IIS与SQL服务器安全加固实现方法详解
发布时间:2008-02-28 12:53:00
IIS Web服务器安全加固步骤:
步骤 安装和配置 Windows Server 2003。
注意:
1.将\System32\cmd.exe转移到其他目录或更名;
2.系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;
3.拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)
4.建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
5.NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高):
6.禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
7.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
8.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
9.仅给用户真正需要的权限,权限的最小化原则是安全的重要保障
10.在本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
11.在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
12.解除NetBios与TCP/IP协议的绑定
控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
13.在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)
14.通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接
15.修改数据包的生存时间(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
16.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0)
17.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
18.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
19.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
20.设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
21.禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
22.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
猜你喜欢
- 10月22日消息,金山软件今天宣布,旗下3D武侠网游《剑侠情缘网络版叁》(简称《剑网3》)将于今日掀起公测后最大规模的内容更新,届时50级到
- 北京时间11月12日消息,据国外媒体报道,在线零售商亚马逊周四宣布,它将从明年初开始向亚洲的商业公司提供各种网络服务。亚马逊提供的网络服务包
- 如果能熟悉并灵活应用FTP的内部命令的话,那可真是事半功倍。FTP的命令行格式为:ftp -v -d -i -n -g [主机名] ,其中-
- 今天打开邮箱看到了这封来自Google AdSense 小组的信《有关推介用户注册 AdSense 的更新》,讲的是关于AdSense推荐即
- 问:最近把服务器转到国外godaddy空间,我使用的程序是新云asp+access生成DIV+CSS静态网页.请问在生成网页的时候只生成没有
- 首先自我介绍吧,我是兼职从事网赚GG与百度代注册代收PIN业务的,正规工作单位是邮政局。下面就GG发PIN与网站主长时间收不到平邮PIN给大
- 用户在购买了Godaddy后,却不知道在那里登录,说找不到控制面板,其实,Godaddy不像Lunarpages那样有的控制面板,Godad
- 建立博客有助于打造卓越企业的核心要件。企业的核心需求如下所示:妙点子好产品能见度训练有素的团队,为企业的成功而努力不懈提升业务的创意,改善公
- 你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000
- 先来一张登陆界面吧从上次zblog更新至今也有2年多了,一直未见zblog有过更新,虽然去年愚人节的时候发布了一个版本,但那个版本真的只是一
- 如果域名品牌没构建好就建站的话那么你就失败了一半,回想刚开始注册域名的那情景,首先那个时候年轻冲动,初生牛崽不怕虎,很冲动地注册了一些自认为
- 作为站长,您对论坛中会员的积分消费一定很熟悉。当会员对积分的需求增大,通过发帖、上传附件等增加积分的活动不能满足时,他还可以通过支付宝购买积
- Discuz!7.0是康盛创想(Comsenz)公司于2008年12月份发布的一款论坛BBS建站产品。标签聚合功能是Discuz! 7.0的
- 在我批评地图网站发行量太小,不足以支持广告投放的时候,有人说传统方式的地图本来就作为工具不会被用户经常关注的(只有需要时才查看)。切,传统方
- Windows下打造完美的服务器平台(APACHE+JSP+CGI+PHP+ASP+MYSQL)需要下载几个软件包:1. php-5.0.2
- 微软发布了针对Windows家庭服务器平台的,一个应用软件接口程序(API)和一个软件开发工具包。应用软件接口程序和开发工具包允许用户为Wi
- 有几个朋友反应,在使用系统的图集功能上传图片时会提示FILEID:X错误,缩略图显示为红色
- 1、创建新的FTP站点 执行[开始]→[程序]→[管理工具]→[Internet服
- 域控制器是公司网络管理的核心,它出现故障往往会导致全网用户计算机的登录失败。不过,大家在建立域控制器时往往忽视了对DNS的设置,致使域中的D
- ##域名与网关项(Domain/Gateway).. Domain Name:为局域网的域名,在此为Company.mail,若无独立域名可