IIS6.0 WEB服務(wù)器安全加固

步驟
注意:

安裝和配置 Windows Server 2003。
1.將\System32\cmd.exe轉(zhuǎn)移到其他目錄或更名;

2.系統(tǒng)帳號(hào)盡量少,更改默認(rèn)帳戶名(如Administrator)和描述,密碼盡量復(fù)雜;

3.拒絕通過(guò)網(wǎng)絡(luò)訪問該計(jì)算機(jī)(匿名登錄;內(nèi)置管理員帳戶;Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶)

4.建議對(duì)一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改,建議在做更改前先在測(cè)試機(jī)器上作測(cè)試,然后慎重更改。

5.NTFS文件權(quán)限設(shè)定(注意文件的權(quán)限優(yōu)先級(jí)別比文件夾的權(quán)限高):

文件類型
建議的 NTFS 權(quán)限

CGI 文件(.exe、.dll、.cmd、.pl)
腳本文件 (.asp)
包含文件(.inc、.shtm、.shtml)
靜態(tài)內(nèi)容(.txt、.gif、.jpg、.htm、.html)
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制)


6.禁止C$、D$一類的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0

7.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0

8.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用戶無(wú)法列舉本機(jī)用戶列表
0x2 匿名用戶無(wú)法連接本機(jī)IPC$共享
說(shuō)明:不建議使用2,否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng),如SQL Server

9.僅給用戶真正需要的權(quán)限,權(quán)限的最小化原則是安全的重要保障

10.在本地安全策略->審核策略中打開相應(yīng)的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對(duì)象訪問 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問 失敗
賬戶登錄事件 成功 失敗
審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒有記錄那就一點(diǎn)都沒轍;審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒空去看,這樣就失去了審核的意義。 與之相關(guān)的是:
在賬戶策略->密碼策略中設(shè)定:
密碼復(fù)雜性要求 啟用
密碼長(zhǎng)度最小值 6位
強(qiáng)制密碼歷史 5次
最長(zhǎng)存留期 30天
在賬戶策略->賬戶鎖定策略中設(shè)定:
賬戶鎖定 3次錯(cuò)誤登錄
鎖定時(shí)間 20分鐘
復(fù)位鎖定計(jì)數(shù) 20分鐘

11.在Terminal Service Configration(遠(yuǎn)程服務(wù)配置)-權(quán)限-高級(jí)中配置安全審核,一般來(lái)說(shuō)只要記錄登錄、注銷事件就可以了。

12.解除NetBios與TCP/IP協(xié)議的綁定
控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用 2000:控制面版——網(wǎng)絡(luò)和撥號(hào)連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級(jí)——WINS——禁用TCP/IP上的NETBIOS

13.在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選,僅開放必要的端口(如80)

14.通過(guò)更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止139空連接

15.修改數(shù)據(jù)包的生存時(shí)間(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)

16.防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默認(rèn)值為0x0)

17.禁止響應(yīng)ICMP路由通告報(bào)文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默認(rèn)值為0x2)

18.防止ICMP重定向報(bào)文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默認(rèn)值為0x1)

19.不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默認(rèn)值為0x2)

20.設(shè)置arp緩存老化時(shí)間設(shè)置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認(rèn)值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認(rèn)值為600)

21.禁止死網(wǎng)關(guān)監(jiān)測(cè)技術(shù)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默認(rèn)值為ox1)

22.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默認(rèn)值為0x0)

 

 

                                                    海騰數(shù)據(jù)中心(技術(shù)部整理)
                                                    2007-10-12