五月天亚洲色图_亚洲精品少妇_亚洲熟妇无码av另类本色_自拍高清综合中文_成年女人wwxx免费_国产高清视频在线观看三区_下载香蕉视频app_芒果视频下载_日韩AV综合无码中文一区_国产日产精品久久

　�。�越辰科技整理）因?yàn)镮IS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個(gè)安全的Web服務(wù)器，是很多人關(guān)心的話題。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows 2003的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對(duì)服務(wù)器進(jìn)行安全加固，以免遭到黑客的攻擊，造成嚴(yán)重的后果。

　　我們通過以下幾個(gè)方面對(duì)您的系統(tǒng)進(jìn)行安全加固：

　　1. 系統(tǒng)的安全加固：我們通過配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

　　2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

　　3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

　　系統(tǒng)的安全加固：

　　1.目錄權(quán)限的配置：

　　1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對(duì)其下的子目錄作單獨(dú)的目錄權(quán)限，如果WEB站點(diǎn)目錄，你要為其目錄權(quán)限分配一個(gè)與之對(duì)應(yīng)的匿名訪問帳號(hào)并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅(jiān)固，可以分配只讀權(quán)限并對(duì)特殊的目錄作可寫權(quán)限。

　　1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

　　1.3 因?yàn)榉��?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個(gè)隱藏目錄也需要同樣操作。因?yàn)槿绻�你安裝有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個(gè)配置文件。

　　1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

　　1.5 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號(hào)拒絕訪問。

　　1.6審核MetBase.bin，C:\WINNT\system32\inetsrv目錄只有administrator只允許Administrator用戶讀寫。

　　2.組策略配置:

　　在用戶權(quán)利指派下，從通過網(wǎng)絡(luò)訪問此計(jì)算機(jī)中刪除Power Users和Backup Operators;

　　啟用不允許匿名訪問SAM帳號(hào)和共享;

　　啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport;

　　從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

　　啟用交互登錄：不顯示上次的用戶名;

　　啟用在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值;

　　禁止IIS匿名用戶在本地登錄;

　　3.本地安全策略設(shè)置:

　　開始菜單?>管理工具?>本地安全策略

　　A、本地策略??>審核策略

　　審核策略更改　成功　失敗

　　審核登錄事件　成功　失敗

　　審核對(duì)象訪問失敗

　　審核過程跟蹤　無審核

　　審核目錄服務(wù)訪問失敗

　　審核特權(quán)使用失敗

　　審核系統(tǒng)事件　成功　失敗

　　審核賬戶登錄事件　成功　失敗

　　審核賬戶管理　成功　失敗

　　注：在設(shè)置審核登陸事件時(shí)選擇記失敗，這樣在事件查看器里的安全日志就會(huì)記錄登陸失敗的信息。

　　B、本地策略??>用戶權(quán)限分配

　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。

　　通過終端服務(wù)拒絕登陸：加入Guests、User組

　　通過終端服務(wù)允許登陸：只加入Administrators組，其他全部刪除

　　C、本地策略??>安全選項(xiàng)

　　交互式登陸：不顯示上次的用戶名　啟用

　　網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉啟用

　　網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證　啟用

　　網(wǎng)絡(luò)訪問：可匿名訪問的共享　全部刪除

　　網(wǎng)絡(luò)訪問：可匿名訪問的命全部刪除

　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑全部刪除

　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑全部刪除

　　帳戶：重命名來賓帳戶重命名一個(gè)帳戶

　　帳戶：重命名系統(tǒng)管理員帳戶　重命名一個(gè)帳戶

　　4.本地賬戶策略：

　　在賬戶策略->密碼策略中設(shè)定：

　　密碼復(fù)雜性要求啟用

　　密碼長(zhǎng)度最小值 6位

　　強(qiáng)制密碼歷史 5次

　　最長(zhǎng)存留期 30天

　　在賬戶策略->賬戶鎖定策略中設(shè)定：

　　賬戶鎖定 3次錯(cuò)誤登錄

　　鎖定時(shí)間 20分鐘

　　復(fù)位鎖定計(jì)數(shù) 20分鐘

　　5. 修改注冊(cè)表配置：

　　5.1 通過更改注冊(cè)表

　　local_machine\system\currentcontrolset\control\lsa-restrictanonymous = 1來禁止139空連接

　　5.2 修改數(shù)據(jù)包的生存時(shí)間(ttl)值

　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

　　defaultttl reg_dword 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)

　　5.3 防止syn洪水攻擊

　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

　　synattackprotect reg_dword 0x2(默認(rèn)值為0x0)

　　5.4禁止響應(yīng)icmp路由通告報(bào)文

　　hkey_local_machine\system\currentcontrolset

　　\services\tcpip\parameters\interfaces\interface

　　performrouterdiscovery reg_dword 0x0(默認(rèn)值為0x2)

　　5.5防止icmp重定向報(bào)文的攻擊

　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

　　enableicmpredirects reg_dword 0x0(默認(rèn)值為0x1)

　　5.6不支持igmp協(xié)議

　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

　　5.7修改3389默認(rèn)端口:

　　運(yùn)行 Regedt32 并轉(zhuǎn)到此項(xiàng)：

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

　　\Terminal Server\WinStations\RDP-Tcp, 找到“PortNumber”子項(xiàng)，您會(huì)看到值 00000D3D，它是 3389 的十六進(jìn)制表示形式。使用十六進(jìn)制數(shù)值修改此端口號(hào)，并保存新值。

　　禁用不必要的服務(wù)不但可以降低服務(wù)器的資源占用減輕負(fù)擔(dān)，而且可以增強(qiáng)安全性。下面列出了

　　igmplevel reg_dword 0x0(默認(rèn)值為0x2)

　　5.8 設(shè)置arp緩存老化時(shí)間設(shè)置

　　hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

　　arpcachelife reg_dword 0-0xffffffff(秒數(shù),默認(rèn)值為120秒)

　　arpcacheminreferencedlife reg_dword 0-0xffffffff(秒數(shù),默認(rèn)值為600)

　　5.9禁止死網(wǎng)關(guān)監(jiān)測(cè)技術(shù)

　　hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

　　enabledeadgwdetect reg_dword 0x0(默認(rèn)值為ox1)

　　5.10 不支持路由功能

　　hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

　　ipenablerouter reg_dword 0x0(默認(rèn)值為0x0)

　　6. 禁用服務(wù)：

　　?Application Experience Lookup Service

　　?Automatic Updates

　　?BITS

　　?Computer Browser

　　?DHCP Client

　　?Error Reporting Service

　　?Help and Support

　　?Network Location Awareness

　　?Print Spooler

　　?Remote Registry

　　?Secondary Logon

　　?Server

　　?Smartcard

　　?TCP/IP NetBIOS Helper

　　?Workstation

　　?Windows Audio

　　?Windows Time

　　?Wireless Configuration

　　7.解除NetBios與TCP/IP協(xié)議的綁定

　　控制面版??網(wǎng)絡(luò)??綁定??NetBios接口??禁用 2000：控制面版??網(wǎng)絡(luò)和撥號(hào)連接??本地網(wǎng)絡(luò)??屬性??TCP/IP??屬性??高級(jí)??WINS??禁用TCP/IP上的NETBIOS

　　8. 使用tcp/ip篩選

　　在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選，僅開放必要的端口(如80)

　　9.禁止WebDAV

　　在注冊(cè)表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters

　　加以下注冊(cè)表值：

　　數(shù)值名稱：DisableWebDAV

　　數(shù)據(jù)類型：DWORD

　　數(shù)值數(shù)據(jù)：1

　　iis 加固方案：

　　1. 僅安裝必要的 iis 組件。(禁用不需要的如ftp 和 smtp 服務(wù))

　　2. 僅啟用必要的服務(wù)和 web service 擴(kuò)展，推薦配置:

　　ui 中的組件名稱

　　設(shè)置

　　設(shè)置邏輯

　　后臺(tái)智能傳輸服務(wù) (bits) 服務(wù)器擴(kuò)展

　　啟用

　　bits 是 windows updates 和"自動(dòng)更新"所使用的后臺(tái)文件傳輸機(jī)制。如果使用 windows updates 或"自動(dòng)更新"在 iis 服務(wù)器中自動(dòng)應(yīng)用 service pack 和熱修補(bǔ)程序，則必須有該組件。

　　公用文件

　　啟用

　　iis 需要這些文件，一定要在 iis 服務(wù)器中啟用它們。

　　文件傳輸協(xié)議 (ftp) 服務(wù)

　　禁用

　　允許 iis 服務(wù)器提供 ftp 服務(wù)。專用 iis 服務(wù)器不需要該服務(wù)。

　　frontpage 2002 server extensions

　　禁用

　　為管理和發(fā)布 web 站點(diǎn)提供 frontpage 支持。如果沒有使用 frontpage 擴(kuò)展的 web 站點(diǎn)，請(qǐng)?jiān)趯Ｓ?iis 服務(wù)器中禁用該組件。

　　internet 信息服務(wù)管理器

　　啟用

　　iis 的管理界面。

　　internet 打印

　　禁用

　　提供基于 web 的打印機(jī)管理，允許通過 http 共享打印機(jī)。專用 iis 服務(wù)器不需要該組件。

　　nntp 服務(wù)

　　禁用

　　在 internet 中分發(fā)、查詢、檢索和投遞 usenet 新聞文章。專用 iis 服務(wù)器不需要該組件。

　　smtp 服務(wù)

　　禁用

　　支持傳輸電子郵件。專用 iis 服務(wù)器不需要該組件。

　　萬維網(wǎng)服務(wù)

　　啟用

　　為客戶端提供 web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 iis 服務(wù)器需要該組件。

　　萬維網(wǎng)服務(wù)子組件

　　ui 中的組件名稱

　　安裝選項(xiàng)

　　設(shè)置邏輯

　　active server page

　　啟用

　　提供 asp 支持。如果 iis 服務(wù)器中的 web 站點(diǎn)和應(yīng)用程序都不使用 asp，請(qǐng)禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用它。

　　internet 數(shù)據(jù)連接器

　　禁用

　　通過擴(kuò)展名為 .idc 的文件提供動(dòng)態(tài)內(nèi)容支持。如果 iis 服務(wù)器中的 web 站點(diǎn)和應(yīng)用程序都不包括 .idc 擴(kuò)展文件，請(qǐng)禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用它。

　　遠(yuǎn)程管理 (html)

　　禁用

　　提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易，并減少了 iis 服務(wù)器的攻擊面。專用 iis 服務(wù)器不需要該功能。

　　遠(yuǎn)程桌面 web 連接

　　禁用

　　包括了管理終端服務(wù)客戶端連接的 microsoft activex? 控件和范例頁面。改用 iis 管理器可使管理更容易，并減少了 iis 服務(wù)器的攻擊面。專用 iis 服務(wù)器不需要該組件。

　　服務(wù)器端包括

　　禁用

　　提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服務(wù)器中運(yùn)行的 web 站點(diǎn)和應(yīng)用程序都不使用上述擴(kuò)展的包括文件，請(qǐng)禁用該組件。

　　webdav

　　禁用

　　webdav 擴(kuò)展了 http/1.1 協(xié)議，允許客戶端發(fā)布、鎖定和管理 web 中的資源。專用 iis 服務(wù)器禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用該組件。

　　萬維網(wǎng)服務(wù)

　　啟用

　　為客戶端提供 web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 iis 服務(wù)器需要該組件

　　3. 將iis目錄&數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。

　　4. 在iis管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)

　　5. 在iis中將http404 object not found出錯(cuò)頁面通過url重定向到一個(gè)定制htm文件

　　6. web站點(diǎn)權(quán)限設(shè)定(建議)

　　web 站點(diǎn)權(quán)限：

　　授予的權(quán)限：

　　讀 允許

　　寫 不允許

　　腳本源訪問 不允許

　　目錄瀏覽 建議關(guān)閉

　　日志訪問 建議關(guān)閉

　　索引資源 建議關(guān)閉

　　執(zhí)行 推薦選擇 "僅限于腳本"

　　7. 建議使用w3c擴(kuò)充日志文件格式，每天記錄客戶ip地址，用戶名，服務(wù)器端口，方法，uri字根，http狀態(tài)，用戶代理，而且每天均要審查日志。(最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問權(quán)限，只允許管理員和system為full control)。

　　8. 程序安全:

　　1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在asp文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限; 2) 需要經(jīng)過驗(yàn)證的asp頁面，可跟蹤上一個(gè)頁面的文件名，只有從上一頁面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁面。

　　防止asp主頁.inc文件泄露問題;

　　4) 防止ue等編輯器生成some.asp.bak文件泄露問題。

　　安全更新

　　應(yīng)用所需的所有 service pack 和定期手動(dòng)更新補(bǔ)丁。

　　安裝和配置防病毒保護(hù)

　　推薦nav 8.1以上版本病毒防火墻(配置為至少每周自動(dòng)升級(jí)一次)。

　　安裝和配置防火墻保護(hù)

　　推薦最新版blackice server protection防火墻(配置簡(jiǎn)單，比較實(shí)用)

　　監(jiān)視解決方案

　　根據(jù)要求安裝和配置 mom代理或類似的監(jiān)視解決方案。

　　加強(qiáng)數(shù)據(jù)備份

　　web數(shù)據(jù)定時(shí)做備份，保證在出現(xiàn)問題后可以恢復(fù)到最近的狀態(tài)。

　　9. 刪除不必要的應(yīng)用程序映射

　　ISS中默認(rèn)存在很多種應(yīng)用程序映射，除了ASP的這個(gè)程序映射，其他的文件在網(wǎng)站上都很少用到。

　　在“Internet 服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“主目錄”頁面中，點(diǎn)擊[配置]按鈕，彈出“應(yīng)用程序配置”對(duì)話框，在“應(yīng)用程序映射”頁面，刪除無用的程序映射。如果需要這一類文件時(shí)，必須安裝最新的系統(tǒng)修補(bǔ)補(bǔ)丁，并且選中相應(yīng)的程序映射，再點(diǎn)擊[編輯]按鈕，在“添加/編輯應(yīng)用程序擴(kuò)展名映射”對(duì)話框中勾選“檢查文件是否存在”選項(xiàng)。這樣當(dāng)客戶請(qǐng)求這類文件時(shí)，IIS會(huì)先檢查文件是否存在，文件存在后才會(huì)去調(diào)用程序映射中定義的動(dòng)態(tài)鏈接庫來解析。

　　保護(hù)日志安全

　　日志是系統(tǒng)安全策略的一個(gè)重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。

　　修改IIS日志的存放路徑

　　默認(rèn)情況下，IIS的日志存放在%WinDir%/System32/LogFiles，黑客當(dāng)然非常清楚，所以最好修改一下其存放路徑。在 “Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“Web站點(diǎn)”頁面中，在選中“啟用日志記錄”的情況下，點(diǎn)擊旁邊的[屬性]按鈕，在“常規(guī)屬性”頁面，點(diǎn)擊[瀏覽]按鈕或者直接在輸入框中輸入日志存放路徑即可。

　　sql服務(wù)器安全加固

　　安裝最新的mdac(http://www.microsoft.com/data/download.htm)

　　5.1 密碼策略

　　由于sql server不能更改sa用戶名稱，也不能刪除這個(gè)超級(jí)用戶，所以，我們必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù)，當(dāng)然，包括使用一個(gè)非常強(qiáng)壯的密碼，最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號(hào)。新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來管理數(shù)據(jù)庫。同時(shí)養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號(hào)。比如使用下面的sql語句：

　　use master

　　select name,password from syslogins where password is null

　　5.2 數(shù)據(jù)庫日志的記錄

　　核數(shù)據(jù)庫登錄事件的"失敗和成功"，在實(shí)例屬性中選擇"安全性"，將其中的審核級(jí)別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號(hào)的登錄事件。

　　5.3 管理擴(kuò)展存儲(chǔ)過程

　　xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個(gè)大后門。請(qǐng)把它去掉。使用這個(gè)sql語句：

　　use master

　　sp_dropextendedproc ’xp_cmdshell’

　　注：如果你需要這個(gè)存儲(chǔ)過程，請(qǐng)用這個(gè)語句也可以恢復(fù)過來。

　　sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’

　　ole自動(dòng)存儲(chǔ)過程(會(huì)造成管理器中的某些特征不能使用)，這些過程包括如下(不需要可以全部去掉：

　　sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty

　　sp_oamethod sp_oasetproperty sp_oastop

　　去掉不需要的注冊(cè)表訪問的存儲(chǔ)過程，注冊(cè)表存儲(chǔ)過程甚至能夠讀出操作系統(tǒng)管理員的密碼來，如下：

　　xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues

　　xp_regread xp_regremovemultistring xp_regwrite

　　5.4 防tcp/ip端口探測(cè)

　　在實(shí)例屬性中選擇tcp/ip協(xié)議的屬性。選擇隱藏 sql server 實(shí)例。

　　請(qǐng)?jiān)谏弦徊脚渲玫幕�礎(chǔ)上，更改原默認(rèn)的1433端口。

　　在ipsec過濾拒絕掉1434端口的udp通訊，可以盡可能地隱藏你的sql server。

　　對(duì)網(wǎng)絡(luò)連接進(jìn)行ip限制

　　使用操作系統(tǒng)自己的ipsec可以實(shí)現(xiàn)ip數(shù)據(jù)包的安全性。請(qǐng)對(duì)ip連接進(jìn)行限制，保證只有自己的ip能夠訪問，拒絕其他ip進(jìn)行的端口連接。

　　通過以上的配置，禁止了服務(wù)器開放不必要的端口，防止服務(wù)被植入后門程序，通過配置目錄權(quán)限可以防止入侵者拿到welshell后提權(quán)，加強(qiáng)了服務(wù)器的安全性，避免了對(duì)服務(wù)器的攻擊和加強(qiáng)了TCP協(xié)議棧。通過iis的配置提高了iis的安全性和穩(wěn)定性。修改了sql server的默認(rèn)端口，可以防止惡意用戶對(duì)服務(wù)器進(jìn)行掃描嘗試暴力破解sa賬戶提供數(shù)據(jù)庫的安全性。對(duì)服務(wù)器實(shí)現(xiàn)了整體的安全加固。

　　9.禁止WebDAV

　　在注冊(cè)表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters

　　加以下注冊(cè)表值：

　　數(shù)值名稱：DisableWebDAV

　　數(shù)據(jù)類型：DWORD

　　數(shù)值數(shù)據(jù)：1

　　iis 加固方案：

　　1. 僅安裝必要的 iis 組件。(禁用不需要的如ftp 和 smtp 服務(wù))

　　2. 僅啟用必要的服務(wù)和 web service 擴(kuò)展，推薦配置:

　　ui 中的組件名稱

　　設(shè)置

　　設(shè)置邏輯

　　后臺(tái)智能傳輸服務(wù) (bits) 服務(wù)器擴(kuò)展

　　啟用

　　bits 是 windows updates 和"自動(dòng)更新"所使用的后臺(tái)文件傳輸機(jī)制。如果使用 windows updates 或"自動(dòng)更新"在 iis 服務(wù)器中自動(dòng)應(yīng)用 service pack 和熱修補(bǔ)程序，則必須有該組件。

　　公用文件

　　啟用

　　iis 需要這些文件，一定要在 iis 服務(wù)器中啟用它們。

　　文件傳輸協(xié)議 (ftp) 服務(wù)

　　禁用

　　允許 iis 服務(wù)器提供 ftp 服務(wù)。專用 iis 服務(wù)器不需要該服務(wù)。

　　frontpage 2002 server extensions

　　禁用

　　為管理和發(fā)布 web 站點(diǎn)提供 frontpage 支持。如果沒有使用 frontpage 擴(kuò)展的 web 站點(diǎn)，請(qǐng)?jiān)趯Ｓ?iis 服務(wù)器中禁用該組件。

　　internet 信息服務(wù)管理器

　　啟用

　　iis 的管理界面。

　　internet 打印

　　禁用

　　提供基于 web 的打印機(jī)管理，允許通過 http 共享打印機(jī)。專用 iis 服務(wù)器不需要該組件。

　　nntp 服務(wù)

　　禁用

　　在 internet 中分發(fā)、查詢、檢索和投遞 usenet 新聞文章。專用 iis 服務(wù)器不需要該組件。

　　smtp 服務(wù)

　　禁用

　　支持傳輸電子郵件。專用 iis 服務(wù)器不需要該組件。

　　萬維網(wǎng)服務(wù)

　　啟用

　　為客戶端提供 web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 iis 服務(wù)器需要該組件。

　　萬維網(wǎng)服務(wù)子組件

　　ui 中的組件名稱

　　安裝選項(xiàng)

　　設(shè)置邏輯

　　active server page

　　啟用

　　提供 asp 支持。如果 iis 服務(wù)器中的 web 站點(diǎn)和應(yīng)用程序都不使用 asp，請(qǐng)禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用它。

　　internet 數(shù)據(jù)連接器

　　禁用

　　通過擴(kuò)展名為 .idc 的文件提供動(dòng)態(tài)內(nèi)容支持。如果 iis 服務(wù)器中的 web 站點(diǎn)和應(yīng)用程序都不包括 .idc 擴(kuò)展文件，請(qǐng)禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用它。

　　遠(yuǎn)程管理 (html)

　　禁用

　　提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易，并減少了 iis 服務(wù)器的攻擊面。專用 iis 服務(wù)器不需要該功能。

　　遠(yuǎn)程桌面 web 連接

　　禁用

　　包括了管理終端服務(wù)客戶端連接的 microsoft activex? 控件和范例頁面。改用 iis 管理器可使管理更容易，并減少了 iis 服務(wù)器的攻擊面。專用 iis 服務(wù)器不需要該組件。

　　服務(wù)器端包括

　　禁用

　　提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服務(wù)器中運(yùn)行的 web 站點(diǎn)和應(yīng)用程序都不使用上述擴(kuò)展的包括文件，請(qǐng)禁用該組件。

　　webdav

　　禁用

　　webdav 擴(kuò)展了 http/1.1 協(xié)議，允許客戶端發(fā)布、鎖定和管理 web 中的資源。專用 iis 服務(wù)器禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用該組件。

　　萬維網(wǎng)服務(wù)

　　啟用

　　為客戶端提供 web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 iis 服務(wù)器需要該組件

　　3. 將iis目錄&數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。

　　4. 在iis管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)

　　5. 在iis中將http404 object not found出錯(cuò)頁面通過url重定向到一個(gè)定制htm文件

　　6. web站點(diǎn)權(quán)限設(shè)定(建議)

　　web 站點(diǎn)權(quán)限：

　　授予的權(quán)限：

　　讀 允許

　　寫 不允許

　　腳本源訪問 不允許

　　目錄瀏覽 建議關(guān)閉

　　日志訪問 建議關(guān)閉

　　索引資源 建議關(guān)閉

　　執(zhí)行 推薦選擇 "僅限于腳本"

　　7. 建議使用w3c擴(kuò)充日志文件格式，每天記錄客戶ip地址，用戶名，服務(wù)器端口，方法，uri字根，http狀態(tài)，用戶代理，而且每天均要審查日志。(最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問權(quán)限，只允許管理員和system為full control)。

　　8. 程序安全:

　　1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在asp文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限; 2) 需要經(jīng)過驗(yàn)證的asp頁面，可跟蹤上一個(gè)頁面的文件名，只有從上一頁面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁面。

　　防止asp主頁.inc文件泄露問題;

　　4) 防止ue等編輯器生成some.asp.bak文件泄露問題。

　　安全更新

　　應(yīng)用所需的所有 service pack 和定期手動(dòng)更新補(bǔ)丁。

　　安裝和配置防病毒保護(hù)

　　推薦nav 8.1以上版本病毒防火墻(配置為至少每周自動(dòng)升級(jí)一次)。

　　安裝和配置防火墻保護(hù)

　　推薦最新版blackice server protection防火墻(配置簡(jiǎn)單，比較實(shí)用)

　　監(jiān)視解決方案

　　根據(jù)要求安裝和配置 mom代理或類似的監(jiān)視解決方案。

　　加強(qiáng)數(shù)據(jù)備份

　　web數(shù)據(jù)定時(shí)做備份，保證在出現(xiàn)問題后可以恢復(fù)到最近的狀態(tài)。

　　9. 刪除不必要的應(yīng)用程序映射

　　ISS中默認(rèn)存在很多種應(yīng)用程序映射，除了ASP的這個(gè)程序映射，其他的文件在網(wǎng)站上都很少用到。

　　在“Internet 服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“主目錄”頁面中，點(diǎn)擊[配置]按鈕，彈出“應(yīng)用程序配置”對(duì)話框，在“應(yīng)用程序映射”頁面，刪除無用的程序映射。如果需要這一類文件時(shí)，必須安裝最新的系統(tǒng)修補(bǔ)補(bǔ)丁，并且選中相應(yīng)的程序映射，再點(diǎn)擊[編輯]按鈕，在“添加/編輯應(yīng)用程序擴(kuò)展名映射”對(duì)話框中勾選“檢查文件是否存在”選項(xiàng)。這樣當(dāng)客戶請(qǐng)求這類文件時(shí)，IIS會(huì)先檢查文件是否存在，文件存在后才會(huì)去調(diào)用程序映射中定義的動(dòng)態(tài)鏈接庫來解析。

　　保護(hù)日志安全

　　日志是系統(tǒng)安全策略的一個(gè)重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。

　　修改IIS日志的存放路徑

　　默認(rèn)情況下，IIS的日志存放在%WinDir%/System32/LogFiles，黑客當(dāng)然非常清楚，所以最好修改一下其存放路徑。在 “Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“Web站點(diǎn)”頁面中，在選中“啟用日志記錄”的情況下，點(diǎn)擊旁邊的[屬性]按鈕，在“常規(guī)屬性”頁面，點(diǎn)擊[瀏覽]按鈕或者直接在輸入框中輸入日志存放路徑即可。

　　sql服務(wù)器安全加固

　　安裝最新的mdac(http://www.microsoft.com/data/download.htm)

　　5.1 密碼策略

　　由于sql server不能更改sa用戶名稱，也不能刪除這個(gè)超級(jí)用戶，所以，我們必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù)，當(dāng)然，包括使用一個(gè)非常強(qiáng)壯的密碼，最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號(hào)。新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來管理數(shù)據(jù)庫。同時(shí)養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號(hào)。比如使用下面的sql語句：

　　use master

　　select name,password from syslogins where password is null

　　5.2 數(shù)據(jù)庫日志的記錄

　　核數(shù)據(jù)庫登錄事件的"失敗和成功"，在實(shí)例屬性中選擇"安全性"，將其中的審核級(jí)別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號(hào)的登錄事件。

　　5.3 管理擴(kuò)展存儲(chǔ)過程

　　xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個(gè)大后門。請(qǐng)把它去掉。使用這個(gè)sql語句：

　　use master

　　sp_dropextendedproc ’xp_cmdshell’

　　注：如果你需要這個(gè)存儲(chǔ)過程，請(qǐng)用這個(gè)語句也可以恢復(fù)過來。

　　sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’

　　ole自動(dòng)存儲(chǔ)過程(會(huì)造成管理器中的某些特征不能使用)，這些過程包括如下(不需要可以全部去掉：

　　sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty

　　sp_oamethod sp_oasetproperty sp_oastop

　　去掉不需要的注冊(cè)表訪問的存儲(chǔ)過程，注冊(cè)表存儲(chǔ)過程甚至能夠讀出操作系統(tǒng)管理員的密碼來，如下：

　　xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues

　　xp_regread xp_regremovemultistring xp_regwrite

　　5.4 防tcp/ip端口探測(cè)

　　在實(shí)例屬性中選擇tcp/ip協(xié)議的屬性。選擇隱藏 sql server 實(shí)例。

　　請(qǐng)?jiān)谏弦徊脚渲玫幕�礎(chǔ)上，更改原默認(rèn)的1433端口。

　　在ipsec過濾拒絕掉1434端口的udp通訊，可以盡可能地隱藏你的sql server。

　　對(duì)網(wǎng)絡(luò)連接進(jìn)行ip限制

　　使用操作系統(tǒng)自己的ipsec可以實(shí)現(xiàn)ip數(shù)據(jù)包的安全性。請(qǐng)對(duì)ip連接進(jìn)行限制，保證只有自己的ip能夠訪問，拒絕其他ip進(jìn)行的端口連接。

　　通過以上的配置，禁止了服務(wù)器開放不必要的端口，防止服務(wù)被植入后門程序，通過配置目錄權(quán)限可以防止入侵者拿到welshell后提權(quán)，加強(qiáng)了服務(wù)器的安全性，避免了對(duì)服務(wù)器的攻擊和加強(qiáng)了TCP協(xié)議棧。通過iis的配置提高了iis的安全性和穩(wěn)定性。修改了sql server的默認(rèn)端口，可以防止惡意用戶對(duì)服務(wù)器進(jìn)行掃描嘗試暴力破解sa賬戶提供數(shù)據(jù)庫的安全性。對(duì)服務(wù)器實(shí)現(xiàn)了整體的安全加固。