IIS安全配置Word格式.docx
《IIS安全配置Word格式.docx》由会员分享,可在线阅读,更多相关《IIS安全配置Word格式.docx(24页珍藏版)》请在冰点文库上搜索。
*RemoteAccessServer(disable)
*RemoteProcedureCall(RPC)locater(disable)
*Schedule(disable)
*Server(disable)
*SimpleServices(disable)
*Spooler(disable)
*TCP/IPNetbiosHelper(disable)
*TelephoneService(disable)
在必要时禁止如下服务:
*SNMPservice(optional)
*SNMPtrap(optional)
*UPS(optional
设置如下服务为自动启动:
*Eventlog(required)
*NTLMSecurityProvider(required)
*RPCservice(required)
*WWW(required)
*Workstation(leaveserviceon:
willbedisabledlaterinthedocument)
*MSDTC(required)
*ProtectedStorage(required)
■.删除OS/2和POSIX子系统:
删除如下目录的任何键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2SubsystemforNT
删除如下的键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Optional
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Posix
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Os2
删除如下目录:
c:
\winnt\system32\os2
■.帐号和密码策略
1)保证禁止guest帐号
2)将administrator改名为比较难猜的帐号
3)密码唯一性:
记录上次的6个密码
4)最短密码期限:
2
5)密码最长期限:
42
6)最短密码长度:
8
7)密码复杂化(passfilt.dll):
启用
8)用户必须登录方能更改密码:
9)帐号失败登录锁定的门限:
6
10)锁定后重新启用的时间间隔:
720分钟
■.保护文件和目录
将C:
\winnt,C:
\winnt\config,C:
\winnt\system32,
C:
\winnt\system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限
■.注册表一些条目的修改
1)去除logon对话框中的shutdown按钮
将HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\WindowsNT\CurrentVersion\Winlogon\中
ShutdownWithoutLogonREG_SZ值设为0
2)去除logon信息的cashing功能
CachedLogonsCountREG_SZ值设为0
3)隐藏上次登陆的用户名
DontDisplayLastUserNameREG_SZ值设为1
4)限制LSA匿名访问
将HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Control\LSA中
RestricAnonymousREG_DWORD值设为1
5)去除所有网络共享
\CurrentControlSet\Services\LanManServer\Parameters\中
AutoShareServerREG_DWORD值设为0
■.启用TCP/IP过滤
只允许TCP端口80和443(如果使用SSL)
不允许UDP端口
只允许IPProtocol6(TCP)
■.移动部分重要文件并加访问控制:
创建一个只有系统管理员能够访问的目录,将system32目录下的一些重要文件移动到此目录:
xcopy.exe,wscript.exe,cscript.exe,net.exe,ftp.exe,telnet.exe,arp.exe,
edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
qbasic.exe,runonce.exe,syskey.exe,cacls.exe,ipconfig.exe,rcp.exe,
secfixup.exe,nbtstat.exe,rdisk.exe,debug.exe,regedt32.exe,regedit.exe,
netstat.exe,tracert.exe,nslookup.exe,rexec.exe,cmd.exe
■.安装防病毒软件Norton2000
■.可以下载Hisecweb.inf安全模板来配置
Http:
//
该模板配置基本的Windows2000系统安全策略。
将该模板复制到%windir%\security\templates目录。
打开“安全模板”工具,查看这些设置。
打开“安全配置和分析”工具,然后装载该模板。
右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即分析计算机”。
等候操作完成。
查看结果,如有必要就更新该模板。
右键单击“安全配置和分析”工具,然后从上下文菜单中选择“立即配置计算机”。
二、IIS的安全配置
■.关闭并删除默认站点:
默认FTP站点
默认Web站点
管理Web站点
■.建立自己的站点,与系统不在一个分区,如
D:
\wwwroot3.建立E:
\Logfiles目录,以后建立站点时的日志文件均位于此目录,
确保此目录上的访问控制权限是:
Administrators(完全控制)System(完全控制)
■.删除IIS的部分目录:
IISHelpC:
\winnt\help\iishelp
IISAdminC:
\system32\inetsrv\iisadmin
MSADCC:
\ProgramFiles\CommonFiles\System\msadc\
删除C:
\\inetpub
■.删除不必要的IIS映射和扩展:
IIS被预先配置为支持常用的文件名扩展如.asp和.shtm文件。
IIS接收到这些类型的文件请求时,该调用由DLL处理。
如果您不使用其中的某些扩展或功能,则应删除该映射,步骤如下:
打开Internet服务管理器:
选择计算机
名,点鼠标右键,选择属性:
然后选择编辑
然后选择主目录,点击配置
选择扩展名\"
.htw\"
\"
.htr\"
.idc\"
.ida\"
.idq\"
和\"
.printer\"
,点击删除
如果不使用serversideinclude,则删除\"
.shtm\"
\"
.stm\"
和\"
.shtml\"
■.禁用父路径:
“父路径”选项允许您在对诸如MapPath函数调用中使用“..”。
在默认情况下,该选项
处于启用状态,应该禁用它。
禁用该选项的步骤如下:
右键单击该Web站点的根,然后从上下文菜单中选择“属性”。
单击“主目录”选项卡。
单击“配置”。
单击“应用程序选项”选项卡。
取消选择“启用父路径”复选框。
■.在虚拟目录上设置访问控制权限
主页使用的文件按照文件类型应使用不同的访问控制列表:
CGI(.exe,.dll,.cmd,.pl)
Everyone(X)
Administrators(完全控制)
System(完全控制)
脚本文件(.asp)
include文件(.inc,.shtm,.shtml)
静态内容(.txt,.gif,.jpg,.html)
Everyone(R)
在创建Web站点时,没有必要在每个文件上设置访问控制权限,
应该为每个文件类型创建一个新目录,然后在每个目录上设置访问控制权限、
允许访问控制权限传给各个文件。
例如,目录结构可为以下形式:
\wwwroot\myserver\static(.html)
\wwwroot\myserver\include(.inc)
\wwwroot\myserver\script(.asp)
\wwwroot\myserver\executable(.dll)
\wwwroot\myserver\images(.gif,.jpeg)
■.启用日志记录
确定服务器是否被攻击时,日志记录是极其重要的。
应使用W3C扩展日志记录格式,步骤如下:
右键单击站点,然后从上下文菜单中选择“属性”。
单击“Web站点”选项卡。
选中“启用日志记录”复选框。
从“活动日志格式”下拉列表中选择“W3C扩展日志文件格式”。
单击“属性”。
单击“扩展属性”选项卡,然后设置以下属性:
*客户IP地址
*用户名
*方法
*URI资源
*HTTP状态
*Win32状态
*用户代理
*服务器IP地址
*服务器端口
IIS与SQL服务器安全加固
安装和配置WindowsServer2003。
1.将\System32\cmd.exe转移到其他目录或更名;
2.系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;
3.拒绝通过网络访问该计算机(匿名登录;
内置管理员帐户;
Support_388945a0;
Guest;
所有非操作系统服务帐户)
4.建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
5.NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高):
文件类型
建议的NTFS权限
CGI文件(.exe、.dll、.cmd、.pl)
脚本文件(.asp)
包含文件(.inc、.shtm、.shtml)
静态内容(.txt、.gif、.jpg、.htm、.html)
Everyone(执行)
Administrators(完全控制)
System(完全控制)
6.禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
7.禁止ADMIN$缺省共享
AutoShareWks、REG_DWORD、0x0
8.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymousREG_DWORD0x0缺省
0x1匿名用户无法列举本机用户列表
0x2匿名用户无法连接本机IPC$共享
说明:
不建议使用2,否则可能会造成你的一些服务无法启动,如SQLServer
9.仅给用户真正需要的权限,权限的最小化原则是安全的重要保障
10.在本地安全策略->
审核策略中打开相应的审核,推荐的审核是:
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;
审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
与之相关的是:
在账户策略->
密码策略中设定:
密码复杂性要求启用
密码长度最小值6位
强制密码历史5次
最长存留期30天
账户锁定策略中设定:
账户锁定3次错误登录
锁定时间20分钟
复位锁定计数20分钟
11.在TerminalServiceConfigration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
12.解除NetBios与TCP/IP协议的绑定
控制面版——网络——绑定——NetBios接口——禁用2000:
控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
13.在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)
14.通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止139空连接
15.修改数据包的生存时间(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTLREG_DWORD0-0xff(0-255十进制,默认值128)
16.防止SYN洪水攻击
SynAttackProtectREG_DWORD0x2(默认值为0x0)
17.禁止响应ICMP路由通告报文
\Interfaces\interface
PerformRouterDiscoveryREG_DWORD0x0(默认值为0x2)
18.防止ICMP重定向报文的攻击
EnableICMPRedirectsREG_DWORD0x0(默认值为0x1)
19.不支持IGMP协议
IGMPLevelREG_DWORD0x0(默认值为0x2)
20.设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:
\Tcpip\Parameters
ArpCacheLifeREG_DWORD0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLifeREG_DWORD0-0xFFFFFFFF(秒数,默认值为600)
21.禁止死网关监测技术
EnableDeadGWDetectREG_DWORD0x0(默认值为ox1)
22.不支持路由功能
IPEnableRouterREG_DWORD0x0(默认值为0x0)
增强IIS安全的简单措施
Web服务在任何网络中都是最容易遭受攻击的。
也许你正在使用最受欢迎的Web服务器,微软的网络信息服务器(IIS)。
尽管最近释放的IIS6.0增强了安全性,但并不是万能的。
你可以采取五个简单的措施使你的IIS6.0更安全。
只使能IIS与商务需求相关的组件
IIS6.0的改变之一就是,IIS只默认使能不可或缺的静态网页服务。
注意保持这种配置,只开启你真正需要的服务。
严格限制分配给IUSR_systemname帐户的访问权限
运行在服务器上的许多应用程序都调用IUSR(互联网用户)帐户,代表未经许可的网络用户与系统进行交互。
这实际上限制了这个帐户对服务器必需的操作的权限。
使用自动升级实时更新安全修补程序
尽管新版本比先前的版本在安全方面有显著的改进,如果历史重演(微软似乎经常如此),释放的6.0版很快就会因为安全原因有一个或更多的修补程序。
使能自动升级保证你尽快收到修补程序。
使用快速失败保护
新版本最显著的特点是你可以使能快速失败保护(Rapid-FailProtection)功能。
这会使你的服务器免受安全事故和性能的影响,通常是在很短的时间内失败太多次的进程造成的,例如故障或恶意攻击。
当这种情况发生时,网络管理服务关闭应用程序池,阻止进一步的故障发生,使应用程序不可用,直到管理员处理后。
对远程管理进行严格限制
在任何地方都可以管理服务器很棒,但是你要确保只有授权的用户才可如此。
你应该要求所有远程管理员使用静态IP地址登录,并且登录限制在预先指定的安全的IP地址。
你还应该使用强有力的认证。
这不是你应该采取的措施的完整列表,这五个简单的方法可以立即改善IIS服务器的安全状况。
访问微软IIs安全中心,了解更多IIS安全信息。
三分种保证IIS自身的安全性
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。
1.不要将IIS安装在系统分区上。
2.修改IIS的安装默认路径。
3.打上Windows和IIS的最新补丁。
IIS的
安全配置
1.删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。
2.删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如Internet服务管理器(HTML)、SMTPService和NNTPService、样本页面和脚本,大家可以根据自己的需要决定是否删除。
3.为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。
一个好的设置策略是:
为Web站点上不同类型的文件都建立目录,然后给它们分配适当权限。
例如:
静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝