利用Windows Server 2003打造安全的我的Web服務器

時間 2019-11-06

標籤利用 windows server 打造安全我的 web 服務器欄目 Windows 简体版

原文原文鏈接

Windows Server 2003的安全性較之Win2K確實有了很大的提升，可是用Win2003 Server做爲服務器是否就真的安全了？如何才能打造一個安全的我的Web服務器？下面咱們簡單介紹一下 html

　　1、Windows Server2003的安裝 ios

　　一、安裝系統最少兩須要個分區，分區格式都採用NTFS格式 web

　　二、在斷開網絡的狀況安裝好2003系統 shell

　　三、安裝IIS，僅安裝必要的 IIS 組件（禁用不須要的如FTP 和 SMTP 服務）。默認狀況下，IIS服務沒有安裝，在添加/刪除Win組件中選擇「應用程序服務器」，而後點擊「詳細信息」，雙擊Internet信息服務(iis)，勾選如下選項：安全

　　Internet 信息服務管理器；服務器

　　公用文件；網絡

　　後臺智能傳輸服務 (BITS) 服務器擴展；編輯器

　　萬維網服務。分佈式

　　若是你使用 FrontPage 擴展的 Web 站點再勾選：FrontPage 2002 Server Extensi***** ide

　　四、安裝MSSQL及其它所須要的軟件而後進行Update。

　　五、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer）工具分析計算機的安全配置，並標識缺乏的修補程序和更新。下載地址：見頁末的連接

　　2、設置和管理帳戶

　　一、系統管理員帳戶最好少建，更改默認的管理員賬戶名（Administrator）和描述，密碼最好採用數字加大小寫字母加數字的上檔鍵組合，長度最好很多於14位。

　　二、新建一個名爲Administrator的陷阱賬號，爲其設置最小的權限，而後隨便輸入組合的最好不低於20位的密碼

　　三、將Guest帳戶禁用並更更名稱和描述，而後輸入一個複雜的密碼，固然如今也有一個DelGuest的工具，也許你也能夠利用它來刪除Guest帳戶，但我沒有試過。

　　四、在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-帳戶策略-帳戶鎖定策略，將帳戶設爲「三次登錄無效」，「鎖定時間爲30分鐘」，「復位鎖定計數設爲30分鐘」。

　　五、在安全設置-本地策略-安全選項中將「不顯示上次的用戶名」設爲啓用

　　六、在安全設置-本地策略-用戶權利分配中將「從網絡訪問此計算機」中只保留Internet來賓帳戶、啓動IIS進程帳戶。若是你使用了Asp.net還要保留Aspnet帳戶。

　　七、建立一個User帳戶，運行系統，若是要運行特權命令使用Runas命令。

　　3、網絡服務安全管理

　　一、禁止C$、D$、ADMIN$一類的缺省共享

　　打開註冊表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右邊的窗口中新建Dword值，名稱設爲AutoShareServer值設爲0

　　二、解除NetBios與TCP/IP協議的綁定

　　右擊網上鄰居-屬性-右擊本地鏈接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的NETBIOS

　　三、關閉不須要的服務，如下爲建議選項

　　Computer Browser:維護網絡計算機更新，禁用

　　Distributed File System: 局域網管理共享文件，不須要禁用

　　Distributed linktracking client：用於局域網更新鏈接信息，不須要禁用

　　Error reporting service：禁止發送錯誤報告

　　Microsoft Serch：提供快速的單詞搜索，不須要可禁用

　　NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不須要禁用

　　PrintSpooler：若是沒有打印機可禁用

　　Remote Registry：禁止遠程修改註冊表

　　Remote Desktop Help Session Manager：禁止遠程協助

　　4、打開相應的審覈策略

　　在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-審覈策略在建立審覈項目時須要注意的是若是審覈的項目太多，生成的事件也就越多，那麼要想發現嚴重的事件也越難固然若是審覈的太少也會影響你發現嚴重的事件，你須要根據狀況在這兩者之間作出選擇。

　　推薦的要審覈的項目是：

　　登陸事件成功失敗

　　帳戶登陸事件成功失敗

　　系統事件成功失敗

　　策略更改成功失敗

　　對象訪問失敗

　　目錄服務訪問失敗

　　特權使用失敗

　　5、其它安全相關設置

　　一、隱藏重要文件/目錄

　　能夠修改註冊表實現徹底隱藏：「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL」，鼠標右擊「CheckedValue」，選擇修改，把數值由1改成0

　　二、啓動系統自帶的Internet鏈接防火牆，在設置服務選項中勾選Web服務器。

　　三、防止SYN洪水攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名爲SynAttackProtect，值爲2

　　4. 禁止響應ICMP路由通告報文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名爲PerformRouterDiscovery 值爲0

　　5. 防止ICMP重定向報文的攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　將EnableICMPRedirects 值設爲0

　　6. 不支持IGMP協議

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名爲IGMPLevel 值爲0

　　七、禁用DCOM：

　　運行中輸入 Dcomcnfg.exe。回車，單擊「控制檯根節點」下的「組件服務」。打開「計算機」子文件夾。

　　對於本地計算機，請以右鍵單擊「個人電腦」，而後選擇「屬性」。選擇「默認屬性」選項卡。

　　清除「在這臺計算機上啓用分佈式 COM」複選框。

　　注：3-6項內容我採用的是Server2000設置，沒有測試過對2003是否起做用。但有一點能夠確定我用了一段的時間沒有發現其它副面的影響。

　　6、配置 IIS 服務：

　　一、不使用默認的Web站點，若是使用也要將將IIS目錄與系統磁盤分開。

　　二、刪除IIS默認建立的Inetpub目錄（在安裝系統的盤上）。

　　三、刪除系統盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　四、刪除沒必要要的IIS擴展名映射。

　　右鍵單擊「默認Web站點→屬性→主目錄→配置」，打開應用程序窗口，去掉沒必要要的應用程序映射。主要爲.shtml, .shtm, .stm

　　五、更改IIS日誌的路徑

　　右鍵單擊「默認Web站點→屬性-網站-在啓用日誌記錄下點擊屬性

　　六、若是使用的是2000可使用iislockdown來保護IIS，在2003運行的IE6.0的版本不須要。

　　七、使用UrlScan

　　UrlScan是一個ISAPI篩選器，它對傳入的HTTP數據包進行分析並能夠拒絕任何可疑的通訊量。目前最新的版本是2.5，若是是2000Server須要先安裝1.0或2.0的版本。下載地址見頁未的連接

　　若是沒有特殊的要求採用UrlScan默認配置就能夠了。

　　但若是你在服務器運行ASP.NET程序，並要進行調試你需打開要%WINDIR%\System32\Inetsrv\URLscan

　　文件夾中的URLScan.ini 文件，而後在UserAllowVerbs節添加debug謂詞，注意此節是區分大小寫的。

　　若是你的網頁是.asp網頁你須要在DenyExtensi*****刪除.asp相關的內容。

　　若是你的網頁使用了非ASCII代碼，你須要在Option節中將AllowHighBitCharacters的值設爲1

　　在對URLScan.ini 文件作了更改後，你須要重啓IIS服務才能生效，快速方法運行中輸入iisreset

　　若是你在配置後出現什麼問題，你能夠經過添加/刪除程序刪除UrlScan。

　　八、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.

　　下載地址：[http://www.fanvb.net/websample/othersample.aspx]VB.NET愛好者[/url]

　　7、配置Sql服務器

　　一、System Administrators 角色最好不要超過兩個

　　二、若是是在本機最好將身份驗證配置爲Win登錄

　　三、不要使用Sa帳戶，爲其配置一個超級複雜的密碼

　　四、刪除如下的擴展存儲過程格式爲：

　　use master

　　sp_dropextendedproc '擴展存儲過程名'

　　xp_cmdshell：是進入操做系統的最佳捷徑，刪除

　　訪問註冊表的存儲過程，刪除

　　Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues

　　Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

　　OLE自動存儲過程，不須要刪除

　　Sp_OACreate　　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty

　　Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

　　五、隱藏 SQL Server、更改默認的1433端口

　　右擊實例選屬性-常規-網絡配置中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 實例，並改原默認的1433端口。

　　8、若是隻作服務器，不進行其它操做，使用IPSec

　　一、管理工具?本地安全策略?右擊IP安全策略?管理IP篩選器表和篩選器操做?在管理IP篩選器表選項下點擊

　　添加?名稱設爲Web篩選器?點擊添加?在描述中輸入Web服務器?將源地址設爲任何IP地址??將目標地址設爲個人IP地址??協議類型設爲Tcp??IP協議端口第一項設爲從任意端口，第二項到此端口80??點擊完成??點擊肯定。

　　二、再在管理IP篩選器表選項下點擊

　　添加?名稱設爲全部入站篩選器?點擊添加?在描述中輸入全部入站篩選?將源地址設爲任何IP地址??將目標地址設爲個人IP地址??協議類型設爲任意??點擊下一步??完成??點擊肯定。

　　三、在管理篩選器操做選項下點擊添加??下一步??名稱中輸入阻止??下一步??選擇阻止??下一步??完成??關閉管理IP篩選器表和篩選器操做窗口

　　四、右擊IP安全策略??建立IP安全策略??下一步??名稱輸入數據包篩選器??下一步??取消默認激活響應原則??下一步??完成

　　五、在打開的新IP安全策略屬性窗口選擇添加??下一步??不指定隧道??下一步??全部網絡鏈接??下一步??在IP篩選器列表中選擇新建的 Web篩選器??下一步??在篩選器操做中選擇許可??下一步??完成??在IP篩選器列表中選擇新建的阻止篩選器??下一步??在篩選器操做中選擇阻止 ??下一步??完成??肯定

　　六、在IP安全策略的右邊窗口中右擊新建的數據包篩選器，點擊指派，不須要重啓，IPSec就可生效.

　　9、建議

　　若是你按本文去操做，建議每作一項更改就測試一下服務器，若是有問題能夠立刻撤消更改。而若是更改的項數多，才發現出問題，那就很難判斷問題是出在哪一步上了。

　　10、運行服務器記錄當前的程序和開放的端口

　　一、將當前服務器的進程抓圖或記錄下來，將其保存，方便之後對照查看是否有不明的程序。

　　二、將當前開放的端口抓圖或記錄下來，保存，方便之後對照查看是否開放了不明的端口。固然若是你能分辨每個進程，和端口這一步能夠省略。