固若金湯 Windows 2003服務器加固方案

1、因為IIS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務器軟件之一。但是，IIS的安全性卻一直令人擔憂。如何利用IIS建立一個安全的Web服務器，是很多人關心的話題。要創(chuàng)建一個安全可靠的Web服務器，必須要實現(xiàn)Windows 2003和IIS的雙重安全，因為IIS的用戶同時也是Windows 2003的用戶，并且IIS目錄的權限依賴Windows的NTFS文件系統(tǒng)的權限控制，所以保護IIS安全的第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對服務器進行安全加固，以免遭到黑客的攻擊，造成嚴重的后果。 二我們通過一下幾個方面

2、對您的系統(tǒng)進行安全加固： 1 系統(tǒng)的安全加固：我們通過配置目錄權限，系統(tǒng)安全策略，協(xié)議棧加強，系統(tǒng)服務和訪問控制加固您的系統(tǒng)，整體提高服務器的安全性。 2 IIS手工加固：手工加固iis可以有效的提高iweb站點的安全性，合理分配用戶權限，配置相應的安全策略，有效的防止iis用戶溢出提權。 3 系統(tǒng)應用程序加固，提供應用程序的安全性，例如sql的安全配置以及服務器應用軟件的安全加固。 三系統(tǒng)的安全加固： 1目錄權限的配置： 1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權，之后再對其下的子目錄作單獨的目錄權限，如果WEB站點目錄，你要為其目錄權限

3、分配一個與之對應的匿名訪問帳號并賦予它有修改權限，如果想使網站更加堅固，可以分配只讀權限并對特殊的目錄作可寫權限。 1.2 系統(tǒng)所在分區(qū)下的根目錄都要設置為不繼承父權限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權。 1.3 因為服務器只有管理員有本地登錄權限，所在要配置Documents and Settings這個目錄權限只保留Administrators和SYSTEM有完全控制權，其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。因為如果你安裝有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調取這個配置文件。 1

4、.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權。 1.5 配置Windows目錄，其實這一塊主要是根據(jù)自身的情況如果使用默認的安全設置也是可行的，不過還是應該進入SYSTEM32目錄下，將 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問。 16審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫。 2組策略配置: 在用戶權利指派下

5、，從通過網絡訪問此計算機中刪除Power Users和Backup Operators； 啟用不允許匿名訪問SAM帳號和共享； 啟用不允許為網絡驗證存儲憑據(jù)或Passport； 從文件共享中刪除允許匿名登錄的DFS$和COMCFG； 啟用交互登錄：不顯示上次的用戶名； 啟用在下一次密碼變更時不存儲LANMAN哈希值； 禁止IIS匿名用戶在本地登錄； 3.本地安全策略設置: 開始菜單管理工具本地安全策略 A、本地策略審核策略 審核策略更改成功失敗 審核登錄事件成功失敗 審核對象訪問失敗 審核過程跟蹤無審核 審核目錄服務訪問失敗 審核特權使用失敗 審核系統(tǒng)事件成功失敗 審核賬戶登錄事件成功失敗 審核賬戶管理成功失敗 注：在設置審核登陸事件時選擇記失敗，這樣在事件查看器里的安全日志就會記錄登陸失敗的信息。 B、本地策略用戶權限分配 關閉系統(tǒng)：只有Administrators組、其它全部刪除。 通過終端服務拒絕登陸：加入Guests、User組 通過終端服務允許登陸：只加入Administrators組，其他全部刪除 C、本地策略安全選項 交互式登陸：不顯示上次的用戶名啟用 網絡訪問：不允許SAM帳戶和共享的匿名枚舉啟用 網絡訪問：不允許為網絡身份驗證儲存憑證啟用 網絡訪問：可匿名訪問的共享全部刪除 網絡訪問：可匿名訪