WEB服務(wù)器安全自查報(bào)告

1、天津云景科技有限公司W(wǎng)EB服務(wù)器安全自查報(bào)告一、操作系統(tǒng)安全配置報(bào)告1、停掉Guest 帳號(hào) 在計(jì)算機(jī)管理的用戶里面把guest帳號(hào)停用掉，任何時(shí)候都不允許guest帳號(hào)登陸系統(tǒng)。2、限制不必要的用戶數(shù)量 去掉所有的測(cè)試用帳戶、 共享帳號(hào)、普通部門帳號(hào)等等不必要賬號(hào)。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。3、創(chuàng)建2個(gè)管理員用帳號(hào) 創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來(lái)處理一些日常事物，另一個(gè)擁有Administrators 權(quán)限的帳戶只在需要的時(shí)候使用。4、把系統(tǒng)administrator帳號(hào)改名 Windows 2003的administrator帳號(hào)是不能被停用的，這意味

2、著別人可以一遍又一遍的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。5、把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶” “everyone” 在Win 2003中任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成“everyone”組。6、使用安全密碼 應(yīng)該要求用戶首次登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。7、使用NTFS格式分區(qū) 把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。8、保障備份盤的安全 系統(tǒng)資料被破壞，備份盤將是你恢復(fù)資料的唯一途徑。備份完資料

3、確認(rèn)無(wú)誤后，把備份盤放在安全的地方。9、關(guān)閉不必要的服務(wù) Windows 2003的Terminal Services（終端服務(wù)） 、和RAS都可能系統(tǒng)帶來(lái)安全漏洞。為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開(kāi)著的，如果需要開(kāi)此服務(wù)，一定要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行。10、關(guān)閉不必要的端口 關(guān)閉端口意味著減少功能，因此在安全和功能上面需要作一點(diǎn)決策。如果服務(wù)器安裝在防火墻的后面，冒險(xiǎn)就會(huì)少些，但是，永遠(yuǎn)不要認(rèn)為可以就此高枕無(wú)憂了。11、打開(kāi)審核策略 開(kāi)啟安全審核是Win 2003最基本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)你的系統(tǒng)進(jìn)行某些方式（如嘗試

4、用戶密碼,改變帳戶策略，未經(jīng)許可的文件訪問(wèn)等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來(lái)。12、設(shè)定安全記錄的訪問(wèn)權(quán)限 安全記錄在默認(rèn)情況下是沒(méi)有保護(hù)的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問(wèn)。13、不讓系統(tǒng)顯示上次登陸的用戶名 默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶名。14、到微軟網(wǎng)站下載最新的補(bǔ)丁程序 經(jīng)常訪問(wèn)微軟和一些安全站點(diǎn)，下載最新的service pack和漏洞補(bǔ)丁，是保障服務(wù)器長(zhǎng)久安全的唯一方法。15、關(guān)閉默認(rèn)共享 Win 2003安裝好以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，要禁止這些共享，打開(kāi) 管理工具>計(jì)算機(jī)管理>共享文件夾&

5、gt;共享 在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可。16、清除temp文件夾 一些應(yīng)用程序在安裝和升級(jí)的時(shí)候，會(huì)把一些東西拷貝到temp文件夾，但是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候，它們并不會(huì)自己清除temp文件夾的內(nèi)容。17、關(guān)機(jī)時(shí)清除掉頁(yè)面文件 頁(yè)面文件就是調(diào)度文件，是Win 2003用來(lái)存儲(chǔ)沒(méi)有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒(méi)有加密的密碼存在內(nèi)存中，頁(yè)面文件中也可能含有另外一些敏感的資料。二、IIS安全配置報(bào)告1、僅安裝必要的 IIS 組件。（禁用不需要的如FTP 和 SMTP 服務(wù)）。2、僅啟用必要的服務(wù)和 Web Service 擴(kuò)展，推薦配置:UI

6、 中的組件名稱設(shè)置設(shè)置邏輯后臺(tái)智能傳輸服務(wù) (BITS) 服務(wù)器擴(kuò)展啟用BITS 是 Windows Updates 和“自動(dòng)更新”所使用的后臺(tái)文件傳輸機(jī)制。如果使用 Windows Updates 或“自動(dòng)更新”在 IIS 服務(wù)器中自動(dòng)應(yīng)用 Service Pack 和熱修補(bǔ)程序，則必須有該組件。公用文件啟用IIS 需要這些文件，一定要在 IIS 服務(wù)器中啟用它們。文件傳輸協(xié)議 (FTP) 服務(wù)禁用允許 IIS 服務(wù)器提供 FTP 服務(wù)。專用 IIS 服務(wù)器不需要該服務(wù)。FrontPage 2002 Server Extensions禁用為管理和發(fā)布 Web 站點(diǎn)提供 FrontPage 支

7、持。如果沒(méi)有使用 FrontPage 擴(kuò)展的 Web 站點(diǎn)，請(qǐng)?jiān)趯Ｓ?IIS 服務(wù)器中禁用該組件。Internet 信息服務(wù)管理器啟用IIS 的管理界面。Internet 打印禁用提供基于 Web 的打印機(jī)管理，允許通過(guò) HTTP 共享打印機(jī)。專用 IIS 服務(wù)器不需要該組件。NNTP 服務(wù)禁用在 Internet 中分發(fā)、查詢、檢索和投遞 Usenet 新聞文章。專用 IIS 服務(wù)器不需要該組件。SMTP 服務(wù)禁用支持傳輸電子郵件。專用 IIS 服務(wù)器不需要該組件。萬(wàn)維網(wǎng)服務(wù)啟用為客戶端提供 Web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 IIS 服務(wù)器需要該組件。3、萬(wàn)維網(wǎng)服務(wù)子組件UI 中的組件名稱

8、安裝選項(xiàng)設(shè)置邏輯Active Server Page啟用提供 ASP 支持。如果 IIS 服務(wù)器中的 Web 站點(diǎn)和應(yīng)用程序都不使用 ASP，請(qǐng)禁用該組件；或使用 Web 服務(wù)擴(kuò)展禁用它。Internet 數(shù)據(jù)連接器禁用通過(guò)擴(kuò)展名為 .idc 的文件提供動(dòng)態(tài)內(nèi)容支持。如果 IIS 服務(wù)器中的 Web 站點(diǎn)和應(yīng)用程序都不包括 .idc 擴(kuò)展文件，請(qǐng)禁用該組件；或使用 Web 服務(wù)擴(kuò)展禁用它。遠(yuǎn)程管理 (HTML)禁用提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易，并減少了 IIS 服務(wù)器的攻擊面。專用 IIS 服務(wù)器不需要該功能。遠(yuǎn)程桌面 Web 連接禁用包括了管理終端

9、服務(wù)客戶端連接的 Microsoft ActiveX® 控件和范例頁(yè)面。改用 IIS 管理器可使管理更容易，并減少了 IIS 服務(wù)器的攻擊面。專用 IIS 服務(wù)器不需要該組件。服務(wù)器端包括禁用提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服務(wù)器中運(yùn)行的 Web 站點(diǎn)和應(yīng)用程序都不使用上述擴(kuò)展的包括文件，請(qǐng)禁用該組件。WebDAV 禁用WebDAV 擴(kuò)展了 HTTP/1.1 協(xié)議，允許客戶端發(fā)布、鎖定和管理 Web 中的資源。專用 IIS 服務(wù)器禁用該組件；或使用 Web 服務(wù)擴(kuò)展禁用該組件。萬(wàn)維網(wǎng)服務(wù)啟用為客戶端提供 Web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 I

10、IS 服務(wù)器需要該組件4、 將IIS目錄數(shù)據(jù)與系統(tǒng)磁盤分開(kāi)，保存在專用磁盤空間內(nèi)。5、在IIS管理器中刪除必須之外的任何沒(méi)有用到的映射（保留asp等必要映射即可）。6、Web站點(diǎn)權(quán)限設(shè)定Web 站點(diǎn)權(quán)限：授予的權(quán)限：讀允許寫(xiě)不允許腳本源訪問(wèn)不允許目錄瀏覽關(guān)閉日志訪問(wèn)關(guān)閉索引資源關(guān)閉執(zhí)行推薦選擇 “僅限于腳本” 7、使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問(wèn)權(quán)限，只允許管理員和system為Full Control）。三、SQl2005

11、安全配置報(bào)告1、使用安全的密碼策略MS Sql Server在安裝完畢的時(shí)候，其sa的密碼默認(rèn)為空。立即為sa帳號(hào)設(shè)置一個(gè)強(qiáng)壯的密碼；嚴(yán)禁把sa帳號(hào)和密碼寫(xiě)于應(yīng)用程序或者腳本中。2、安全的帳號(hào)策略給運(yùn)行SQL服務(wù)的用戶盡可能小的權(quán)限，最好不是LocalSystem或者Administrators；SQL Server采用混合身份認(rèn)證方式可一定程度上避免操作系統(tǒng)管理員來(lái)通過(guò)操作系統(tǒng)登陸來(lái)接觸數(shù)據(jù)庫(kù)；最好不要在數(shù)據(jù)庫(kù)應(yīng)用中使用sa帳號(hào)，建議數(shù)據(jù)庫(kù)管理員新建一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來(lái)管理數(shù)據(jù)庫(kù)，并防止有管理員權(quán)限的帳號(hào)泛濫；根據(jù)實(shí)際需要分配帳號(hào)角色，并賦予僅僅能夠滿足應(yīng)用要求和需要的權(quán)限。很

12、多主機(jī)使用數(shù)據(jù)庫(kù)應(yīng)用只是用來(lái)做查詢、修改等簡(jiǎn)單功能的，如只要查詢功能的，那么就使用一個(gè)簡(jiǎn)單的public帳號(hào)能夠select就可以了。從數(shù)據(jù)庫(kù)中刪除所有g(shù)uest用戶（master,tempdb除外），以及其他未授權(quán)用戶。3、權(quán)限控制設(shè)定確切的擴(kuò)展存儲(chǔ)進(jìn)程權(quán)限；設(shè)定master中的Extented Stored Procedure的權(quán)限；設(shè)定statement 權(quán)限；設(shè)定合適的組權(quán)限；設(shè)定合適的用戶權(quán)限。4、在實(shí)例屬性中選擇“安全性”，將審核級(jí)別選定為全部，這樣在數(shù)據(jù)庫(kù)系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號(hào)的登錄事件。定期查看SQL Server日志檢查是否有可疑的登錄事件發(fā)生，或者使用DOS命令。5、控制TCP/IP端口a、修改默認(rèn)端口可以通過(guò)修改默認(rèn)TCP/1433端口一定程度上逃避了端口探測(cè)，但是，通過(guò)1434端口的UDP探測(cè)可以很容易知道SQL Server使用的什么TCP/IP端口。b、隱藏服務(wù)器通過(guò)在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實(shí)例。c、啟用IP安全策略在IPSec過(guò)濾拒絕掉1434端口的UDP通訊，達(dá)到隱藏SQL Server服務(wù)器。