网站运营
位置:首页>> 网站运营>> IIS与SQL服务器安全加固实现方法详解

IIS与SQL服务器安全加固实现方法详解

  发布时间:2008-02-28 12:53:00 

标签:iis,sql,服务器,安全

IIS Web服务器安全加固步骤:

步骤 安装和配置 Windows Server 2003。
  
  注意:
  1.将\System32\cmd.exe转移到其他目录或更名;
  
  2.系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;
  
  3.拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)
  
  4.建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
  
  5.NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高):
  

 


  6.禁止C$、D$一类的缺省共享
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  AutoShareServer、REG_DWORD、0x0
  
  7.禁止ADMIN$缺省共享
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
  AutoShareWks、REG_DWORD、0x0
  
  8.限制IPC$缺省共享
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  restrictanonymous REG_DWORD 0x0 缺省
  0x1 匿名用户无法列举本机用户列表
  0x2 匿名用户无法连接本机IPC$共享
  说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
  
  9.仅给用户真正需要的权限,权限的最小化原则是安全的重要保障
  
  10.在本地安全策略->审核策略中打开相应的审核,推荐的审核是:
  账户管理 成功 失败
  登录事件 成功 失败
  对象访问 失败
  策略更改 成功 失败
  特权使用 失败
  系统事件 成功 失败
  目录服务访问 失败
  账户登录事件 成功 失败

审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:

在账户策略->密码策略中设定:
  密码复杂性要求 启用
  密码长度最小值 6位
  强制密码历史 5次
  最长存留期 30天
  在账户策略->账户锁定策略中设定:
  账户锁定 3次错误登录
  锁定时间 20分钟
  复位锁定计数 20分钟
  
  11.在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
  
  12.解除NetBios与TCP/IP协议的绑定

控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
  
  13.在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)
  
  14.通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接
  
  15.修改数据包的生存时间(TTL)值
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
  
  16.防止SYN洪水攻击
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  SynAttackProtect REG_DWORD 0x2(默认值为0x0)
  
  17.禁止响应ICMP路由通告报文
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  \Interfaces\interface
  PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
  
  18.防止ICMP重定向报文的攻击
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
  
  19.不支持IGMP协议
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  IGMPLevel REG_DWORD 0x0(默认值为0x2)
  
  20.设置arp缓存老化时间设置
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
  ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
  ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
  
  21.禁止死网关监测技术
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
  EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
  
  22.不支持路由功能
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
  IPEnableRouter REG_DWORD 0x0(默认值为0x0)

0
投稿

猜你喜欢

  • Windows远程接入服务器允许VPN客户进行身份识别并且透明地连接到内部网络,就像直接连接到网络一样。这能够使用户以安全的方式进行远程工作
  • 本人不才,但愿说一下广大站长的心声!备案这个事,很久以前就有了。只不过之前没有今年这么严格。今年是不备案不让接入。先来讨论一下备案究竟是做什
  • 最近在论坛上经常看到关于ARP病毒的问题,于是在Google上搜索ARP关键字!结果出来N多关于这类问题的讨论。想再学习ARP下相关知识,所
  • linux smb.conf详解 服务名:smb配置目录:/etc/sabma/主配置文件:/etc/sabma/smb.conf#====
  • 一、用户体验从用户的角度来分析,色彩需求、方便导航、网站建设的网页大小、来达到用户体验提高。二、框架结构搜索引擎不支持框架结构与框架调用的,
  • 广告颜色是广告优化中一个富有创造性的要素。 Google AdSense 帐户中不仅提供了调色板供您选择,您还可以自定义广告颜色。广告颜色的
  • 域名的概念与机制1. 介绍本文主要介绍域名(DNS)的一些机制及实现方法,下面我们就具体看一下它的情况。1.1. 域名的历史产生域名的的根本
  • 本文介绍了如何通过使用Windows Server 2003来配置网络地址转换(NAT)服务器。Windows Server 2003“路由
  • 2009年岁尾z-blog又有新版放出,辞旧迎新,版本代号是“Z-Blog 1.8 Walle Build 91204”。这次升级,主要是修
  • 从PHP5.2.10版本开始(现在有PHP5.2.10和5.3两个版本),有None-Thread Safe与Thread Safe两种版本
  • 本文探讨Linux中主要的几种零拷贝技术以及零拷贝技术适用的场景。为了迅速建立起零拷贝的概念,我们拿一个常用的场景进行引入:引文##在写一个
  • 1. proftpd建立hostuser/hostuser帐号,所有用户均映射到该帐号。htdocs/hosts 目录属主也为hostuse
  • 北京时间11月6日消息,据国外媒体报道,Facebook将为其聊天工具(Facebook Chat)提供XMPP协议支持。这意味着用户通过任
  • 这几天下雨特大,门口的水长5厘米就浸入家里了,真的好险,不知为什么,总有一种喜欢听下雨的啪啪声,也许是希望大雨可以冲走心中所有一切郁闷不快吧
  • 很多Seoer新手因为刚接触SEO行业,认识到了301重定向的重要性,但是确不知道如何操作。笔者特将Apache服务器实现301重定向的详细
  • 有的时候IIS出现严重错误,比如metabase坏掉,又没有备份....一般的做法,直接在控制面板添加删除程序中卸载IIS重装。这样并不是保
  • 我们学校最近将MAC和IP进行了捆绑,又在服务器(Win2K)上进行了上网时间的限制,真是烦死人了,我想我可是一个从不受限制的人啊,怎么可以
  • 无论建博客网站还是CMS类型网站,很多都需要代码高亮,国内比较优秀的CMS建站系统之一——织梦CMS,不像Wordpress一样又大把大把的
  • 如果在Docker 中采用 docker search centos采用 docker pull docker.io/centos 下载基础
  • 大家在做点击网赚项目的时候,经常会发现很多项目或明显或隐藏的提示:中国会员只有升级成为高级会员才能获得支付。理由就是大部分中国会员都是作弊者
手机版 网站运营 asp之家 www.aspxhome.com