Web服务器安全加固步骤Word格式.docx
- 文档编号:18582906
- 上传时间:2022-12-28
- 格式:DOCX
- 页数:22
- 大小:22.91KB
Web服务器安全加固步骤Word格式.docx
《Web服务器安全加固步骤Word格式.docx》由会员分享,可在线阅读,更多相关《Web服务器安全加固步骤Word格式.docx(22页珍藏版)》请在冰豆网上搜索。
AutoShareWks、REG_DWORD、0x0
8.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymousREG_DWORD0x0缺省
0x1匿名用户无法列举本机用户列表
0x2匿名用户无法连接本机IPC$共享
说明:
不建议使用2,否则可能会造成你的一些服务无法启动,如SQLServer
9.仅给用户真正需要的权限,权限的最小化原则是安全的重要保证
10.在本地安全策略->
审核策略中打开相应的审核,举荐的审核是:
账户治理成功失败
登录事件成功失败
对象访问失败
策略更换成功失败
特权使用失败
系统事件成功失败
名目服务访问失败
账户登录事件成功失败
审核项目少的缺点是万一你想看发觉没有记录那就一点都没辙;
审核项目太多不仅会占用系统资源而且会导致你全然没空去看,如此就失去了审核的意义。
与之相关的是:
在账户策略->
密码策略中设定:
密码复杂性要求启用
密码长度最小值6位
强制密码历史5次
最长存留期30天
账户锁定策略中设定:
账户锁定3次错误登录
锁定时刻20分钟
复位锁定计数20分钟
11.在TerminalServiceConfigration(远程服务配置)-权限-高级中配置安全审核,一样来说只要记录登录、注销事件就能够了。
12.解除NetBios与TCP/IP协议的绑定
操纵面版——网络——绑定——NetBios接口——禁用2000:
操纵面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
13.在网络连接的协议里启用TCP/IP选择,仅开放必要的端口(如80)
14.通过更换注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=1来禁止139空连接
15.修改数据包的生存时刻(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTLREG_DWORD0-0xff(0-255十进制,默认值128)
16.防止SYN洪水攻击
SynAttackProtectREG_DWORD0x2(默认值为0x0)
17.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerformRouterDiscoveryREG_DWORD0x0(默认值为0x2)
18.防止ICMP重定向报文的攻击
EnableICMPRedirectsREG_DWORD0x0(默认值为0x1)
19.不支持IGMP协议
IGMPLevelREG_DWORD0x0(默认值为0x2)
20.设置arp缓存老化时刻设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:
\Tcpip\Parameters
ArpCacheLifeREG_DWORD0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLifeREG_DWORD0-0xFFFFFFFF(秒数,默认值为600)
21.禁止死网关监测技术
EnableDeadGWDetectREG_DWORD0x0(默认值为ox1)
22.不支持路由功能
IPEnableRouterREG_DWORD0x0(默认值为0x0)
安装和配置IIS服务:
1.仅安装必要的IIS组件。
(禁用不需要的如FTP和SMTP服务)
2.仅启用必要的服务和WebService扩展,举荐配置:
UI中的组件名称
设置
设置逻辑
后台智能传输服务(BITS)服务器扩展
启用
BITS是WindowsUpdates和“自动更新”所使用的后台文件传输机制。
假如使用WindowsUpdates或“自动更新”在IIS服务器中自动应用ServicePack和热修补程序,则必须有该组件。
公用文件
IIS需要这些文件,一定要在IIS服务器中启用它们。
文件传输协议(FTP)服务
禁用
承诺IIS服务器提供FTP服务。
专用IIS服务器不需要该服务。
FrontPage2002ServerExtensions
为治理和公布Web站点提供FrontPage支持。
假如没有使用FrontPage扩展的Web站点,请在专用IIS服务器中禁用该组件。
Internet信息服务治理器
IIS的治理界面。
Internet打印
提供基于Web的打印机治理,承诺通过共享打印机。
专用IIS服务器不需要该组件。
NNTP服务
在Internet中分发、查询、检索和投递Usenet新闻文章。
SMTP服务
支持传输电子邮件。
万维网服务
为客户端提供Web服务、静态和动态内容。
专用IIS服务器需要该组件。
万维网服务子组件
安装选项
ActiveServerPage
提供ASP支持。
假如IIS服务器中的Web站点和应用程序都不使用ASP,请禁用该组件;
或使用Web服务扩展禁用它。
Internet数据连接器
通过扩展名为.idc的文件提供动态内容支持。
假如IIS服务器中的Web站点和应用程序都不包括.idc扩展文件,请禁用该组件;
远程治理(HTML)
提供治理IIS的HTML界面。
改用IIS治理器可使治理更容易,并减少了IIS服务器的攻击面。
专用IIS服务器不需要该功能。
远程桌面Web连接
包括了治理终端服务客户端连接的MicrosoftActiveX®
控件和范例页面。
服务器端包括
提供.shtm、.shtml和.stm文件的支持。
假如在IIS服务器中运行的Web站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。
WebDAV
WebDAV扩展了/1.1协议,承诺客户端公布、锁定和治理Web中的资源。
专用IIS服务器禁用该组件;
或使用Web服务扩展禁用该组件。
专用IIS服务器需要该组件
3.将IIS名目&数据与系统磁盘分开,储存在专用磁盘空间内。
4.在IIS治理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
5.在IIS中将404ObjectNotFound出错页面通过URL重定向到一个定制HTM文件
6.Web站点权限设定(建议)
Web站点权限:
授予的权限:
读
承诺
写
不承诺
脚本源访问
名目扫瞄
建议关闭
日志访问
索引资源
执行
举荐选择“仅限于脚本”
7.建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,状态,用户代理,而且每天均要审查日志。
(最好不要使用缺省的名目,建议更换一个记日志的路径,同时设置日志的访问权限,只承诺治理员和system为FullControl)。
8.程序安全:
1)涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里显现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2)需要通过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取那个页面。
3)防止ASP主页.inc文件泄露问题;
4)防止UE等编辑器生成some.asp.bak文件泄露问题。
安全更新。
应用所需的所有ServicePack和定期手动更新补丁。
安装和配置防病毒爱护。
举荐NAV8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。
安装和配置防火墙爱护。
举荐最新版BlackICEServerProtection防火墙(配置简单,比较有用)
监视解决方案。
依照要求安装和配置MOM代理或类似的监视解决方案。
加强数据备份。
Web数据定时做备份,保证在显现问题后能够复原到最近的状态。
考虑实施IPSec选择器。
用IPSec过滤器阻断端口
Internet协议安全性(IPSec)过滤器可为增强服务器所需要的安全级别提供有效的方法。
本指南举荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。
有关使用IPSec过滤器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出在本指南定义的高级安全性环境下可在IIS服务器上创建的所有IPSec过滤器。
服务
协议
源端口
目标端口
源地址
目标地址
操作
镜像
TerminalServices
TCP
所有
3389
ME
是
Server
80
SServer
443
在实施上表所列举的规则时,应当对它们都进行镜像处理。
如此能够确保任何进入服务器的网络通信也能够返回到源服务器。
SQL服务器安全加固
说明
MDAC升级
安装最新的MDAC(:
//microsoft/data/download.htm)
密码策略
由于SQLServer不能更换sa用户名称,也不能删除那个超级用户,因此,我们必须对那个帐号进行最强的爱护,因此,包括使用一个专门强壮的密码,最好不要在数据库应用中使用sa帐号。
新建立一个拥有与sa一样权限的超级用户来治理数据库。
同时养成定期修改密码的好适应。
数据库治理员应该定期查看是否有不符合密码要求的帐号。
比如使用下面的SQL语句:
Usemaster
Selectname,Passwordfromsysloginswherepasswordisnull
数据库日志的记录
核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,将其中的审核级别选定为全部,如此在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。
治理扩展储备过程
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。
请把它去掉。
使用那个SQL语句:
usemaster
sp_dropextendedproc'
xp_cmdshell'
假如你需要那个储备过程,请用那个语句也能够复原过来。
sp_addextendedproc'
'
xpsql70.dll'
OLE自动储备过程(会造成治理器中的某些特点不能使用),这些过程包括如下(不需要能够全部去掉:
Sp_OACreate
Sp_OADestroy
Sp_OAGetErrorInfo
Sp_OAGetProperty
Sp_OAMethod
Sp_OASetProperty
Sp_OAStop
去掉不需要的注册表访问的储备过程,注册表储备过程甚至能够读出操作系统治理员的密码来,如下:
Xp_regaddmultistring
Xp_regdeletekey
Xp_regdeletevalue
Xp_regenumvalues
Xp_regread
Xp_regremovemultistring
Xp_regwrite
防TCP/IP端口探测
在实例属性中选择TCP/IP协议的属性。
选择隐藏SQLServer实例。
请在上一步配置的基础上,更换原默认的1433端口。
在IPSec过滤拒绝掉1434端口的UDP通讯,能够尽可能地隐藏你的SQLServer。
对网络连接进行IP限制
使用操作系统自己的IPSec能够实现IP数据包的安全性。
请对IP连接进行限制,保证只有自己的IP能够访问,拒绝其他IP进行的端口连接。
附:
Win2003系统建议禁用服务列表
名称
服务名
建议设置
自动更新
wuauserv
BackgroundIntelligentTransferService
BITS
ComputerBrowser
Browser
DHCPClient
Dhcp
NTLMSecuritySupportProvider
NtLmSsp
NetworkLocationAwareness
NLA
PerformanceLogsandAlerts
SysmonLog
RemoteAdministrationService
SrvcSurg
RemoteRegistryService
RemoteRegistry
Server
lanmanserver
TCP/IPNetBIOSHelperService
LmHosts
TerminalServices
TermService
WindowsInstaller
MSIServer
WindowsManagementInstrumentationDriverExtensions
Wmi
WMIPerformanceAdapter
WMIApSrv
ErrorReporting
ErrRep
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Web 服务器 安全 加固 步骤