……………………………………………………………最新资料推荐………………………………………………… Web服务器安全加固步骤 IIS Web服务器安全加固步骤: Web服务器安全加固步骤全文共12页,当前为第1页。 Web服务器安全加固步骤全文共12页,当前为第1页。 步骤 注意: 安装和配置 Windows Server 2003。 将<systemroot>\System32\cmd.exe转移到其他目录或更名; 系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂; 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户) 建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。 NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高): 文件类型 建议的 NTFS 权限 CGI 文件(.exe、.dll、.cmd、.pl) 脚本文件 (.asp) 包含文件(.inc、.shtm、.shtml) 静态内容(.txt、.gif、.jpg、.htm、.html) Everyone(执行) Administrators(完全控制) System(完全控制) 禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer、REG_DWORD、0x0 禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks、REG_DWORD、0x0 限制IPC$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous REG_DWORD 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机IPC$共享 说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server 仅给用户真正需要的权限,权限的最小化原则是安全的重要保障 Web服务器安全加固步骤全文共12页,当前为第2页。在本地安全策略->审核策略中打开相应的审核,推荐的审核是: 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是: 在账户策略->密码策略中设定: 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 在账户策略->账户锁定策略中设定: 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 Web服务器安全加固步骤全文共12页,当前为第2页。 在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。 解除NetBios与TCP/IP协议的绑定 控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS 在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80) 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接 Web服务器安全加固步骤全文共12页,当前为第3页。修改数据包的生存时间(TTL)值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) Web服务器安全加固步骤全文共12页,当前为第3页。 防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcp 【Web服务器安全加固步骤】 在IT领域,尤其是网络服务管理中,确保Web服务器的安全至关重要。以下是一些针对IIS Web服务器安全加固的关键步骤,适用于Windows Server 2003环境: 1. **基础系统安全**:正确安装并配置Windows Server 2003操作系统。确保所有安全补丁和更新已安装。 2. **系统文件保护**:将系统关键文件如`<systemroot>\System32\cmd.exe`移动或重命名,以防止恶意利用。 3. **账户管理**:尽量减少系统账号数量,更改默认用户名(如`Administrator`),设置复杂的密码,并修改默认账户描述。 4. **权限设定**:限制网络访问,包括禁用匿名登录、内置管理员账户(如`Support_388945a0`)、Guest账户以及所有非操作系统服务账户。 5. **NTFS文件权限**:根据文件类型设定不同的NTFS权限,例如: - CGI文件:给予Everyone执行权限,Administrators和System完全控制。 - 脚本文件:同上。 - 包含文件:同上。 - 静态内容:一般用户只提供读取权限,管理员和System有完全控制权限。 6. **关闭默认共享**:通过修改注册表键值,禁用C$、D$等默认共享,以及ADMIN$和IPC$共享。 7. **审计策略**:开启本地安全策略中的审计策略,包括账户管理、登录事件、对象访问等,以便追踪系统活动。 8. **密码策略**:在账户策略中设定密码复杂性要求,如最小长度6位,强制密码历史5次,最长存留期30天。 9. **账户锁定策略**:设定账户锁定阈值,例如3次错误登录后锁定20分钟,并在20分钟后自动复位。 10. **远程服务安全**:在终端服务配置中配置安全审核,记录登录和注销事件。 11. **解除NetBIOS与TCP/IP绑定**:禁用NetBIOS接口,以提高网络安全性。 12. **启用TCP/IP筛选**:只开放必要的端口,如HTTP的80端口,以降低被攻击的风险。 13. **禁止139空连接**:通过设置`RestrictAnonymous`为1,防止通过139端口进行匿名连接。 14. **调整数据包TTL值**:修改`DefaultTTL`注册表键值,以增强网络安全性。 这些步骤旨在最小化潜在攻击面,限制未经授权的访问,提高系统的整体安全性。请注意,实施任何更改前应在测试环境中进行验证,以避免影响正常服务运行。安全加固是一个持续的过程,需定期评估并更新安全措施以应对新的威胁。
- 粉丝: 110
- 资源: 9354
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- ks滑块加密算法与源代码
- 医护人员检测23-YOLOv8数据集合集.rar
- 1.电力系统短路故障引起电压暂降 2.不对称短路故障分析 包括:共两份自编word+相应matlab模型 1.短路故障的发生频次以及不同类型短路故障严重程度,本文选取三类典型的不对称短路展开研究
- C#连接sap NCO组件 X64版
- 开源基于51单片机的多功能智能闹钟设计,课设毕设借鉴参考
- 深度强化学习电气工程复现文章,适合小白学习 关键词:能量管理 深度学习 强化学习 深度强化学习 能源系统 优化调度 编程语言:python平台 主题:用于能源系统优化调度的深度强化学习算法的性能比较
- 泰州市2005-2024年近20年历史气象数据下载
- 盐城市2005-2024年近20年历史气象数据下载
- 连云港市2005-2024年近20年历史气象数据下载
- 南通市2005-2024年近20年历史气象数据下载