Windows平台Web服务器安全实战

Windows平台Web服务器安全实战安徽国讯教育科技有限责任公司技术总监徐泳2005年4月2日1、系统安装采用NTFS分区仅仅安装一个操作系统，并且不安装和服务器无关的软件2、帐户设置尽可能少的有效帐户，建立两个管理帐户；给管理帐户改名字；禁用Guest帐户；使用强帐户密码规则；帐户密码要定期进行更改；建立陷阱帐号；使用组策略。3、网络设置只保留TCP/IP协议，其他全部删除；禁用NetBIOS；只允许一些必要的端口。4、删除不必要的共享在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一值Name：AutoShareServerType：REG-DWORDValue：0在HKLM\SYSTEM\CurrentControlSet\Control\Lsa下增加一值Name：restrictanonymousType：REG_DWORDValue：05、修改权限Windows2000Server的NTFS分区默认权限都是Everyone完全控制权限，这样给服务器的安全带来了一定的安全隐患。我们建议，所有NTFS分区只给管理员和SYSTEM完全控制权限。有特殊权限需求的目录可单独设置。6、修改计算机启动特性操作方法：控制面板-系统-高级-启动和故障恢复-取消显示操作系统列表-取消发送警报-取消写入调试信息-完成。7、禁用不必要的服务需要停掉的服务，例如：Alerter、ComputerBrowser、DistributedFileSystem、IntersiteMessaging、KerberosKeyDistributionCenter、RemoteRegistryService、RoutingandRemoteAccess等等。8、使用审核和安全日志本地安全策略-审核策略中打开相应的审核；账户策略-密码策略；账户策略-账户锁定策略；TerminalService的安全日志；事件日志设置。9、IIS设置只安装管理器、公共文档和服务；尽量减少IIS中没有必要的映射，大多数用户只留asp,asa就可以了；Web目录需要IUSR读写权限，IIS中只开放读取权限；有效利用IIS中IP禁止访问列表；完善日志功能，以便查找问题，加强监控。10、FTP设置禁止对FTP的匿名访问；注意用户权限的开放度。11、配置Sql服务器SystemAdministrators角色最好不要超过两个；如果是在本机最好将身份验证配置为Win登陆；删除以下的扩展存储过程；xp_cmdshellXp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluessXp_regreadXp_regwriteXp_regremovemultistringSp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop12、远程管理安全修改对应程序服务端口；采用程序内置加密方法；尽可能将远程管理方法让少数人知道；尽量采取程序内置密码和操作系统密码两层验证机制。谢谢！交流论坛：