安全部署企業(yè)WEB服務(wù)器

1、 安全部署企業(yè)WEB服務(wù)器摘 要：web服務(wù)器是intranet網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，安全部署web服務(wù)器是企業(yè)面臨的一項(xiàng)重要工作，系統(tǒng)安裝、安全策略和iis安全策略對企業(yè)web服務(wù)器安全、穩(wěn)定、高效地運(yùn)行至關(guān)重要。 關(guān)鍵詞：intranet；安全策略；組策略 web服務(wù)器是企業(yè)網(wǎng)intranet網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞將會給企業(yè)造成不可彌補(bǔ)的損失，管理好、使用好、保護(hù)好web服務(wù)器中的資源，是一項(xiàng)至關(guān)重要的工作。本文主要介紹web服務(wù)器安全策略方面的相關(guān)知識。 1系統(tǒng)安裝、系統(tǒng)安全策略配置 使用ntfs格式分區(qū)、設(shè)置不同的用戶訪問服務(wù)器的不同權(quán)限是搭建一

2、臺安全web服務(wù)器的最低要求。 windows 2003 安裝策略： 系統(tǒng)安裝在單獨(dú)的邏輯驅(qū)動器并自定義安裝目錄；以“最小的權(quán)限+最少的服務(wù)=最大的安全”為基本理念，只安裝所必需的服務(wù)和協(xié)議，如dns、dhcp，不需要的服務(wù)和協(xié)議一律不安裝；只保留tcp/ip 一項(xiàng)并禁用netbois；安裝windows2003最新補(bǔ)丁和防病毒軟件。 關(guān)閉windows2003不必要的服務(wù)。 關(guān)閉computer browser 、task scheduler 、routing and remote access、removable storage 、remote registry service、print

3、 spooler、ipsec policy agent 、distributed link tracking client、com+ event system 、alerter、error reporting service 、messenger 、telnet服務(wù)。LOCAlhOST 設(shè)置磁盤訪問權(quán)限。 系統(tǒng)磁盤只賦予administrators和system權(quán)限，系統(tǒng)所在目錄要加上users的默認(rèn)權(quán)限，以保障asp和aspx等應(yīng)用程序正常運(yùn)行。其他磁盤可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動時(shí)，需加system用戶權(quán)限，否則啟動不成功。 注冊表hkey_local_machine/

4、system/currentcontrolset/control/lsa，將dword值restrictanonymous的鍵值改為1，禁止 windows 系統(tǒng)進(jìn)行空連接。 關(guān)閉不需要的端口、更改遠(yuǎn)程連接端口。 本地連接屬性internet協(xié)議(tcp/ip)高級選項(xiàng)tcp/ip篩選屬性把勾打上，添加需要的端口(如: 21、80)。 更改遠(yuǎn)程連接端口：開始運(yùn)行輸入regedit 查找3389：將 hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwdsrdpwdtdstcp和hkey_local_machinesys

5、temcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp下的portnumber=3389改為自寶義的端口號并重新啟動服務(wù)器。 編寫批處理文件并在組策略中應(yīng)用，以關(guān)閉默認(rèn)共享的空連接。 net share c$ /delete net share d$ /delete net share e$ /delete net share f$ /delete net share admin$ /delete 將以上內(nèi)容寫入并保存到系統(tǒng)所在文件夾下的system32grouppolicyuserscriptslogon目錄下。運(yùn)行組策略編輯

6、器，用戶配置windows設(shè)置腳本(登錄/注銷)登錄“登錄 屬性”“添加”“添加腳本”對話框的“腳本名”欄中輸入“確定”按鈕重新啟動服務(wù)器，即可自動關(guān)閉系統(tǒng)的默認(rèn)隱藏共享，將系統(tǒng)安全隱患降至最低。 限制匿名訪問本機(jī)用戶。 “開始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項(xiàng)”雙擊“對匿名連接的額外限制”在下拉菜單中選擇“不允許枚舉sam帳號和共享”“確定”。 限制遠(yuǎn)程用戶對光驅(qū)或軟驅(qū)的訪問 。 “開始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項(xiàng)”雙擊“只有本地登錄用戶才能訪問軟盤”在單選按鈕中選擇“已啟用(e)” “確定”。 限制遠(yuǎn)程用戶對netmeeting的共

7、享，禁用netmeeting遠(yuǎn)程桌面共享功能。 運(yùn)行“” “計(jì)算機(jī)配置”“管理模板”“windows組件” “netmeeting” “禁用遠(yuǎn)程桌面共享”右鍵在單選按鈕中選擇“啟用(e)”“確定”。 限制用戶執(zhí)行windows安裝程序，防止用戶在系統(tǒng)上安裝軟件。方法同。 11刪除c:windowswebprinters目錄，避免溢出攻擊。 12刪除c:windowssyst123下一頁 em32inetsrviisadmpwd，此目錄在管理iis密碼時(shí)使用，當(dāng)把賬戶策略 密碼策略 密碼最短使用期限 設(shè)為0天即密碼不過期時(shí)，可避免iis密碼不同步問題。這里就可刪掉此目錄。 13修改注冊表防止小規(guī)

8、模ddos攻擊。hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters新建 “dword值”名為 “synattackprotect” 數(shù)值為”1” 14本地策略安全選項(xiàng)： 將清除虛擬內(nèi)存頁面文件 、不顯示上次的用戶名、不需要按ctrl+alt+del、不允許 sam 賬戶的匿名枚舉、不允許 sam 賬戶和共享的匿名枚舉、均更改為”已啟用” ；重命名來賓賬戶 更改成一個(gè)復(fù)雜的賬戶名；重命名系統(tǒng)管理員賬號，更改一個(gè)自己用的賬號，同時(shí)建立一個(gè)無用戶組的administrat賬戶。 2iis安全策略應(yīng)用 不使用默認(rèn)的web站點(diǎn)

9、，將iis目錄與系統(tǒng)磁盤分開。 將網(wǎng)站內(nèi)容移動到非系統(tǒng)驅(qū)動器，不使用默認(rèn)的 inetpubwwwroot 目錄，以減輕目錄遍歷攻擊帶來的危險(xiǎn)。 刪除iis默認(rèn)創(chuàng)建的inetpub目錄(在系統(tǒng)磁盤上)并配置網(wǎng)站訪問權(quán)限。為web 服務(wù)器配置站點(diǎn)、目錄和文件的訪問權(quán)限。 刪除系統(tǒng)盤下的虛擬目錄：vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。 刪除不必要的iis擴(kuò)展名映射。 右鍵單擊“默認(rèn)web站點(diǎn)屬性主目錄配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，主要為shtml、shtm、stm。 更改iis日志的路徑。 右鍵單擊“

10、默認(rèn)web站點(diǎn)屬性網(wǎng)站在啟用日志記錄下點(diǎn)擊屬性更改設(shè)置。 只選擇網(wǎng)站和 web 應(yīng)用程序正確運(yùn)行所必需的服務(wù)和子組件。開始控制面板 添加或刪除程序添加/刪除 windows 組件應(yīng)用程序服務(wù)器詳細(xì)信息 internet 信息服務(wù) (iis) 詳細(xì)信息然后通過選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框，來選擇或取消相應(yīng)的 iis 組件和服務(wù)。 iis 子組件和服務(wù)的推薦設(shè)置：禁用：后臺智能傳輸服務(wù) (bits) 服務(wù)器擴(kuò)展、ftp 服務(wù)、frontpage 2002 server extensions、internet 打印、nntp 服務(wù)。啟用：公用文件、internet 信息服務(wù)管理器、萬維網(wǎng)服務(wù)。

11、刪除未使用的帳戶，設(shè)置強(qiáng)密碼，使用以最低特權(quán)的帳戶。避免攻擊者通過使用以高級特權(quán)運(yùn)行的帳戶來獲取未經(jīng)授權(quán)的資源訪問權(quán)。 限制對服務(wù)器的匿名連接，確保禁用來賓帳戶；重命名管理員帳戶并分配一個(gè)強(qiáng)密碼以增強(qiáng)安全性。重命名 iusr 帳戶。 在 iis 元數(shù)據(jù)庫中更改 iusr 帳戶的值： “管理工具”“internet 信息服務(wù) (iis) 管理器” 右鍵單擊“本地計(jì)算機(jī)”“屬性”選中“允許直接編輯配置數(shù)據(jù)庫”復(fù)選框“確定” 瀏覽至 文件的位置，默認(rèn)情況下為 c:windowssystem32inetsrv 右鍵單擊 文件“編輯” 搜索“anonymoususername”屬性，鍵入 iusr 帳戶

12、的新名稱在“文件”菜單上單擊“退出”單擊“是”。 使用應(yīng)用程序池來隔離應(yīng)用程序，提高 web 服務(wù)器的可靠性和安全性。 創(chuàng)建應(yīng)用程序池： “管理工具”“internet 信息服務(wù) (iis) 管理器” 本地計(jì)算機(jī)右鍵單擊“應(yīng)用程序池”“新建”“應(yīng)用程序池”在“應(yīng)用程序池 id”框中，為應(yīng)用程序池鍵入一個(gè)新 id“應(yīng)用程序池設(shè)置” “use default settings for the new application pool”“確定”。將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池： “管理工具”“internet 信息服務(wù) (iis) 管理器” 右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序“屬性”“主目錄”、“虛擬目錄”或“目錄”選項(xiàng)卡，如果將目錄或虛擬目錄分配到應(yīng)用程序池，則驗(yàn)證“應(yīng)用程序名”框是否包含正確的網(wǎng)站或應(yīng)用程序名稱，“應(yīng)用程序池”列表框單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名稱“確定”。 經(jīng)過以上設(shè)置， iis安全性有了很大的提升，但一些不法攻擊者會不斷尋找新漏洞來攻擊web服務(wù)系統(tǒng)，所以我們一定要養(yǎng)成及時(shí)修補(bǔ)系統(tǒng)漏洞的習(xí)慣，并不斷提高管理人員的網(wǎng)絡(luò)技術(shù)水平，確保企業(yè)web服務(wù)器有一個(gè)安全、穩(wěn)定、高效的運(yùn)行環(huán)境。參考文獻(xiàn)：1王淑江,劉曉輝,張奎亭. windowsserver2003系統(tǒng)安全管理m.北京:電子工業(yè)出版