IIS Web服務器安全加固步驟:
步驟 安裝和配置 Windows Server 2003����。
注意:
1.將\System32\cmd.exe轉移到其他目錄或更名����;
2.系統帳號盡量少����,更改默認帳戶名(如Administrator)和描述����,密碼盡量復雜��;
3.拒絕通過網絡訪問該計算機(匿名登錄��;內置管理員帳戶�;Support_388945a0����;Guest����;所有非操作系統服務帳戶)
4.建議對一般用戶只給予讀取權限�,而只給管理員和System以完全控制權限�,但這樣做有可能使某些正常的腳本程序不能執行�,或者某些需要寫的操作不能完成��,這時需要對這些文件所在的文件夾權限進行更改�,建議在做更改前先在測試機器上作測試����,然后慎重更改��。
5.NTFS文件權限設定(注意文件的權限優先級別比文件夾的權限高):
6.禁止C$��、D$一類的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer����、REG_DWORD����、0x0
7.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks����、REG_DWORD����、0x0
8.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2��,否則可能會造成你的一些服務無法啟動��,如SQL Server
9.僅給用戶真正需要的權限����,權限的最小化原則是安全的重要保障
10.在本地安全策略->審核策略中打開相應的審核��,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍��;審核項目太多不僅會占用系統資源而且會導致你根本沒空去看����,這樣就失去了審核的意義����。 與之相關的是:
在賬戶策略->密碼策略中設定:
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復位鎖定計數 20分鐘
11.在Terminal Service Configration(遠程服務配置)-權限-高級中配置安全審核����,一般來說只要記錄登錄����、注銷事件就可以了�。
12.解除NetBios與TCP/IP協議的綁定
控制面版——網絡——綁定——NetBios接口——禁用 2000:控制面版——網絡和撥號連接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS
13.在網絡連接的協議里啟用TCP/IP篩選�,僅開放必要的端口(如80)
14.通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空連接
15.修改數據包的生存時間(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)
16.防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默認值為0x0)
17.禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默認值為0x2)
18.防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默認值為0x1)
19.不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默認值為0x2)
20.設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為600)
21.禁止死網關監測技術
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1)
22.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默認值為0x0)
安裝和配置 IIS 服務:
1.僅安裝必要的 IIS 組件����。(禁用不需要的如FTP 和 SMTP 服務)
2.僅啟用必要的服務和 Web Service 擴展�,推薦配置:
3.將IIS目錄&數據與系統磁盤分開�,保存在專用磁盤空間內�。
4.在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)
5.在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件 |
