iis web伺服器安全加固步驟:
步驟 安裝和配置 windows server 2003。
注意:1.將/system32/cmd.exe轉移到其他目錄或更名;
2.系統帳號盡量少,更改預設帳戶名(如administrator)和描述,密碼盡量複雜;
3.拒絕通過網路訪問該計算機(匿名登入;內建管理員帳戶;support_388945a0;guest;所有非作業系統服務帳戶)
4.建議對一般使用者只給予讀取許可權,而只給管理員和system以完全控制許可權,但這樣做有可能使某些正常的指令碼程式不能執行,或者某些需要寫的操作不能完成,這時需要對這些檔案所在的資料夾許可權進行更改,建議在做更改前先在測試機器上作測試,然後慎重更改。
5.ntfs檔案許可權設定(注意檔案的許可權優先級別比資料夾的許可權高):
6.禁止c$、d$一類的預設共享
hkey_local_machine/system/currentcontrolset/services/lanmanserver/parameters
autoshareserver、reg_dword、0x0
7.禁止admin$預設共享
hkey_local_machine/system/currentcontrolset/services/lanmanserver/parameters
autosharewks、reg_dword、0x0
8.限制ipc$預設共享
hkey_local_machine/system/currentcontrolset/control/lsa
restrictanonymous reg_dword 0x0 預設
0x1 匿名使用者無法列舉本機使用者列表
0x2 匿名使用者無法連線本機ipc$共享
說明:不建議使用2,否則可能會造成你的一些服務無法啟動,如sql server
9.僅給使用者真正需要的許可權,許可權的最小化原則是安全的重要保障
10.在本地安全策略->審核策略中開啟相應的審核,推薦的審核是:
賬戶管理 成功 失敗
登入事件 成功 失敗
物件訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登入事件 成功 失敗
審核專案少的缺點是萬一你想看發現沒有記錄那就一點都沒轍;審核專案太多不僅會占用系統資源而且會導致你根本沒空去看,這樣就失去了審核的意義。 與之相關的是:
在賬戶策略->密碼策略中設定:
密碼複雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定 3次錯誤登入
鎖定時間 20分鐘
復位鎖定計數 20分鐘
11.在terminal service configration(遠端服務配置)-許可權-高階中配置安全審核,一般來說只要記錄登入、登出事件就可以了。
12.解除netbios與tcp/ip協議的繫結
控制面版——網路——繫結——netbios介面——禁用 2000:控制面版——網路和撥號連線——本地網路——屬性——tcp/ip——屬性——高階——wins——禁用tcp/ip上的netbios
13.在網路連線的協議裡啟用tcp/ip篩選,僅開放必要的埠(如80)
14.通過更改登錄檔local_machine/system/currentcontrolset/control/lsa-restrictanonymous = 1來禁止139空連線
15.修改資料報的生存時間(ttl)值
hkey_local_machine/system/currentcontrolset/services/tcpip/parameters
defaultttl reg_dword 0-0xff(0-255 十進位制,預設值128)
16.防止syn洪水攻擊
hkey_local_machine/system/currentcontrolset/services/tcpip/parameters
synattackprotect reg_dword 0x2(預設值為0x0)
17.禁止響應icmp路由通告報文
hkey_local_machine/system/currentcontrolset/services/tcpip/parameters
/inte***ces/inte***ce
performrouterdiscovery reg_dword 0x0(預設值為0x2)
18.防止icmp重定向報文的攻擊
hkey_local_machine/system/currentcontrolset/services/tcpip/parameters
enableicmpredirects reg_dword 0x0(預設值為0x1)
19.不支援igmp協議
hkey_local_machine/system/currentcontrolset/services/tcpip/parameters
igmplevel reg_dword 0x0(預設值為0x2)
20.設定arp快取老化時間設定
hkey_local_machine/system/currentcontrolset/services:/tcpip/parameters
arpcachelife reg_dword 0-0xffffffff(秒數,預設值為120秒)
arpcacheminreferencedlife reg_dword 0-0xffffffff(秒數,預設值為600)
21.禁止死閘道器監測技術
hkey_local_machine/system/currentcontrolset/services:/tcpip/parameters
enabledeadgwdetect reg_dword 0x0(預設值為ox1)
22.不支援路由功能
hkey_local_machine/system/currentcontrolset/services:/tcpip/parameters
ipenablerouter reg_dword 0x0(預設值為0x0)
安裝和配置 iis 服務:
1.僅安裝必要的 iis 元件。(禁用不需要的如ftp 和 **tp 服務)
2.僅啟用必要的服務和 web service 擴充套件,推薦配置:
全球資訊網服務子元件
3.將iis目錄&資料與系統磁碟分開,儲存在專用磁碟空間內。
4.在iis管理器中刪除必須之外的任何沒有用到的對映(保留asp等必要對映即可)
5.在iis中將http404 object not found出錯頁面通過url重定向到乙個定製htm檔案
6.web站點許可權設定(建議)
在實施上表所列舉的規則時,應當對它們都進行映象處理。這樣可以確保任何進入伺服器的網路通訊也可以返回到源伺服器。
sql伺服器安全加固
附:win2003系統建議禁用服務列表
SQL伺服器安全加固
步驟 說明 mdac公升級 安裝最新的mdac http www.microsoft.com data download.htm 密碼策略 由於sql server 不能更改 sa使用者名稱,也不能刪除這個超級使用者,所以,我們必須對這個帳號進行最強的保護,當然,包括使用乙個非常強壯的密碼,最好不要...
伺服器安全加固
注 以下所有操作均在centos 6.5 x86 64位系統下完成。寫在最前 安全無小事,一切只要能增強安全性的事情,都是值得去做的。安全配置 1 防止伺服器被ping,禁止該功能。echo 1 proc sys net ipv4 icmp echo ignore all 並且儲存配置到開機自動設定...
Linux伺服器安全加固
一 修改密碼和ssh登入埠,並且盡可能的用金鑰對登入,禁止用密碼登入 主要針對linux 二 修改 etc hosts.allow 設定僅僅允許某幾台去ssh sshd 45.195.修改 etc hosts.deny sshd all in.telnet all 三 把系統中的一些不必要的使用者和...