Web服務(wù)器安全加固步驟

IISWeb效勞器平安加固步驟：

步驟注意：安裝和配置WindowsServer2003。將<systemroot>\System32\cmd.exe轉(zhuǎn)移到其他目錄或更名；系統(tǒng)帳號盡量少，更改默認帳戶名〔如Administrator〕和描述，密碼盡量復(fù)雜；拒絕通過網(wǎng)絡(luò)訪問該計算機〔匿名登錄；內(nèi)置管理員帳戶；Support_388945a0；Guest；所有非操作系統(tǒng)效勞帳戶〕建議對一般用戶只給予讀取權(quán)限，而只給管理員和System以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成，這時需要對這些文件所在的文件夾權(quán)限進行更改，建議在做更改前先在測試機器上作測試，然后慎重更改。NTFS文件權(quán)限設(shè)定〔注意文件的權(quán)限優(yōu)先級別比文件夾的權(quán)限高〕：文件類型建議的NTFS權(quán)限CGI文件〔.exe、.dll、d、.pl〕

腳本文件(.asp)

包含文件〔.inc、.shtm、.shtml〕

靜態(tài)內(nèi)容〔.txt、.gif、.jpg、.htm、.html〕Everyone〔執(zhí)行〕

Administrators〔完全控制〕

System〔完全控制〕禁止C$、D$一類的缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareServer、REG_DWORD、0x0禁止ADMIN$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareWks、REG_DWORD、0x0限制IPC$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymousREG_DWORD0x0缺省

0x1匿名用戶無法列舉本機用戶列表

0x2匿名用戶無法連接本機IPC$共享

說明:不建議使用2，否那么可能會造成你的一些效勞無法啟動，如SQLServer僅給用戶真正需要的權(quán)限，權(quán)限的最小化原那么是平安的重要保障在本地平安策略->審核策略中翻開相應(yīng)的審核，推薦的審核是：

賬戶管理成功失敗

登錄事件成功失敗

對象訪問失敗

策略更改成功失敗

特權(quán)使用失敗

系統(tǒng)事件成功失敗

目錄效勞訪問失敗

賬戶登錄事件成功失敗

審核工程少的缺點是萬一你想看發(fā)現(xiàn)沒有記錄那就一點都沒轍；審核工程太多不僅會占用系統(tǒng)資源而且會導(dǎo)致你根本沒空去看，這樣就失去了審核的意義。與之相關(guān)的是：

在賬戶策略->密碼策略中設(shè)定：

密碼復(fù)雜性要求啟用

密碼長度最小值6位

強制密碼歷史5次

最長存留期30天

在賬戶策略->賬戶鎖定策略中設(shè)定：

賬戶鎖定3次錯誤登錄

鎖定時間20分鐘

復(fù)位鎖定計數(shù)20分鐘在TerminalServiceConfigration〔遠程效勞配置〕-權(quán)限-高級中配置平安審核，一般來說只要記錄登錄、注銷事件就可以了。解除NetBios與TCP/IP協(xié)議的綁定

控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用2000：控制面版——網(wǎng)絡(luò)和撥號連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選，僅開放必要的端口〔如80〕通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1來禁止139空連接修改數(shù)據(jù)包的生存時間(TTL)值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DefaultTTLREG_DWORD0-0xff(0-255十進制,默認值128)防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

SynAttackProtectREG_DWORD0x2(默認值為0x0)禁止響應(yīng)ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

PerformRouterDiscoveryREG_DWORD0x0(默認值為0x2)防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

EnableICMPRedirectsREG_DWORD0x0(默認值為0x1)不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

IGMPLevelREG_DWORD0x0(默認值為0x2)設(shè)置arp緩存老化時間設(shè)置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLifeREG_DWORD0-0xFFFFFFFF(秒數(shù),默認值為120秒)

ArpCacheMinReferencedLifeREG_DWORD0-0xFFFFFFFF(秒數(shù),默認值為600)禁止死網(wǎng)關(guān)監(jiān)測技術(shù)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

EnableDeadGWDetectREG_DWORD0x0(默認值為ox1)不支持路由功能

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

IPEnableRouterREG_DWORD0x0(默認值為0x0)安裝和配置IIS效勞：

僅安裝必要的IIS組件?！步貌恍枰娜鏔TP和SMTP效勞〕僅啟用必要的效勞和WebService擴展，推薦配置:UI中的組件名稱設(shè)置設(shè)置邏輯后臺智能傳輸效勞(BITS)效勞器擴展啟用BITS是WindowsUpdates和“自動更新〞所使用的后臺文件傳輸機制。如果使用WindowsUpdates或“自動更新〞在IIS效勞器中自動應(yīng)用ServicePack和熱修補程序，那么必須有該組件。公用文件啟用IIS需要這些文件，一定要在IIS效勞器中啟用它們。文件傳輸協(xié)議(FTP)效勞禁用允許IIS效勞器提供FTP效勞。專用IIS效勞器不需要該效勞。FrontPage2002ServerExtensions禁用為管理和發(fā)布Web站點提供FrontPage支持。如果沒有使用FrontPage擴展的Web站點，請在專用IIS效勞器中禁用該組件。Internet信息效勞管理器啟用IIS的管理界面。Internet打印禁用提供基于Web的打印機管理，允許通過HTTP共享打印機。專用IIS效勞器不需要該組件。NNTP效勞禁用在Internet中分發(fā)、查詢、檢索和投遞Usenet新聞文章。專用IIS效勞器不需要該組件。SMTP效勞禁用支持傳輸電子郵件。專用IIS效勞器不需要該組件。萬維網(wǎng)效勞啟用為客戶端提供Web效勞、靜態(tài)和動態(tài)內(nèi)容。專用IIS效勞器需要該組件。萬維網(wǎng)效勞子組件UI中的組件名稱安裝選項設(shè)置邏輯ActiveServerPage啟用提供ASP支持。如果IIS效勞器中的Web站點和應(yīng)用程序都不使用ASP，請禁用該組件；或使用Web效勞擴展禁用它。Internet數(shù)據(jù)連接器禁用通過擴展名為.idc的文件提供動態(tài)內(nèi)容支持。如果IIS效勞器中的Web站點和應(yīng)用程序都不包括.idc擴展文件，請禁用該組件；或使用Web效勞擴展禁用它。遠程管理(HTML)禁用提供管理IIS的HTML界面。改用IIS管理器可使管理更容易，并減少了IIS效勞器的攻擊面。專用IIS效勞器不需要該功能。遠程桌面Web連接禁用包括了管理終端效勞客戶端連接的MicrosoftActiveX?控件和范例頁面。改用IIS管理器可使管理更容易，并減少了IIS效勞器的攻擊面。專用IIS效勞器不需要該組件。效勞器端包括禁用提供.shtm、.shtml和.stm文件的支持。如果在IIS效勞器中運行的Web站點和應(yīng)用程序都不使用上述擴展的包括文件，請禁用該組件。WebDAV禁用WebDAV擴展了HTTP/1.1協(xié)議，允許客戶端發(fā)布、鎖定和管理Web中的資源。專用IIS效勞器禁用該組件；或使用Web效勞擴展禁用該組件。萬維網(wǎng)效勞啟用為客戶端提供Web效勞、靜態(tài)和動態(tài)內(nèi)容。專用IIS效勞器需要該組件將IIS目錄＆數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。在IIS管理器中刪除必須之外的任何沒有用到的映射〔保存asp等必要映射即可〕在IIS中將HTTP404ObjectNotFound出錯頁面通過URL重定向到一個定制HTM文件Web站點權(quán)限設(shè)定〔建議〕Web站點權(quán)限：授予的權(quán)限：讀允許寫不允許腳根源訪問不允許目錄瀏覽建議關(guān)閉日志訪問建議關(guān)閉索引資源建議關(guān)閉執(zhí)行推薦選擇“僅限于腳本〞建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，效勞器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志?！沧詈貌灰褂萌笔〉哪夸?，建議更換一個記日志的路徑，同時設(shè)置日志的訪問權(quán)限，只允許管理員和system為FullControl〕。程序平安:

1)涉及用戶名與口令的程序最好封裝在效勞器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;

2)需要經(jīng)過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉(zhuǎn)進來的會話才能讀取這個頁面。

3)防止ASP主頁.inc文件泄露問題;

4)防止UE等編輯器生成some.asp.bak文件泄露問題。平安更新。應(yīng)用所需的所有ServicePack和定期手動更新補丁。

安裝和配置防病毒保護。推薦NAV8.1以上版本病毒防火墻〔配置為至少每周自動升級一次〕。安裝和配置防火墻保護。推薦最新版BlackICEServerProtection防火墻〔配置簡單，比擬實用〕監(jiān)視解決方案。根據(jù)要求安裝和配置MOM代理或類似的監(jiān)視解決方案。加強數(shù)據(jù)備份。Web數(shù)據(jù)定時做備份，保證在出現(xiàn)問題后可以恢復(fù)到最近的狀態(tài)?？紤]實施IPSec篩選器。用IPSec過濾器阻斷端口Internet協(xié)議平安性(IPSec)過濾器可為增強效勞器所需要的平安級別提供有效的方法。本指南推薦在指南中定義的高平安性環(huán)境中使用該選項，以便進一步減少效勞器的受攻擊面。有關(guān)使用IPSec過濾器的詳細信息，請參閱模塊其他成員效勞器強化過程。下表列出在本指南定義的高級平安性環(huán)境下可在IIS效勞器上創(chuàng)立的所有IPSec過濾器。效勞協(xié)議源端口目標端口源地址目標地址操作鏡像TerminalServicesTCP所有3389所有ME允許是HTTPServerTCP所有80所有ME允許是HTTPSServerTCP所有443所有ME允許是在實施上表所列舉的規(guī)那么時，應(yīng)當對它們都進行鏡像處理。這樣可以確保任何進入效勞器的網(wǎng)絡(luò)通信也可以返回到源效勞器。SQL效勞器平安加固步驟說明MDAC升級安裝最新的MDAC〔〕密碼策略由于SQLServer不能更改sa用戶名稱，也不能刪除這個超級用戶，所以，我們必須對這個帳號進行最強的保護，當然，包括使用一個非常強壯的密碼，最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號。新建立一個擁有與sa一樣權(quán)限的超級用戶來管理數(shù)據(jù)庫。同時養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號。比方使用下面的SQL語句：

Usemaster

Selectname,Passwordfromsysloginswherepasswordisnull數(shù)據(jù)庫日志的記錄核數(shù)據(jù)庫登錄事件的“失敗和成功〞，在實例屬性中選擇“平安性〞，將其中的審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細記錄了所有帳號的登錄事件。管理擴展存儲過程xp_cmdshell是進入操作系統(tǒng)的最正確捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。請把它去掉。使用這個SQL語句：

usemaster

sp_dropextendedproc'xp_cmdshell'

如果你需要這個存儲過程，請用這個語句也可以恢復(fù)過來。

sp_addextendedproc'xp_cmdshell','xpsql70.dll'OLE自動存儲過程〔會造成管理器中的某些特征不能使用〕，這些過程包括如下〔不需要可以全部去掉：

Sp_OACreate

Sp_OADestroy

Sp_OAGetErrorInfo

Sp_OAGetProperty

Sp_OAMethod

Sp_OASetProperty

Sp_OAStop去掉不需要的注冊表訪問的存儲過程，注冊表存儲過程甚至能夠讀出操作系統(tǒng)管理員的密碼來，如下：

Xp_regaddmultistring

Xp_regdeletekey

Xp_regdeletevalue

Xp_regenumvalues

Xp_regread

Xp_regremovemultistring

Xp_regwrite防TCP/IP端口探測在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏SQLServer實例。

請在上一步配置的根底上，更改原默認的1433端口。

在IPSec過濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQLServer。對網(wǎng)絡(luò)連