win2003+IIS安全配置

1、20112011年年1111月月WEB應(yīng)用系統(tǒng)部署拓?fù)鋱D應(yīng)用系統(tǒng)部署拓?fù)鋱D應(yīng)用系統(tǒng)業(yè)務(wù)需求應(yīng)用系統(tǒng)業(yè)務(wù)需求v該單位的WEB網(wǎng)站規(guī)劃是采用windows2003server+IIS6.0結(jié)構(gòu)。v業(yè)務(wù)需求是外部互聯(lián)網(wǎng)能正常訪問(wèn)WEB網(wǎng)站，提供服務(wù)的端口是TCP 80端口。v在允許外部訪問(wèn)的同時(shí)必須滿足較高級(jí)別的安全性，來(lái)保障業(yè)務(wù)系統(tǒng)不受破壞。v該單位申請(qǐng)的電信線路的IP地址是014WEB服務(wù)器安全搭建服務(wù)器安全搭建一、一、系統(tǒng)的系統(tǒng)的安裝安裝 1、按照Windows2003安裝光盤(pán)的提示安裝，默認(rèn)情況下2003沒(méi)有把IIS6.0安裝在系統(tǒng)里面。 2、IIS6.0的安裝： 開(kāi)始

2、菜單控制面板添加或刪除程序添加/刪除Windows組件 應(yīng)用程序 ASP.NET（可選）|啟用網(wǎng)絡(luò) COM+ 訪問(wèn)（必選）|Internet 信息服務(wù)(IIS)Internet 信息服務(wù)管理器（必選）|公用文件（必選）|萬(wàn)維網(wǎng)服務(wù)Active Server pages（必選） |Internet 數(shù)據(jù)連接器（可選） |WebDAV 發(fā)布（可選） |萬(wàn)維網(wǎng)服務(wù)（必選） |在服務(wù)器端的包含文件（可選） 3、然后點(diǎn)擊確定下一步安裝，一直確定即可。WEB系統(tǒng)搭建系統(tǒng)搭建、系統(tǒng)補(bǔ)丁的更新點(diǎn)擊開(kāi)始菜單所有程序Windows Update按照提示進(jìn)行補(bǔ)丁的安裝。、備份系統(tǒng) 用GHOST備份系統(tǒng)。、安裝常用的

3、軟件例如：殺毒軟件、解壓縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。WEB系統(tǒng)搭建系統(tǒng)搭建6、先關(guān)閉不需要的端口 開(kāi)啟防火墻 導(dǎo)入IPSEC策略在”網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里-NetBIOS設(shè)置禁用tcp/IP上的NetBIOS（S）。在高級(jí)選項(xiàng)里，使用Internet連接防火墻，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒(méi)有的功能，雖然沒(méi)什么功能，但可以屏蔽端口，這樣已經(jīng)基本達(dá)到了一個(gè)

4、IPSec的功能。WEB系統(tǒng)搭建系統(tǒng)搭建7、修改3389遠(yuǎn)程連接端口修改注冊(cè)表.開(kāi)始-運(yùn)行-regedit 依次展開(kāi) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右邊鍵值中 PortNumber 改為你

5、想用的端口號(hào).注意使用十進(jìn)制(例 10000 ) 注意：別忘了在WINDOWS2003自帶的防火墻給加上10000端口修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效. WEB系統(tǒng)搭建系統(tǒng)搭建二、用戶安全設(shè)置二、用戶安全設(shè)置 1、禁用Guest賬號(hào) 在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用。為了保險(xiǎn)起見(jiàn)，最好給Guest加一個(gè)復(fù)雜的密碼。你可以打開(kāi)記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長(zhǎng)字符串，然后把它作為Guest用戶的密碼拷進(jìn)去。2、限制不必要的用戶 去掉所有的Duplicate User用戶、測(cè)試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的用戶，刪除已經(jīng)不再使用的用戶。這

6、些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。3、把系統(tǒng)Administrator賬號(hào)改名 我們知道，Windows 2003 的Administrator用戶是不能被停用的，這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼。盡量把它偽裝成普通用戶，比如改成unkown。 WEB系統(tǒng)搭建系統(tǒng)搭建4、創(chuàng)建一個(gè)陷阱用戶 什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間，借此發(fā)現(xiàn)它們的入侵企圖。5、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶 任何時(shí)候都不

7、要把共享文件的用戶設(shè)置成“Everyone”組，包括打印共享，默認(rèn)的屬性就是“Everyone”組的，一定不要忘了改。 6、開(kāi)啟用戶策略 使用用戶策略，分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘，用戶鎖定時(shí)間為20分鐘，用戶鎖定閾值為3次。 WEB系統(tǒng)搭建系統(tǒng)搭建7、不讓系統(tǒng)顯示上次登錄的用戶名 默認(rèn)情況下，登錄對(duì)話框中會(huì)顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶名。方法為：打開(kāi)注冊(cè)表編輯器并找到注冊(cè)表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDon

8、t-DisplayLastUserName”，把REG_SZ的鍵值改成1。 三、密碼安全設(shè)置三、密碼安全設(shè)置 1、使用安全密碼 一些單位的管理員創(chuàng)建賬號(hào)的時(shí)候往往用單位名、計(jì)算機(jī)名做用戶名，然后又把這些用戶的密碼設(shè)置得太簡(jiǎn)單，比如“welcome”等等。因此，要注意密碼的復(fù)雜性，還要記住經(jīng)常改密碼。2、設(shè)置屏幕保護(hù)密碼 這是一個(gè)很簡(jiǎn)單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。WEB系統(tǒng)搭建系統(tǒng)搭建3、開(kāi)啟密碼策略 注意應(yīng)用密碼策略，如啟用密碼復(fù)雜性要求，設(shè)置密碼長(zhǎng)度最小值為6位 ，設(shè)置強(qiáng)制密碼歷史為5次，時(shí)間為42天。三、系統(tǒng)權(quán)限的設(shè)置三、系統(tǒng)權(quán)限的設(shè)置、磁盤(pán)權(quán)限

9、系統(tǒng)盤(pán)及所有磁盤(pán)只給 Administrators 組和 SYSTEM 的完全控制權(quán)限，系統(tǒng)盤(pán)Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限，系統(tǒng)盤(pán)Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限，系統(tǒng)盤(pán)WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attri

10、b.exe、del文件只給 Administrators 組和SYSTEM 的完全控制權(quán)限另將System32cmd.exe、ftp.exe轉(zhuǎn)移到其他目錄或更名Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限。并且要一個(gè)一個(gè)目錄查看，包括下面的所有子目錄，刪除c:inetpub目錄。WEB系統(tǒng)搭建系統(tǒng)搭建、本地安全策略設(shè)置開(kāi)始菜單管理工具本地安全策略A、本地策略審核策略 審核策略更改 成功失敗審核登錄事件 成功失敗審核對(duì)象訪問(wèn) 失敗審核過(guò)程跟蹤 無(wú)審核審核目錄服務(wù)訪問(wèn) 失敗審核特權(quán)使用 失敗審核系統(tǒng)事件成功 失敗審核賬戶登錄事件 成功失敗審核賬戶

11、管理 成功失敗WEB系統(tǒng)搭建系統(tǒng)搭建B、本地策略用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。通過(guò)終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除WEB系統(tǒng)搭建系統(tǒng)搭建C、本地策略安全選項(xiàng)交互式登陸：不顯示上次的用戶名 啟用網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問(wèn)：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享 全部刪除網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命全部刪除網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑全部刪除 網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑全部刪除 帳戶：重命名來(lái)賓帳戶重命名一個(gè)帳戶

12、帳戶：重命名系統(tǒng)管理員帳戶重命名一個(gè)帳戶WEB系統(tǒng)搭建系統(tǒng)搭建、禁用不必要的服務(wù) 開(kāi)始-運(yùn)行-services.msc TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享 文件、打印和登錄到網(wǎng)絡(luò) Server支持此計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)的文件、打印、和命名管道共享Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表 Task scheduler 允許程序在指定時(shí)間運(yùn)行 Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息 Distributed Fi

13、le System: 局域網(wǎng)管理共享文件，不需要可禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要可禁用 Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告 WEB系統(tǒng)搭建系統(tǒng)搭建Microsoft Serch：提供快速的單詞搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要可禁用 PrintSpooler：如果沒(méi)有打印機(jī)可禁用 Remote Registry：禁止遠(yuǎn)程修改注冊(cè)表 Remote Desktop Help Session Manag

14、er：禁止遠(yuǎn)程協(xié)助 Workstation 關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒(méi)特別需要的話不要啟動(dòng)。WEB系統(tǒng)搭建系統(tǒng)搭建四、修改注冊(cè)表修改注冊(cè)表，讓系統(tǒng)更強(qiáng)壯1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0 2、防止SYN洪水攻擊 HKEY_

15、LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為SynAttackProtect，值為2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepAliveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 0W

16、EB系統(tǒng)搭建系統(tǒng)搭建3. 禁止響應(yīng)ICMP路由通告報(bào)文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0 4. 防止ICMP重定向報(bào)文的攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 將EnableICMPRedirects 值設(shè)為0 5. 不支持IGMP協(xié)議 HKEY_LOCAL_MACHINESYSTEMCurr

17、entControlSetServicesTcpipParameters 新建DWORD值，名為IGMPLevel 值為0WEB系統(tǒng)搭建系統(tǒng)搭建6、禁止IPC空連接：cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個(gè)值改成”1”即可。7、更改TTL值cracker可以根據(jù)ping回的TTL值來(lái)大致判斷你的操作系統(tǒng)，如： TTL=107(WINNT); TTL=108(win

18、2000); TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix); WEB系統(tǒng)搭建系統(tǒng)搭建實(shí)際上你可以自己改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0 xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如2588. 刪除默認(rèn)共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerP

19、arameters：AutoShareServer類型是REG_DWORD把值改為0即可9. 禁止建立空連接 默認(rèn)情況下，任何用戶通過(guò)通過(guò)空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接： Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。WEB系統(tǒng)搭建系統(tǒng)搭建五、五、IIS站點(diǎn)設(shè)置：站點(diǎn)設(shè)置：1、將IIS目錄數(shù)據(jù)與系統(tǒng)磁盤(pán)分開(kāi)，保存在專用磁盤(pán)空間內(nèi)。2、啟用父級(jí)路徑 3、在IIS管理器中刪除必須之外的任何沒(méi)有用到的映射（保留asp等必要映射即可）4、在IIS中

20、將HTTP404 Object Not Found出錯(cuò)頁(yè)面通過(guò)URL重定向到一個(gè)定制HTM文件5、Web站點(diǎn)權(quán)限設(shè)定（建議）讀 允許寫(xiě) 不允許腳本源訪問(wèn) 不允許目錄瀏覽 建議關(guān)閉日志訪問(wèn) 建議關(guān)閉索引資源 建議關(guān)閉執(zhí)行 推薦選擇 “僅限于腳本” WEB系統(tǒng)搭建系統(tǒng)搭建6、建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問(wèn)權(quán)限，只允許管理員和system為Full Control）。 7、程序安全:1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫(kù)連接地