IIS安全配置Word格式.docx

IIS安全配置Word格式.docx

《IIS安全配置Word格式.docx》由会员分享，可在线阅读，更多相关《IIS安全配置Word格式.docx（24页珍藏版）》请在冰点文库上搜索。

*RemoteAccessServer（disable）

*RemoteProcedureCall（RPC）locater（disable）

*Schedule（disable）

*Server（disable）

*SimpleServices（disable）

*Spooler（disable）

*TCP/IPNetbiosHelper（disable）

*TelephoneService（disable）

在必要时禁止如下服务：

*SNMPservice（optional）

*SNMPtrap（optional）

*UPS（optional

设置如下服务为自动启动：

*Eventlog（required）

*NTLMSecurityProvider（required）

*RPCservice（required）

*WWW（required）

*Workstation（leaveserviceon:

willbedisabledlaterinthedocument）

*MSDTC（required）

*ProtectedStorage（required）

■.删除OS/2和POSIX子系统:

删除如下目录的任何键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2SubsystemforNT

删除如下的键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Optional

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Os2

删除如下目录：

c:

\winnt\system32\os2

■.帐号和密码策略

1）保证禁止guest帐号

2）将administrator改名为比较难猜的帐号

3）密码唯一性：

记录上次的6个密码

4）最短密码期限：

2

5）密码最长期限：

42

6）最短密码长度：

8

7）密码复杂化（passfilt.dll）：

启用

8）用户必须登录方能更改密码：

9）帐号失败登录锁定的门限：

6

10）锁定后重新启用的时间间隔：

720分钟

■．保护文件和目录

将C:

\winnt,C:

\winnt\config,C:

\winnt\system32,

C:

\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限

■．注册表一些条目的修改

1）去除logon对话框中的shutdown按钮

将HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\WindowsNT\CurrentVersion\Winlogon\中

ShutdownWithoutLogonREG_SZ值设为0

2）去除logon信息的cashing功能

CachedLogonsCountREG_SZ值设为0

3）隐藏上次登陆的用户名

DontDisplayLastUserNameREG_SZ值设为1

4）限制LSA匿名访问

将HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Control\LSA中

RestricAnonymousREG_DWORD值设为1

5）去除所有网络共享

\CurrentControlSet\Services\LanManServer\Parameters\中

AutoShareServerREG_DWORD值设为0

■.启用TCP/IP过滤

只允许TCP端口80和443（如果使用SSL）

不允许UDP端口

只允许IPProtocol6（TCP）

■.移动部分重要文件并加访问控制：

创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录：

xcopy.exe,wscript.exe,cscript.exe,net.exe,ftp.exe,telnet.exe,arp.exe,

edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,

qbasic.exe,runonce.exe,syskey.exe,cacls.exe,ipconfig.exe,rcp.exe,

secfixup.exe,nbtstat.exe,rdisk.exe,debug.exe,regedt32.exe,regedit.exe,

netstat.exe,tracert.exe,nslookup.exe,rexec.exe,cmd.exe

■．安装防病毒软件Norton2000

■.可以下载Hisecweb.inf安全模板来配置

Http:

//

该模板配置基本的Windows2000系统安全策略。

将该模板复制到%windir%\security\templates目录。

打开“安全模板”工具，查看这些设置。

打开“安全配置和分析”工具，然后装载该模板。

右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。

等候操作完成。

查看结果，如有必要就更新该模板。

右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。

二、IIS的安全配置

■．关闭并删除默认站点：

默认FTP站点

默认Web站点

管理Web站点

■．建立自己的站点，与系统不在一个分区，如

D:

\wwwroot3．建立E:

\Logfiles目录，以后建立站点时的日志文件均位于此目录，

确保此目录上的访问控制权限是：

Administrators（完全控制）System（完全控制）

■．删除IIS的部分目录：

IISHelpC:

\winnt\help\iishelp

IISAdminC:

\system32\inetsrv\iisadmin

MSADCC:

\ProgramFiles\CommonFiles\System\msadc\

删除C:

\\inetpub

■.删除不必要的IIS映射和扩展：

IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。

IIS接收到这些类型的文件请求时，该调用由DLL处理。

如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：

打开Internet服务管理器：

选择计算机

名，点鼠标右键，选择属性：

然后选择编辑

然后选择主目录，点击配置

选择扩展名\"

.htw\"

\"

.htr\"

.idc\"

.ida\"

.idq\"

和\"

.printer\"

，点击删除

如果不使用serversideinclude，则删除\"

.shtm\"

\"

.stm\"

和\"

.shtml\"

■.禁用父路径:

“父路径”选项允许您在对诸如MapPath函数调用中使用“..”。

在默认情况下，该选项

处于启用状态，应该禁用它。

禁用该选项的步骤如下：

右键单击该Web站点的根，然后从上下文菜单中选择“属性”。

单击“主目录”选项卡。

单击“配置”。

单击“应用程序选项”选项卡。

取消选择“启用父路径”复选框。

■.在虚拟目录上设置访问控制权限

主页使用的文件按照文件类型应使用不同的访问控制列表：

CGI（.exe,.dll,.cmd,.pl）

Everyone（X）

Administrators（完全控制）

System（完全控制）

脚本文件（.asp）

include文件（.inc,.shtm,.shtml）

静态内容（.txt,.gif,.jpg,.html）

Everyone（R）

在创建Web站点时，没有必要在每个文件上设置访问控制权限，

应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、

允许访问控制权限传给各个文件。

例如，目录结构可为以下形式：

\wwwroot\myserver\static（.html）

\wwwroot\myserver\include（.inc）

\wwwroot\myserver\script（.asp）

\wwwroot\myserver\executable（.dll）

\wwwroot\myserver\images（.gif,.jpeg）

■.启用日志记录

确定服务器是否被攻击时，日志记录是极其重要的。

应使用W3C扩展日志记录格式，步骤如下：

右键单击站点，然后从上下文菜单中选择“属性”。

单击“Web站点”选项卡。

选中“启用日志记录”复选框。

从“活动日志格式”下拉列表中选择“W3C扩展日志文件格式”。

单击“属性”。

单击“扩展属性”选项卡，然后设置以下属性：

*客户IP地址

*用户名

*方法

*URI资源

*HTTP状态

*Win32状态

*用户代理

*服务器IP地址

*服务器端口

IIS与SQL服务器安全加固

安装和配置WindowsServer2003。

1.将\System32\cmd.exe转移到其他目录或更名；

2.系统帐号尽量少，更改默认帐户名（如Administrator）和描述，密码尽量复杂；

3.拒绝通过网络访问该计算机（匿名登录；

内置管理员帐户；

Support_388945a0；

Guest；

所有非操作系统服务帐户）

4.建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。

5.NTFS文件权限设定（注意文件的权限优先级别比文件夹的权限高）：

文件类型

建议的NTFS权限

CGI文件（.exe、.dll、.cmd、.pl）

脚本文件（.asp）

包含文件（.inc、.shtm、.shtml）

静态内容（.txt、.gif、.jpg、.htm、.html）

Everyone（执行）

Administrators（完全控制）

System（完全控制）

6.禁止C$、D$一类的缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareServer、REG_DWORD、0x0

7.禁止ADMIN$缺省共享

AutoShareWks、REG_DWORD、0x0

8.限制IPC$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymousREG_DWORD0x0缺省

0x1匿名用户无法列举本机用户列表

0x2匿名用户无法连接本机IPC$共享

说明:

不建议使用2，否则可能会造成你的一些服务无法启动，如SQLServer

9.仅给用户真正需要的权限，权限的最小化原则是安全的重要保障

10.在本地安全策略->

审核策略中打开相应的审核，推荐的审核是：

账户管理成功失败

登录事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

账户登录事件成功失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；

审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。

与之相关的是：

在账户策略->

密码策略中设定：

密码复杂性要求启用

密码长度最小值6位

强制密码历史5次

最长存留期30天

账户锁定策略中设定：

账户锁定3次错误登录

锁定时间20分钟

复位锁定计数20分钟

11.在TerminalServiceConfigration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。

12.解除NetBios与TCP/IP协议的绑定

控制面版——网络——绑定——NetBios接口——禁用2000：

控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

13.在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口（如80）

14.通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止139空连接

15.修改数据包的生存时间（TTL）值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DefaultTTLREG_DWORD0-0xff（0-255十进制,默认值128）

16.防止SYN洪水攻击

SynAttackProtectREG_DWORD0x2（默认值为0x0）

17.禁止响应ICMP路由通告报文

\Interfaces\interface

PerformRouterDiscoveryREG_DWORD0x0（默认值为0x2）

18.防止ICMP重定向报文的攻击

EnableICMPRedirectsREG_DWORD0x0（默认值为0x1）

19.不支持IGMP协议

IGMPLevelREG_DWORD0x0（默认值为0x2）

20.设置arp缓存老化时间设置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:

\Tcpip\Parameters

ArpCacheLifeREG_DWORD0-0xFFFFFFFF（秒数,默认值为120秒）

ArpCacheMinReferencedLifeREG_DWORD0-0xFFFFFFFF（秒数,默认值为600）

21.禁止死网关监测技术

EnableDeadGWDetectREG_DWORD0x0（默认值为ox1）

22.不支持路由功能

IPEnableRouterREG_DWORD0x0（默认值为0x0）

增强IIS安全的简单措施

Web服务在任何网络中都是最容易遭受攻击的。

也许你正在使用最受欢迎的Web服务器，微软的网络信息服务器（IIS）。

尽管最近释放的IIS6.0增强了安全性，但并不是万能的。

你可以采取五个简单的措施使你的IIS6.0更安全。

只使能IIS与商务需求相关的组件

IIS6.0的改变之一就是，IIS只默认使能不可或缺的静态网页服务。

注意保持这种配置，只开启你真正需要的服务。

严格限制分配给IUSR_systemname帐户的访问权限

运行在服务器上的许多应用程序都调用IUSR（互联网用户）帐户，代表未经许可的网络用户与系统进行交互。

这实际上限制了这个帐户对服务器必需的操作的权限。

使用自动升级实时更新安全修补程序

尽管新版本比先前的版本在安全方面有显著的改进，如果历史重演（微软似乎经常如此），释放的6.0版很快就会因为安全原因有一个或更多的修补程序。

使能自动升级保证你尽快收到修补程序。

使用快速失败保护

新版本最显著的特点是你可以使能快速失败保护（Rapid-FailProtection）功能。

这会使你的服务器免受安全事故和性能的影响，通常是在很短的时间内失败太多次的进程造成的，例如故障或恶意攻击。

当这种情况发生时，网络管理服务关闭应用程序池，阻止进一步的故障发生，使应用程序不可用，直到管理员处理后。

对远程管理进行严格限制

在任何地方都可以管理服务器很棒，但是你要确保只有授权的用户才可如此。

你应该要求所有远程管理员使用静态IP地址登录，并且登录限制在预先指定的安全的IP地址。

你还应该使用强有力的认证。

这不是你应该采取的措施的完整列表，这五个简单的方法可以立即改善IIS服务器的安全状况。

访问微软IIs安全中心，了解更多IIS安全信息。

三分种保证IIS自身的安全性

要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。

1.不要将IIS安装在系统分区上。

2.修改IIS的安装默认路径。

3.打上Windows和IIS的最新补丁。

IIS的

安全配置

1.删除不必要的虚拟目录

IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。

2.删除危险的IIS组件

默认安装后的有些IIS组件可能会造成安全威胁，例如Internet服务管理器（HTML）、SMTPService和NNTPService、样本页面和脚本，大家可以根据自己的需要决定是否删除。

3.为IIS中的文件分类设置权限

除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。

一个好的设置策略是：

为Web站点上不同类型的文件都建立目录，然后给它们分配适当权限。

例如：

静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝