失敗

　　審覈過程跟蹤　無審覈

　　審覈目錄服務訪問失敗

　　審覈特權使用失敗

　　審覈系統事件　成功　失敗

　　審覈帳戶登陸事件　成功　失敗

　　審覈帳戶管理　成功　失敗

　　注：在設置審覈登錄事件時選擇記失敗，這樣在事件查看器裏的安全日誌就會記錄登錄失敗的信息。

　　B、本地策略——>用戶權限分配

　　關閉系統：只有Administrators組、其它所有刪除。

　　經過終端服務拒絕登錄：加入Guests、User組

　　經過終端服務容許登錄：只加入Administrators組，其餘所有刪除

　　C、本地策略——>安全選項

　　交互式登錄：不顯示上次的用戶名　啓用

　　網絡訪問：不容許SAM賬戶和共享的匿名枚舉啓用

　　網絡訪問：不容許爲網絡身份驗證儲存憑證　啓用

　　網絡訪問：可匿名訪問的共享　所有刪除

　　網絡訪問：可匿名訪問的命所有刪除

　　網絡訪問：可遠程訪問的註冊表路徑所有刪除

　　網絡訪問：可遠程訪問的註冊表路徑和子路徑所有刪除

　　賬戶：重命名來賓賬戶重命名一個賬戶

　　賬戶：重命名系統管理員賬戶　重命名一個賬戶
　　4.本地帳戶策略：

　　在帳戶策略->密碼策略中設定：

　　密碼複雜性要求啓用

　　密碼長度最小值 6位

　　強制密碼歷史 5次

　　最長存留期 30天

　　在帳戶策略->帳戶鎖定策略中設定：

　　帳戶鎖定 3次錯誤登陸

　　鎖定時間 20分鐘

　　復位鎖定計數 20分鐘

　　5. 修改註冊表配置：

　　5.1 經過更改註冊表

　　local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1來禁止139空鏈接

　　5.2 修改數據包的生存時間(ttl)值

　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

　　defaultttl reg_dword 0-0xff(0-255 十進制,默認值128)

　　5.3 防止syn洪水攻擊

　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

　　synattackprotect reg_dword 0x2(默認值爲0x0)

　　5.4禁止響應icmp路由通告報文

　　hkey_local_machinesystemcurrentcontrolset

　　services cpipparametersinterfacesinterface

　　performrouterdiscovery reg_dword 0x0(默認值爲0x2)

　　5.5防止icmp重定向報文的攻擊

　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

　　enableicmpredirects reg_dword 0x0(默認值爲0x1)

　　5.6不支持igmp協議

　　hkey_local_machinesystemcurrentcontrolsetservices cpipparameters

　　5.7修改3389默認端口:

　　運行 Regedt32 並轉到此項：

　　HKEY_LOCAL_MACHINESystemCurrentControlSetControl

　　Terminal ServerWinStationsRDP-Tcp, 找到「PortNumber」子項，您會看到值 00000D3D，它是 3389 的十六進制表示形式。使用十六進制數值修改此端口號，並保存新值。

　　禁用沒必要要的服務不但能夠下降服務器的資源佔用減輕負擔，並且能夠加強安全性。下面列出了

　　igmplevel reg_dword 0x0(默認值爲0x2)

　　5.8 設置arp緩存老化時間設置

　　hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters

　　arpcachelife reg_dword 0-0xffffffff(秒數,默認值爲120秒)

　　arpcacheminreferencedlife reg_dword 0-0xffffffff(秒數,默認值爲600)

　　5.9禁止死網關監測技術

　　hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters

　　enabledeadgwdetect reg_dword 0x0(默認值爲ox1)

　　5.10 不支持路由功能

　　hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters

　　ipenablerouter reg_dword 0x0(默認值爲0x0)

　　6. 禁用服務：

　　·Application Experience Lookup Service

　　·Automatic Updates

　　·BITS

　　·Computer Browser

　　·DHCP Client

　　·Error Reporting Service

　　·Help and Support

　　·Network Location Awareness

　　·Print Spooler

　　·Remote Registry

　　·Secondary Logon

　　·Server

　　·Smartcard

　　·TCP/IP NetBIOS Helper

　　·Workstation

　　·Windows Audio

　　·Windows Time

　　·Wireless Configuration

　　7.解除NetBios與TCP/IP協議的綁定

　　控制面版——網絡——綁定——NetBios接口——禁用 2000：控制面版——網絡和撥號鏈接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS

　　8. 使用tcp/ip篩選

　　在網絡鏈接的協議裏啓用TCP/IP篩選，僅開放必要的端口(如80)
　　9.禁止WebDAV

　　在註冊表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParameters

　　加如下注冊表值：

　　數值名稱：DisableWebDAV

　　數據類型：DWORD

　　數值數據：1

 

　　IIS 加固方案：

　　1. 僅安裝必要的 iis 組件。(禁用不須要的如ftp 和 smtp 服務)

　　2. 僅啓用必要的服務和 web service 擴展，推薦配置:

　　ui 中的組件名稱設置

　　設置邏輯後臺智能傳輸服務 (bits) 服務器擴展

　　啓用bits 是 windows updates 和"自動更新"所使用的後臺文件傳輸機制。若是使用 windows updates 或"自動更新"在 iis 服務器中自動應用 service pack 和熱修補程序，則必須有該組件。

　　公用文件啓用

　　iis 須要這些文件，必定要在 iis 服務器中啓用它們。

　　文件傳輸協議 (ftp) 服務

　　禁用<