IIS與SQL服務器安全加固詳解 |
發(fā)布時間: 2012/5/28 7:49:32 |
IIS Web服務器安全加固步驟: 步驟 安裝和配置 Windows Server 2003。 注意: 1.將\System32\cmd.exe轉移到其他目錄或更名; 2.系統(tǒng)帳號盡量少,更改默認帳戶名(如Administrator)和描述,密碼盡量復雜; 3.拒絕通過網絡訪問該計算機(匿名登錄;內置管理員帳戶;Support_388945a0;Guest;所有非操作系統(tǒng)服務帳戶) 4.建議對一般用戶只給予讀取權限,而只給管理員和System以完全控制權限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時需要對這些文件所在的文件夾權限進行更改,建議在做更改前先在測試機器上作測試,然后慎重更改。 5.NTFS文件權限設定(注意文件的權限優(yōu)先級別比文件夾的權限高): 6.禁止C$、D$一類的缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer、REG_DWORD、0x0 7.禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks、REG_DWORD、0x0 8.限制IPC$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用戶無法列舉本機用戶列表 0x2 匿名用戶無法連接本機IPC$共享 說明:不建議使用2,否則可能會造成你的一些服務無法啟動,如SQL Server 9.僅給用戶真正需要的權限,權限的最小化原則是安全的重要保障 10.在本地安全策略->審核策略中打開相應的審核,推薦的審核是: 賬戶管理 成功 失敗 登錄事件 成功 失敗 對象訪問 失敗 策略更改 成功 失敗 特權使用 失敗 系統(tǒng)事件 成功 失敗 目錄服務訪問 失敗 賬戶登錄事件 成功 失敗 審核項目少的缺點是萬一你想看發(fā)現沒有記錄那就一點都沒轍;審核項目太多不僅會占用系統(tǒng)資源而且會導致你根本沒空去看,這樣就失去了審核的意義。 與之相關的是: 在賬戶策略->密碼策略中設定: 密碼復雜性要求 啟用 密碼長度最小值 6位 強制密碼歷史 5次 最長存留期 30天 在賬戶策略->賬戶鎖定策略中設定: 賬戶鎖定 3次錯誤登錄 鎖定時間 20分鐘 復位鎖定計數 20分鐘 11.在Terminal Service Configration(遠程服務配置)-權限-高級中配置安全審核,一般來說只要記錄登錄、注銷事件就可以了。 12.解除NetBios與TCP/IP協(xié)議的綁定 控制面版——網絡——綁定——NetBios接口——禁用 2000:控制面版——網絡和撥號連接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS 13.在網絡連接的協(xié)議里啟用TCP/IP篩選,僅開放必要的端口(如80) 14.通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空連接 15.修改數據包的生存時間(TTL)值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128) 16.防止SYN洪水攻擊 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters SynAttackProtect REG_DWORD 0x2(默認值為0x0) 17.禁止響應ICMP路由通告報文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface PerformRouterDiscovery REG_DWORD 0x0(默認值為0x2) 18.防止ICMP重定向報文的攻擊 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters EnableICMPRedirects REG_DWORD 0x0(默認值為0x1) 19.不支持IGMP協(xié)議 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters IGMPLevel REG_DWORD 0x0(默認值為0x2) 20.設置arp緩存老化時間設置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為120秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為600) 21.禁止死網關監(jiān)測技術 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1) 22.不支持路由功能 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters IPEnableRouter REG_DWORD 0x0(默認值為0x0) 安裝和配置 IIS 服務: 1.僅安裝必要的 IIS 組件。(禁用不需要的如FTP 和 SMTP 服務) 2.僅啟用必要的服務和 Web Service 擴展,推薦配置: 萬維網服務子組件 3.將IIS目錄&數據與系統(tǒng)磁盤分開,保存在專用磁盤空間內。 4.在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可) 5.在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件 6.Web站點權限設定(建議) 7. 建議使用W3C擴充日志文件格式,每天記錄客戶IP地址,用戶名,服務器端口,方法,URI字根,HTTP狀態(tài),用戶代理,而且每天均要審查日志。(最好不要使用缺省的目錄,建議更換一個記日志的路徑,同時設置日志的訪問權限,只允許管理員和system為Full Control)。 8.程序安全: 1) 涉及用戶名與口令的程序最好封裝在服務器端,盡量少的在ASP文件里出現,涉及到與數據庫連接地用戶名與口令應給予最小的權限; 2) 需要經過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。 3) 防止ASP主頁.inc文件泄露問題; 4) 防止UE等編輯器生成some.asp.bak文件泄露問題。 安全更新。應用所需的所有 Service Pack 和 定期手動更新補丁。 安裝和配置防病毒保護。推薦NAV 8.1以上版本病毒防火墻(配置為至少每周自動升級一次)。 安裝和配置防火墻保護。推薦最新版BlackICE Server Protection防火墻(配置簡單,比較實用) 監(jiān)視解決方案。根據要求安裝和配置 MOM代理或類似的監(jiān)視解決方案。 加強數據備份。Web數據定時做備份,保證在出現問題后可以恢復到最近的狀態(tài)。 考慮實施 IPSec 篩選器。用 IPSec 過濾器阻斷端口 Internet 協(xié)議安全性 (IPSec) 過濾器可為增強服務器所需要的安全級別提供有效的方法。本指南推薦在指南中定義的高安全性環(huán)境中使用該選項,以便進一步減少服務器的受攻擊面。 有關使用 IPSec 過濾器的詳細信息,請參閱模塊其他成員服務器強化過程。 下表列出在本指南定義的高級安全性環(huán)境下可在 IIS 服務器上創(chuàng)建的所有 IPSec 過濾器。 在實施上表所列舉的規(guī)則時,應當對它們都進行鏡像處理。這樣可以確保任何進入服務器的網絡通信也可以返回到源服務器。 SQL服務器安全加固 附:Win2003系統(tǒng)建議禁用服務列表 本文出自:億恩科技【1tcdy.com】 |