Win2003下IIS安全配置整理html
1、系統的安裝
1、按照Windows2003安裝光盤的提示安裝,默認狀況下2003沒有把IIS6.0安裝在系統裏面。
2、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應用程序 ———ASP.NET(可選)
|——啓用網絡 COM+ 訪問(必選)
|——Internet 信息服務(IIS)———Internet 信息服務管理器(必選)
|——公用文件(必選)
|——萬維網服務———Active Server pages(必選)
|——Internet 數據鏈接器(可選)
|——WebDAV 發佈(可選)
|——萬維網服務(必選)
|——在服務器端的包含文件(可選)
而後點擊肯定—>下一步安裝。(具體見本文附件1)linux
3、系統補丁的更新
點擊開始菜單—>全部程序—>Windows Update
按照提示進行補丁的安裝。shell
4、備份系統
用GHOST備份系統。數據庫
5、安裝經常使用的軟件
例如:殺毒軟件、解壓縮軟件等;安裝完畢後,配置殺毒軟件,掃描系統漏洞,安裝以後用GHOST再次備份系統。windows
6、先關閉不須要的端口 開啓防火牆 導入IPSEC策略
在」網絡鏈接」裏,把不須要的協議和服務都刪掉,這裏只安裝了基本的Internet協議(TCP/IP),因爲要控制帶寬流量服務,額外安裝了Qos數據包計劃程序。在高級tcp/ip設置裏--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。在高級選項裏,使用"Internet鏈接防火牆",這是windows 2003 自帶的防火牆,在2000系統裏沒有的功能,雖然沒什麼功能,但能夠屏蔽端口,這樣已經基本達到了一個IPSec的功能。安全
修改3389遠程鏈接端口
修改註冊表.
開始--運行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改成你想用的端口號.注意使用十進制(例 10000 ) 服務器
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改成你想用的端口號.注意使用十進制(例 10000 )
注意:別忘了在WINDOWS2003自帶的防火牆給+上10000端口
修改完畢.從新啓動服務器.設置生效。網絡
2、用戶安全設置
1、禁用Guest帳號
在計算機管理的用戶裏面把Guest帳號禁用。爲了保險起見,最好給Guest加一個複雜的密碼。你能夠打開記事本,在裏面輸入一串包含特殊字符、數字、字母的長字符串,而後把它做爲Guest用戶的密碼拷進去。
2、限制沒必要要的用戶
去掉全部的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限,而且常常檢查系統的用戶,刪除已經再也不使用的用戶。這些用戶不少時候都是黑客們入侵系統的突破口。
3、把系統Administrator帳號更名
你們都知道,Windows 2003 的Administrator用戶是不能被停用的,這意味着別人能夠一遍又一遍地嘗試這個用戶的密碼。儘可能把它假裝成普通用戶,好比改爲Guesycludx。
4、建立一個陷阱用戶
什麼是陷阱用戶?即建立一個名爲「Administrator」的本地用戶,把它的權限設置成最低,什麼事也幹不了的那種,而且加上一個超過10位的超級複雜密碼。這樣可讓那些 Hacker們忙上一段時間,藉此發現它們的入侵企圖。
5、把共享文件的權限從Everyone組改爲受權用戶
任什麼時候候都不要把共享文件的用戶設置成「Everyone」組,包括打印共享,默認的屬性就是「Everyone」組的,必定不要忘了改。
6、開啓用戶策略
使用用戶策略,分別設置復位用戶鎖定計數器時間爲20分鐘,用戶鎖定時間爲20分鐘,用戶鎖定閾值爲3次。 (該項爲可選)
7、不讓系統顯示上次登陸的用戶名
默認狀況下,登陸對話框中會顯示上次登陸的用戶名。這使得別人能夠很容易地獲得系統的一些用戶名,進而作密碼猜想。修改註冊表能夠不讓對話框裏顯示上次登陸的用戶名。方法爲:打開註冊表編輯器並找到註冊表「HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName」,把REG_SZ的鍵值改爲1。
密碼安全設置
1、使用安全密碼
一些公司的管理員建立帳號的時候每每用公司名、計算機名作用戶名,而後又把這些用戶的密碼設置得太簡單,好比「welcome」等等。所以,要注意密碼的複雜性,還要記住常常改密碼。
2、設置屏幕保護密碼
這是一個很簡單也頗有必要的操做。設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。
3、開啓密碼策略
注意應用密碼策略,如啓用密碼複雜性要求,設置密碼長度最小值爲6位 ,設置強制密碼歷史爲5次,時間爲42天。
4、考慮使用智能卡來代替密碼
對於密碼,老是使安全管理員進退兩難,密碼設置簡單容易受到黑客的攻擊,密碼設置複雜又容易忘記。若是條件容許,用智能卡來代替複雜的密碼是一個很好的解決方法。tcp
3、系統權限的設置編輯器
3、系統權限的設置
1、磁盤權限
系統盤及全部磁盤只給 Administrators 組和 SYSTEM 的徹底控制權限
系統盤Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的徹底控制權限
系統盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的徹底控制權限
系統盤WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的徹底 控制權限
另將<systemroot>System32cmd.exe、format.com、ftp.exe轉移到其餘目錄或改名
Documents and Settings下全部些目錄都設置只給adinistrators權限。而且要一個一個目錄查看,包括下面的全部子目錄。
刪除c:inetpub目錄
2、本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審覈策略
審覈策略更改 成功 失敗
審覈登陸事件 成功 失敗
審覈對象訪問 失敗
審覈過程跟蹤 無審覈
審覈目錄服務訪問 失敗
審覈特權使用 失敗
審覈系統事件 成功 失敗
審覈帳戶登陸事件 成功 失敗
審覈帳戶管理 成功 失敗
B、本地策略——>用戶權限分配
關閉系統:只有Administrators組、其它所有刪除。
經過終端服務容許登錄:只加入Administrators,Remote Desktop Users組,其餘所有刪除
C、本地策略——>安全選項
交互式登錄:不顯示上次的用戶名 啓用
網絡訪問:不容許SAM賬戶和共享的匿名枚舉 啓用
網絡訪問:不容許爲網絡身份驗證儲存憑證 啓用
網絡訪問:可匿名訪問的共享 所有刪除
網絡訪問:可匿名訪問的命 所有刪除
網絡訪問:可遠程訪問的註冊表路徑 所有刪除
網絡訪問:可遠程訪問的註冊表路徑和子路徑 所有刪除
賬戶:重命名來賓賬戶 重命名一個賬戶
賬戶:重命名系統管理員賬戶 重命名一個賬戶
3、禁用沒必要要的服務 開始-運行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶可以共享
文件、打印和登陸到網絡
Server支持此計算機經過網絡的文件、打印、和命名管道共享
Computer Browser 維護網絡上計算機的最新列表以及提供這個列表
Task scheduler 容許程序在指定時間運行
Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
Distributed File System: 局域網管理共享文件,不須要可禁用
Distributed linktracking client:用於局域網更新鏈接信息,不須要可禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不須要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不須要可禁用
PrintSpooler:若是沒有打印機可禁用
Remote Registry:禁止遠程修改註冊表
Remote Desktop Help Session Manager:禁止遠程協助
Workstation 關閉的話遠程NET命令列不出用戶組
以上是在Windows Server 2003 系統上面默認啓動的服務中禁用的,默認禁用的服務如沒特別須要的話不要啓動。
4、修改註冊表
修改註冊表,讓系統更強壯
1) 隱藏重要文件/目錄能夠修改註冊表實現徹底隱藏
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL」,鼠標右擊 「CheckedValue」,選擇修改,把數值由1改成0
2) 防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名爲SynAttackProtect,值爲2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
3) 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值,名爲PerformRouterDiscovery 值爲0
4) 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
將EnableICMPRedirects 值設爲0
5) 不支持IGMP協議
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名爲IGMPLevel 值爲0
6) 禁止IPC空鏈接:
cracker能夠利用net use命令創建空鏈接,進而入侵,還有net view,nbtstat這些都是基於空鏈接的,禁止空鏈接就行了。
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個值改爲」1」便可。
7) 更改TTL值
cracker能夠根據ping回的TTL值來大體判斷你的操做系統,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你能夠本身改的:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改爲一個莫名其妙的數字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不必定哦
8) 刪除默認共享
有人問過我一開機就共享全部盤,改回來之後,重啓又變成了共享是怎麼回事,這是2K爲管理而設置的默認共享,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters:AutoShareServer類型是REG_DWORD把值改成0便可
9) 禁止創建空鏈接
默認狀況下,任何用戶經過經過空鏈接連上服務器,進而枚舉出賬號,猜想密碼。咱們能夠經過修改註冊表來禁止創建空鏈接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改爲」1」便可。
10) 創建一個記事本,填上如下代碼。保存爲*.bat並加到啓動項目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
5、IIS站點設置:
1) 將IIS目錄&數據與系統磁盤分開,保存在專用磁盤空間內;
2) 啓用父級路徑;
3) 在IIS管理器中刪除必須以外的任何沒有用到的映射(保留asp等必要映射便可);
4) 在IIS中將HTTP404 Object Not Found出錯頁面經過URL重定向到一個定製HTM文件;
5) Web站點權限設定(建議):
讀 容許
寫 不容許
腳本源訪問 不容許
目錄瀏覽 建議關閉
日誌訪問 建議關閉
索引資源 建議關閉
執行 推薦選擇 「僅限於腳本」 。
6) 建議使用W3C擴充日誌文件格式,天天記錄客戶IP地址,用戶名,服務器端口,方法,URI字根,HTTP狀態,用戶代理,並且天天均要審查日誌。(最好不要使用缺省的目錄,建議更換一個記日誌的路徑,同時設置日誌的訪問權限,只容許管理員和system爲Full Control)。
7) 程序安全:
A. 涉及用戶名與口令的程序最好封裝在服務器端,儘可能少的在ASP文件裏出現,涉及到與數據庫鏈接地用戶名與口令應給予最小的權限;
B. 須要通過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面;
C. 防止ASP主頁.inc文件泄露問題;
D. 防止UE等編輯器生成some.asp.bak文件泄露問題。
6、IIS權限設置的思路
1) 要爲每一個獨立的要保護的個體(好比一個網站或者一個虛擬目錄)建立一個系統用戶,讓這個站點在系統中具備唯一的能夠設置權限的身份。
2) 在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛建立的那個用戶名。
3) 設置全部的分區禁止這個用戶訪問,而剛纔這個站點的主目錄對應的那個文件夾設置容許這個用戶訪問(要去掉繼承父權限,而且要加上超管組和SYSTEM組)。
7、卸載最不安全的組件
最簡單的辦法是直接卸載後刪除相應的程序文件。將下面的代碼保存爲一個.BAT文件,( 如下均以 WIN2000 爲例,若是使用2003,則系統文件夾應該是 C:WINDOWS ) regsvr32/u C:WINDOWSSystem32wshom.ocx del C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll del C:WINNTWINDOWSshell32.dll