Win2003下IIS安全配置整理

Win2003下IIS安全配置整理

 

1、系統的安裝
１、按照Windows2003安裝光盤的提示安裝，默認狀況下2003沒有把IIS6.0安裝在系統裏面。
２、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應用程序 ———ASP.NET（可選）
|——啓用網絡 COM+ 訪問（必選）
|——Internet 信息服務(IIS)———Internet 信息服務管理器（必選）
|——公用文件（必選）
|——萬維網服務———Active Server pages（必選）
|——Internet 數據鏈接器（可選）
|——WebDAV 發佈（可選）
|——萬維網服務（必選）
|——在服務器端的包含文件（可選）
而後點擊肯定—>下一步安裝。（具體見本文附件1）

３、系統補丁的更新
點擊開始菜單—>全部程序—>Windows Update
按照提示進行補丁的安裝。

４、備份系統
用GHOST備份系統。

５、安裝經常使用的軟件
例如：殺毒軟件、解壓縮軟件等；安裝完畢後,配置殺毒軟件,掃描系統漏洞,安裝以後用GHOST再次備份系統。

6、先關閉不須要的端口 開啓防火牆 導入IPSEC策略
在」網絡鏈接」裏，把不須要的協議和服務都刪掉，這裏只安裝了基本的Internet協議（TCP/IP），因爲要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置裏--"NetBIOS"設置"禁用tcp/IP上的NetBIOS（S）"。在高級選項裏，使用"Internet鏈接防火牆"，這是windows 2003 自帶的防火牆，在2000系統裏沒有的功能，雖然沒什麼功能，但能夠屏蔽端口，這樣已經基本達到了一個IPSec的功能。

修改3389遠程鏈接端口
修改註冊表.
開始--運行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改成你想用的端口號.注意使用十進制(例 10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改成你想用的端口號.注意使用十進制(例 10000 )
注意：別忘了在WINDOWS2003自帶的防火牆給+上10000端口
修改完畢.從新啓動服務器.設置生效。

2、用戶安全設置
1、禁用Guest帳號
在計算機管理的用戶裏面把Guest帳號禁用。爲了保險起見，最好給Guest加一個複雜的密碼。你能夠打開記事本，在裏面輸入一串包含特殊字符、數字、字母的長字符串，而後把它做爲Guest用戶的密碼拷進去。
2、限制沒必要要的用戶
去掉全部的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限，而且常常檢查系統的用戶，刪除已經再也不使用的用戶。這些用戶不少時候都是黑客們入侵系統的突破口。
3、把系統Administrator帳號更名
你們都知道，Windows 2003 的Administrator用戶是不能被停用的，這意味着別人能夠一遍又一遍地嘗試這個用戶的密碼。儘可能把它假裝成普通用戶，好比改爲Guesycludx。
4、建立一個陷阱用戶
什麼是陷阱用戶?即建立一個名爲「Administrator」的本地用戶，把它的權限設置成最低，什麼事也幹不了的那種，而且加上一個超過10位的超級複雜密碼。這樣可讓那些 Hacker們忙上一段時間，藉此發現它們的入侵企圖。
5、把共享文件的權限從Everyone組改爲受權用戶
任什麼時候候都不要把共享文件的用戶設置成「Everyone」組，包括打印共享，默認的屬性就是「Everyone」組的，必定不要忘了改。
6、開啓用戶策略
使用用戶策略，分別設置復位用戶鎖定計數器時間爲20分鐘，用戶鎖定時間爲20分鐘，用戶鎖定閾值爲3次。 （該項爲可選）
7、不讓系統顯示上次登陸的用戶名
默認狀況下，登陸對話框中會顯示上次登陸的用戶名。這使得別人能夠很容易地獲得系統的一些用戶名，進而作密碼猜想。修改註冊表能夠不讓對話框裏顯示上次登陸的用戶名。方法爲：打開註冊表編輯器並找到註冊表「HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName」，把REG_SZ的鍵值改爲1。 
密碼安全設置
1、使用安全密碼
一些公司的管理員建立帳號的時候每每用公司名、計算機名作用戶名，而後又把這些用戶的密碼設置得太簡單，好比「welcome」等等。所以，要注意密碼的複雜性，還要記住常常改密碼。
2、設置屏幕保護密碼
這是一個很簡單也頗有必要的操做。設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。
3、開啓密碼策略
注意應用密碼策略，如啓用密碼複雜性要求，設置密碼長度最小值爲6位 ，設置強制密碼歷史爲5次，時間爲42天。
4、考慮使用智能卡來代替密碼
對於密碼，老是使安全管理員進退兩難，密碼設置簡單容易受到黑客的攻擊，密碼設置複雜又容易忘記。若是條件容許，用智能卡來代替複雜的密碼是一個很好的解決方法。

3、系統權限的設置

3、系統權限的設置
１、磁盤權限
系統盤及全部磁盤只給 Administrators 組和 SYSTEM 的徹底控制權限
系統盤Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的徹底控制權限
系統盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的徹底控制權限
系統盤WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的徹底 控制權限
另將<systemroot>System32cmd.exe、format.com、ftp.exe轉移到其餘目錄或改名
Documents and Settings下全部些目錄都設置只給adinistrators權限。而且要一個一個目錄查看，包括下面的全部子目錄。
刪除c:inetpub目錄

２、本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審覈策略
審覈策略更改 成功 失敗
審覈登陸事件 成功 失敗
審覈對象訪問 失敗
審覈過程跟蹤 無審覈
審覈目錄服務訪問 失敗
審覈特權使用 失敗
審覈系統事件 成功 失敗
審覈帳戶登陸事件 成功 失敗
審覈帳戶管理 成功 失敗

B、本地策略——>用戶權限分配
關閉系統：只有Administrators組、其它所有刪除。
經過終端服務容許登錄：只加入Administrators,Remote Desktop Users組，其餘所有刪除

C、本地策略——>安全選項
交互式登錄：不顯示上次的用戶名 啓用
網絡訪問：不容許SAM賬戶和共享的匿名枚舉 啓用
網絡訪問：不容許爲網絡身份驗證儲存憑證 啓用
網絡訪問：可匿名訪問的共享 所有刪除
網絡訪問：可匿名訪問的命 所有刪除
網絡訪問：可遠程訪問的註冊表路徑 所有刪除
網絡訪問：可遠程訪問的註冊表路徑和子路徑 所有刪除
賬戶：重命名來賓賬戶 重命名一個賬戶
賬戶：重命名系統管理員賬戶 重命名一個賬戶

３、禁用沒必要要的服務 開始-運行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶可以共享
文件、打印和登陸到網絡
Server支持此計算機經過網絡的文件、打印、和命名管道共享
Computer Browser 維護網絡上計算機的最新列表以及提供這個列表
Task scheduler 容許程序在指定時間運行
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Distributed File System: 局域網管理共享文件，不須要可禁用
Distributed linktracking client：用於局域網更新鏈接信息，不須要可禁用
Error reporting service：禁止發送錯誤報告
Microsoft Serch：提供快速的單詞搜索，不須要可禁用
NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不須要可禁用
PrintSpooler：若是沒有打印機可禁用
Remote Registry：禁止遠程修改註冊表
Remote Desktop Help Session Manager：禁止遠程協助
Workstation 關閉的話遠程NET命令列不出用戶組
以上是在Windows Server 2003 系統上面默認啓動的服務中禁用的，默認禁用的服務如沒特別須要的話不要啓動。

４、修改註冊表
修改註冊表，讓系統更強壯
1) 隱藏重要文件/目錄能夠修改註冊表實現徹底隱藏
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL」，鼠標右擊 「CheckedValue」，選擇修改，把數值由1改成0

2) 防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值，名爲SynAttackProtect，值爲2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0

3) 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值，名爲PerformRouterDiscovery 值爲0

4) 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
將EnableICMPRedirects 值設爲0

5) 不支持IGMP協議
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值，名爲IGMPLevel 值爲0
6) 禁止IPC空鏈接：
cracker能夠利用net use命令創建空鏈接，進而入侵，還有net view，nbtstat這些都是基於空鏈接的，禁止空鏈接就行了。
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個值改爲」1」便可。

7) 更改TTL值
cracker能夠根據ping回的TTL值來大體判斷你的操做系統，如：
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你能夠本身改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改爲一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不必定哦

8) 刪除默認共享
有人問過我一開機就共享全部盤，改回來之後，重啓又變成了共享是怎麼回事，這是2K爲管理而設置的默認共享，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer類型是REG_DWORD把值改成0便可

9) 禁止創建空鏈接
默認狀況下，任何用戶經過經過空鏈接連上服務器，進而枚舉出賬號，猜想密碼。咱們能夠經過修改註冊表來禁止創建空鏈接：
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改爲」1」便可。

10) 創建一個記事本，填上如下代碼。保存爲*.bat並加到啓動項目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del

5、IIS站點設置：
1) 將IIS目錄＆數據與系統磁盤分開，保存在專用磁盤空間內；
2) 啓用父級路徑；
3) 在IIS管理器中刪除必須以外的任何沒有用到的映射（保留asp等必要映射便可）；
4) 在IIS中將HTTP404 Object Not Found出錯頁面經過URL重定向到一個定製HTM文件；
5) Web站點權限設定（建議）：
讀 容許
寫 不容許
腳本源訪問 不容許
目錄瀏覽 建議關閉
日誌訪問 建議關閉
索引資源 建議關閉
執行 推薦選擇 「僅限於腳本」 。
6) 建議使用W3C擴充日誌文件格式，天天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態，用戶代理，並且天天均要審查日誌。（最好不要使用缺省的目錄，建議更換一個記日誌的路徑，同時設置日誌的訪問權限，只容許管理員和system爲Full Control）。
7) 程序安全:
A. 涉及用戶名與口令的程序最好封裝在服務器端，儘可能少的在ASP文件裏出現，涉及到與數據庫鏈接地用戶名與口令應給予最小的權限;
B. 須要通過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面;
C. 防止ASP主頁.inc文件泄露問題;
D. 防止UE等編輯器生成some.asp.bak文件泄露問題。

6、IIS權限設置的思路
1) 要爲每一個獨立的要保護的個體（好比一個網站或者一個虛擬目錄）建立一個系統用戶，讓這個站點在系統中具備唯一的能夠設置權限的身份。
2) 在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛建立的那個用戶名。
3) 設置全部的分區禁止這個用戶訪問，而剛纔這個站點的主目錄對應的那個文件夾設置容許這個用戶訪問（要去掉繼承父權限，而且要加上超管組和SYSTEM組）。

7、卸載最不安全的組件
最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存爲一個.BAT文件，( 如下均以 WIN2000 爲例，若是使用2003，則系統文件夾應該是 C:WINDOWS ) regsvr32/u C:WINDOWSSystem32wshom.ocx del C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll del C:WINNTWINDOWSshell32.dll