WIN2003服務器維護安全加固方案_安全焦點_龍虎鷹師網安服務器維護基地--Powered by www.vqbhynr.com.cn

WIN2003服務器維護安全加固方案

作者:龍虎鷹師網安網站維護基地 來源:龍虎鷹師網安網站維護基地 瀏覽次數:0

龍虎鷹師網安網訊:摘要:因為IIS(即Internet Information Server)的方便性和易用性,使它成為最受歡迎的Web服務器軟件之一。但是,IIS的安全性卻一直令人擔憂。如何利用IIS建立一個安全的Web服務器,是很多人關心的話題。一:因 ...

摘要:因為IIS(即Internet Information Server)的方便性和易用性使它成為最受歡迎的Web服務器軟件之一但是IIS的安全性卻一直令人擔憂如何利用IIS建立一個安全的Web服務器,是很多人關心的話題。

一:因為IIS(即Internet Information Server)的方便性和易用性,使它成為最受歡迎的Web服務器軟件之一。但是,IIS的安全性卻一直令人擔憂。如何利用IIS建立一個安全的Web服務器,是很多人關心的話題。要創建一個安全可靠的Web服務器,必須要實現Windows 2003和IIS的雙重安全,因為IIS的用戶同時也是Windows 2003的用戶,并且IIS目錄的權限依賴Windows的NTFS文件系統的權限控制,所以保護IIS安全的第一步就是確保Windows 2000操作系統的安全,所以要對服務器進行安全加固,以免遭到黑客的攻擊,造成嚴重的后果。

二.我們通過一下幾個方面對您的系統進行安全加固:

1. 系統的安全加固:我們通過配置目錄權限,系統安全策略,協議棧加強,系統服務和訪問控制加固您的系統,整體提高服務器的安全性。

2. IIS手工加固:手工加固iis可以有效的提高iweb站點的安全性,合理分配用戶權限,配置相應的安全策略,有效的防止iis用戶溢出提權。

3. 系統應用程序加固,提供應用程序的安全性,例如sql的安全配置以及服務器應用軟件的安全加固。

三.系統的安全加固:

1.目錄權限的配置:

1.1 除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權,之后再對其下的子目錄作單獨的目錄權限,如果WEB站點目錄,你要為其目錄權限分配一個與之對應的匿名訪問帳號并賦予它有修改權限,如果想使網站更加堅固,可以分配只讀權限并對特殊的目錄作可寫權限。

 

1.2 系統所在分區下的根目錄都要設置為不繼承父權限,之后為該分區只賦予Administrators和SYSTEM有完全控制權。

1.3 因為服務器只有管理員有本地登錄權限,所在要配置Documents and Settings這個目錄權限只保留Administrators和SYSTEM有完全控制權,其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。因為如果你安裝有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以輕松的調取這個配置文件。

1.4 配置Program files目錄,為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權。

1.5 配置Windows目錄,其實這一塊主要是根據自身的情況如果使用默認的安全設置也是可行的,不過還是應該進入SYSTEM32目錄下,將 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。

1.6審核MetBase.bin,C:\WINNT\system32\
inetsrv目錄只有administrator只允許Administrator用戶讀寫。

2.組策略配置:

在用戶權利指派下,從通過網絡訪問此計算機中刪除Power Users和Backup Operators;

啟用不允許匿名訪問SAM帳號和共享;

啟用不允許為網絡驗證存儲憑據或Passport;

 

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄:不顯示上次的用戶名;

啟用在下一次密碼變更時不存儲LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設置:

開始菜單—>管理工具—>本地安全策略

A、本地策略——>審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對象訪問失敗

審核過程跟蹤 無審核

審核目錄服務訪問失敗

審核特權使用失敗

審核系統事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

注:在設置審核登陸事件時選擇記失敗,這樣在事件查看器里的安全日志就會記錄登陸失敗的信息。

B、本地策略——>用戶權限分配

關閉系統:只有Administrators組、其它全部刪除。

通過終端服務拒絕登陸:加入Guests、User組

通過終端服務允許登陸:只加入Administrators組,其他全部刪除

C、本地策略——>安全選項

交互式登陸:不顯示上次的用戶名 啟用

網絡訪問:不允許SAM帳戶和共享的匿名枚舉啟用

網絡訪問:不允許為網絡身份驗證儲存憑證 啟用

網絡訪問:可匿名訪問的共享 全部刪除

網絡訪問:可匿名訪問的命全部刪除

網絡訪問:可遠程訪問的注冊表路徑全部刪除

網絡訪問:可遠程訪問的注冊表路徑和子路徑全部刪除

帳戶:重命名來賓帳戶重命名一個帳戶

帳戶:重命名系統管理員帳戶 重命名一個帳戶

4.本地賬戶策略:

在賬戶策略->密碼策略中設定:

密碼復雜性要求啟用

密碼長度最小值 6位

強制密碼歷史 5次

最長存留期 30天

在賬戶策略->賬戶鎖定策略中設定:

賬戶鎖定 3次錯誤登錄

鎖定時間 20分鐘

復位鎖定計數 20分鐘

5. 修改注冊表配置:

5.1 通過更改注冊表

local_machine\system\currentcontrolset\
control\lsa-restrictanonymous = 1來禁止139空連接

5.2 修改數據包的生存時間(ttl)值

hkey_local_machine\system\currentcontrolset
\services\tcpip\parameters

defaultttl reg_dword 0-0xff(0-255 十進制,默認值128)

5.3 防止syn洪水攻擊

hkey_local_machine\system\currentcontrolset
\services\tcpip\parameters

synattackprotect reg_dword 0x2(默認值為0x0)

5.4禁止響應icmp路由通告報文

hkey_local_machine\system\currentcontrolset

\services\tcpip\parameters\interfaces\interface

performrouterdisc overy reg_dword 0x0(默認值為0x2)

 

5.5防止icmp重定向報文的攻擊

hkey_local_machine\system\currentcontrolset\
services\tcpip\parameters

enableicmpredirects reg_dword 0x0(默認值為0x1)

5.6不支持igmp協議

hkey_local_machine\system\currentcontrolset\
services\tcpip\parameters

5.7修改3389默認端口:

運行 Regedt32 并轉到此項:

HKEY_LOCAL_MACHINE\System\CurrentControlSet
\Control

\Terminal Server\WinStations\RDP-Tcp, 找到“PortNumber”子項,您會看到值 00000D3D,它是 3389 的十六進制表示形式。使用十六進制數值修改此端口號,并保存新值。

禁用不必要的服務不但可以降低服務器的資源占用減輕負擔,而且可以增強安全性。下面列出了

igmplevel reg_dword 0x0(默認值為0x2)

5.8 設置arp緩存老化時間設置

hkey_local_machine\system\currentcontrolset\
services:\tcpip\parameters

arpcachelife reg_dword 0-0xffffffff(秒數,默認值為120秒)

arpcacheminreferencedlife reg_dword
0-0xffffffff(秒數,默認值為600)

 

5.9禁止死網關監測技術

hkey_local_machine\system\currentcontrolset\
services:\tcpip\parameters

enabledeadgwdetect reg_dword 0x0(默認值為ox1)

5.10 不支持路由功能

hkey_local_machine\system\currentcontrolset\
services:\tcpip\parameters

ipenablerouter reg_dword 0x0(默認值為0x0)

6. 禁用服務:

·Application Experience Lookup Service

·Automatic Updates

·BITS

·Computer Browser

·DHCP Client

·Error Reporting Service

·Help and Support

·Network Location Awareness

·Print Spooler

·Remote Registry

·Secondary Logon

·Server

·Smartcard

·TCP/IP NetBIOS Helper

·Workstation

·Windows Audio

·Windows Time

·Wireless Configuration

7.解除NetBios與TCP/IP協議的綁定

控制面版——網絡——綁定——NetBios接口——禁用 2000:控制面版——網絡和撥號連接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS

 

8. 使用tcp/ip篩選

在網絡連接的協議里啟用TCP/IP篩選,僅開放必要的端口(如80)

9.禁止WebDAV

在注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\W3SVC\Parameters

加以下注冊表值:

數值名稱:DisableWebDAV

數據類型:DWORD

數值數據:1

四. iis 加固方案:

1. 僅安裝必要的 iis 組件。(禁用不需要的如ftp 和 smtp 服務)

2. 僅啟用必要的服務和 web service 擴展,推薦配置:

ui 中的組件名稱

設置

設置邏輯

后臺智能傳輸服務 (bits) 服務器擴展

啟用

bits 是 windows updates 和"自動更新"所使用的后臺文件傳輸機制。如果使用 windows updates 或"自動更新"在 iis 服務器中自動應用 service pack 和熱修補程序,則必須有該組件。

公用文件

啟用

iis 需要這些文件,一定要在 iis 服務器中啟用它們。

文件傳輸協議 (ftp) 服務

禁用

允許 iis 服務器提供 ftp 服務。專用 iis 服務器不需要該服務。

frontpage 2002 server extensions >禁用

 

為管理和發布 web 站點提供 frontpage 支持。如果沒有使用 frontpage 擴展的 web 站點,請在專用 iis 服務器中禁用該組件。

internet 信息服務管理器

啟用

iis 的管理界面。

internet 打印

禁用

提供基于 web 的打印機管理,允許通過 http 共享打印機。專用 iis 服務器不需要該組件。

nntp 服務

禁用

在 internet 中分發、查詢、檢索和投遞 usenet 新聞文章。專用 iis 服務器不需要該組件。

smtp 服務

禁用

支持傳輸電子郵件。專用 iis 服務器不需要該組件。

萬維網服務

啟用

為客戶端提供 web 服務、靜態和動態內容。專用 iis 服務器需要該組件。

萬維網服務子組件

ui 中的組件名稱

安裝選項

設置邏輯

active server page

啟用

提供 asp 支持。如果 iis 服務器中的 web 站點和應用程序都不使用 asp,請禁用該組件;或使用 web 服務擴展禁用它。

internet 數據連接器

禁用

通過擴展名為 .idc 的文件提供動態內容支持。如果 iis 服務器中的 web 站點和應用程序都不包括 .idc 擴展文件,請禁用該組件;或使用 web 服務擴展禁用它。

遠程管理 (html)

禁用

提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易,并減少了 iis 服務器的攻擊面。專用 iis 服務器不需要該功能。

 

遠程桌面 web 連接

禁用

包括了管理終端服務客戶端連接的 microsoft activex? 控件和范例頁面。改用 iis 管理器可使管理更容易,并減少了 iis 服務器的攻擊面。專用 iis 服務器不需要該組件。

服務器端包括

禁用

提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服務器中運行的 web 站點和應用程序都不使用上述擴展的包括文件,請禁用該組件。

webdav

禁用

webdav 擴展了 http/1.1 協議,允許客戶端發布、鎖定和管理 web 中的資源。專用 iis 服務器禁用該組件;或使用 web 服務擴展禁用該組件。

萬維網服務

啟用

為客戶端提供 web 服務、靜態和動態內容。專用 iis 服務器需要該組件

3. 將iis目錄&數據與系統磁盤分開,保存在專用磁盤空間內。

4. 在iis管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)

5. 在iis中將http404 object not found出錯頁面通過url重定向到一個定制htm文件

6. web站點權限設定(建議)

web 站點權限:

授予的權限:

讀 允許

寫 不允許

腳本源訪問 不允許

目錄瀏覽 建議關閉

日志訪問 建議關閉

索引資源 建議關閉

執行 推薦選擇 "僅限于腳本"

7. 建議使用w3c擴充日志文件格式,每天記錄客戶ip地址,用戶名,服務器端口,方法,uri字根,http狀態,用戶代理,而且每天均要審查日志。(最好不要使用缺省的目錄,建議更換一個記日志的路徑,同時設置日志的訪問權限,只允許管理員和system為full control)。

 

8. 程序安全:

1) 涉及用戶名與口令的程序最好封裝在服務器端,盡量少的在asp文件里出現,涉及到與數據庫連接地用戶名與口令應給予最小的權限; 2) 需要經過驗證的asp頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。

防止asp主頁.inc文件泄露問題;

4) 防止ue等編輯器生成some.asp.bak文件泄露問題。

安全更新

應用所需的所有 service pack 和定期手動更新補丁。

安裝和配置防病毒保護

推薦nav 8.1以上版本病毒防火墻(配置為至少每周自動升級一次)。

安裝和配置防火墻保護

推薦最新版blackice server protection防火墻(配置簡單,比較實用)

監視解決方案

根據要求安裝和配置 mom代理或類似的監視解決方案。

加強數據備份

web數據定時做備份,保證在出現問題后可以恢復到最近的狀態。

9. 刪除不必要的應用程序映射

ISS中默認存在很多種應用程序映射,除了ASP的這個程序映射,其他的文件在網站上都很少用到。

在“Internet 服務管理器”中,右擊網站目錄,選擇“屬性”,在網站目錄屬性對話框的“主目錄”頁面中,點擊[配置]按鈕,彈出“應用程序配置”對話框,在“應用程序映射”頁面,刪除無用的程序映射。如果需要這一類文件時,必須安裝最新的系統修補補丁,并且選中相應的程序映射,再點擊[編輯]按鈕,在“添加/編輯應用程序擴展名映射”對話框中勾,選“檢查文件是否存在”選項。這樣當客戶請求這類文件時,IIS會先檢查文件是否存在,文件存在后才會去調用程序映射中定義的動態鏈接庫來解析。

 

保護日志安全

日志是系統安全策略的一個重要環節,確保日志的安全能有效提高系統整體安全性。

修改IIS日志的存放路徑

默認情況下,IIS的日志存放在%WinDir%/System32/LogFiles,黑客當然非常清楚,所以最好修改一下其存放路徑。在 “Internet服務管理器”中,右擊網站目錄,選擇“屬性”,在網站目錄屬性對話框的“Web站點”頁面中,在選中“啟用日志記錄”的情況下,點擊旁邊的[屬性]按鈕,在“常規屬性”頁面,點擊[瀏覽]按鈕或者直接在輸入框中輸入日志存放路徑即可。

五。 sql服務器安全加固

安裝最新的mdac( http://www.microsoft.com/data/download.htm

5.1 密碼策略

由于sql server不能更改sa用戶名稱,也不能刪除這個超級用戶,所以,我們必須對這個帳號進行最強的保護,當然,包括使用一個非常強壯的密碼,最好不要在數據庫應用中使用sa帳號。新建立一個擁有與sa一樣權限的超級用戶來管理數據庫。同時養成定期修改密碼的好習慣。數據庫管理員應該定期查看是否有不符合密碼要求的帳號。比如使用下面的sql語句:

use master

select name,password from syslogins
where password is null

5.2 數據庫日志的記錄

核數據庫登錄事件的"失敗和成功",在實例屬性中選擇"安全性",將其中的審核級別選定為全部,這樣在數據庫系統和操作系統日志里面,就詳細記錄了所有帳號的登錄事件。

 

5.3 管理擴展存儲過程

xp_cmdshell是進入操作系統的最佳捷徑,是數據庫留給操作系統的一個大后門。請把它去掉。使用這個sql語句:

use master

sp_dropextendedproc ’xp_cmdshell’

注:如果你需要這個存儲過程,請用這個語句也可以恢復過來。

sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’

ole自動存儲過程(會造成管理器中的某些特征不能使用),這些過程包括如下(不需要可以全部去掉:

sp_oacreate sp_oadestroy sp_oageterrorinfo
sp_oagetproperty

sp_oamethod sp_oasetproperty sp_oastop

去掉不需要的注冊表訪問的存儲過程,注冊表存儲過程甚至能夠讀出操作系統管理員的密碼來,如下:

xp_regaddmultistring xp_regdeletekey
xp_regdeletevalue xp_regenumvalues

xp_regread xp_regremovemultistring
xp_regwrite

5.4 防tcp/ip端口探測

在實例屬性中選擇tcp/ip協議的屬性。選擇隱藏 sql server 實例。

請在上一步配置的基礎上,更改原默認的1433端口。

在ipsec過濾拒絕掉1434端口的udp通訊,可以盡可能地隱藏你的sql server。

對網絡連接進行ip限制

使用操作系統自己的ipsec可以實現ip數據包的安全性。請對ip連接進行限制,保證只有自己的ip能夠訪問,拒絕其他ip進行的端口連接。

通過以上的配置,禁止了服務器開放不必要的端口,防止服務被植入后門程序,通過配置目錄權限可以防止入侵者拿到welshell后提權,加強了服務器的安全性,避免了對服務器的攻擊和加強了TCP協議棧。通過iis的配置提高了iis的安全性和穩定性。修改了sql server的默認端口,可以防止惡意用戶對服務器進行掃描嘗試暴力破解sa賬戶提供數據庫的安全性。對服務器實現了整體的安全加固。

    龍虎鷹師網安服務器維護方案本篇連接:http://www.vqbhynr.com.cn/show.php?contentid-1058.html
網站維護教程更新時間:2012-02-12 17:40:22  【打印此頁】  【關閉
全站連接N點 | 龍虎鷹師網安 |  
專業服務器維護及網站維護手工安全搭建環境,網站安全加固服務。龍虎鷹師網安服務器維護基地招商進行中!請QQ:29769479

footer  footer  互聯網安全  footer    

山东体十一选五走势 山东老十一选五开奖 来福贵州麻将上分 足球指数足球即时指数亚洲指数 扑克和麻将哪个复杂 贵州十一选五遗漏汇 东京热最新百度云盘 乐赢资本 上海明星麻将最新版 上马麻里子喷奶图 直播国王vs 世界杯竞彩比分玩法 真人麻将24小时上下分 里美尤利娅手机观看 现在有什么好的理财方法 黑龙江时时彩 江西快三