网站加固手册

网站加固手册1.系统安全（该部分设置完毕后需要对网站的使用进行测试，尤其是后台的使用，例如上传）1.1禁止使用WScript.Shell组件HKEY_CLASSES_ROOT\WScript.ShellHKEY_CLASSES_ROOT\WScript.Shell.1HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-09424B88AFB8}HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}将WScript.Shell、WScript.Shell.1、{72C24DD5-D70A-438B-8A42-09424B88AFB8}、{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}重命名至任意名字regsvr32/u%windir%\System32\wshom.ocx1.2禁止使用Shell.application组件HKEY_CLASSES_ROOT\Shell.ApplicationHKEY_CLASSES_ROOT\Shell.Application.1HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A493-444553540000}将Shell.Application、Shell.Application.1、{13709620-C279-11CE-A493-444553540000}重命名至任意名字regsvr32/u%windir%\system32\shell32.dllcacls%windir%\system32\shell32.dll/e/dguests1.3禁止使用FileSystemObject组件HKEY_CLASSES_ROOT\Scripting.FileSystemObjectHKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}将Scripting.FileSystemObject和{0D43FE01-F093-11CF-8940-00A0C9054228}导出备份，然后把这两项重命名至任意名字RegSrv32/u%windir%\SYSTEM32\scrrun.dllcaclsC:\WINNT\system32\scrrun.dll/e/dguests1.4禁用Guests组用户调用cmd.exe、command.execacls%windir%\system32\cmd.exe/e/dguestscacls%windir%\system32\command.exe/e/dguests1.5重命名cacls.exe，并对重命名的文件做记录1.6其他注册表项修改（可将下文保存为注册表文件导入）[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]NoRecentDocsMenu=hex:01,00,00,00NoRecentDocsHistory=hex:01,00,00,00[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]DontDisplayLastUserName=1[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]restrictanonymous=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]AutoShareServer=dword:00000000AutoShareWks=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]EnableICMPRedirect=dword:00000000KeepAliveTime=dword:000927c0SynAttackProtect=dword:00000002TcpMaxHalfOpen=dword:000001f4TcpMaxHalfOpenRetried=dword:00000190TcpMaxConnectResponseRetransmissions=dword:00000001TcpMaxDataRetransmissions=dword:00000003TCPMaxPortsExhausted=dword:00000005DisableIPSourceRouting=dword:00000002TcpTimedWaitDelay=dword:0000001eTcpNumConnections=dword:00004e20EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000001EnableDeadGWDetect=dword:00000000PerformRouterDiscovery=dword:00000000EnableICMPRedirects=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]BacklogIncrement=dword:00000005MaxConnBackLog=dword:000007d0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]EnableDynamicBacklog=dword:00000001MinimumDynamicBacklog=dword:00000014MaximumDynamicBacklog=dword:00007530DynamicBacklogGrowthDelta=dword:0000000a2.服务安全以下服务停止并禁用AlerterApplicationLayerGatewayServiceBackgroundIntelligentTransferServiceComputerBrowserDistributedFileSystemHelpandSupportMessengerNetMeetingRemoteDesktopSharingPrintSpoolerRemoteRegistryTaskSchedulerTCP/IPNetBIOSHelperTelnetWorkstation3.组策略开始菜单—管理工具—本地安全策略A、本地策略——审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略——用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略——安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户（视情况而定）帐户：重命名系统管理员帐户重命名一个帐户（视情况而定）4.IIS安全4.1不同类型网站的相关设置（以下主机头等命名为举例）主机头主机脚本硬盘目录IIS用户名IIS权限应用程序池主目录应用程序配置(完全控制)IUSR_1.com(读)可共用读取/纯脚本启用父路径(完全控制)IUSR_2.com(读/写)可共用读取/纯脚本启用父路径(完全控制)IWAM_3.com(读/写)IUSR_3.com(读/写)独立池读取/纯脚本启用父路径(完全控制)IWAM_4.com(读/写)IUSR_4.com(读/写)独立池读取/纯脚本启用父路径IIS权限栏内的用户写权限根据实际情况给予，用户建好的站点如果没有给予写权限不要添加。4.2网站属性检查：“网站”标签查看是否启用日志记录，启用的活动日志格式查看日志文件目录，如果是默认路径将其移动到其他盘符的某一个文件夹内，文件夹名不要以和log相关的字眼命名，选用的盘符空间视每天访问量决定，最好能容纳3个月的日志，不要和网页程序文件放在同一个盘符。“主目录”标签查看开启的目录权限，写入权限和目录权限不能打勾，如打上勾需要和用户确定；记录访问一定要打上勾点开配置按钮，将映射中的.asa和.cer映射删除。查看选项内是否“启用父路径”，如启用做记录，查看网页代码文件是否需要用到父路径。“自定义错误”标签编辑所有HTTP错误，将内容路径指向一个空白的htm文件（自己创建）4.3删除不必要的站点默认网站如果不需要访问将其关闭。其他测试站点也将其关闭，只保留需要发布的站点。4.4Web服务扩展（2003）WebDAV禁止5.权限设置硬盘或文件夹:C:\D:\E:\F:\类推主要权限部分：其他权限部分：Administrators完全控制如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:\php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，用一个独立用户运行MYSQL会更安全。该文件夹，子文件夹及文件不是继承的CREATOROWNER完全控制只有子文件夹及文件不是继承的SYSTEM完全控制该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:\Inetpub\主要权限部分：其他权限部分：Administrators完全控制无该文件夹，子文件夹及文件继承于c:\CREATOROWNER完全控制只有子文件夹及文件继承于c:\SYSTEM完全控制该文件夹，子文件夹及文件继承于c:\硬盘或文件夹:C:\Inetpub\AdminScripts主要权限部分：其他权限部分：Administrators完全控制无该文件夹，子文件夹及文件不是继承的SYSTEM完全控制该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:\Inetpub\主要权限部分：其他权限部分：Administrators完全控制IIS_WPG读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的SYSTEM完全控制Users读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的这里可以把虚拟主机用户组加上同Internet来宾帐户一样的权限拒绝权限Internet来宾帐户创建文件/写入数据/: