伺服器安全配置

伺服器安全配置.txt36母愛是一縷陽光，讓你的心靈即便在寒冷的冬天也能感受到溫暖如春；母愛是一泓清泉，讓你的情感即使蒙上歲月的風塵仍然清澈澄淨。win2003伺服器安全加固方案

因為iis(即internet information server)的方便性和易用性，使它成為最受歡迎的web伺服器軟體之一。但是，iis的安全性卻一直令人擔憂。如何利用iis建立乙個安全的web伺服器，是很多人關心的話題。

要建立乙個安全可靠的web伺服器，必須要實現windows 2003和iis的雙重安全，因為iis的使用者同時也是windows 2003的使用者，並且iis目錄的許可權依賴windows的ntfs檔案系統的許可權控制，所以保護iis安全的第一步就是確保windows 2000作業系統的安全，所以要對伺服器進行安全加固，以免遭到黑客的攻擊，造成嚴重的後果。

二．我們通過一下幾個方面對您的系統進行安全加固：

1．系統的安全加固：我們通過配置目錄許可權，系統安全策略，協議棧加強，系統服務和訪問控制加固您的系統，整體提高伺服器的安全性。

2． iis手工加固：手工加固iis可以有效的提高iweb站點的安全性，合理分配使用者許可權，配置相應的安全策略，有效的防止iis使用者溢位提權。

3．系統應用程式加固，提**用程式的安全性，例如sql的安全配置以及伺服器應用軟體的安全加固。

三．系統的安全加固：

1．目錄許可權的配置：

1.1 除系統所在分割槽之外的所有分割槽都賦予administrators和system有完全控制權，之後再對其下的子目錄作單獨的目錄許可權，如果web站點目錄，你要為其目錄許可權分配乙個與之對應的匿名訪問帳號並賦予它有修改許可權，如果想使**更加堅固，可以分配唯讀許可權並對特殊的目錄作可寫許可權。

1.2 系統所在分割槽下的根目錄都要設定為不繼承父許可權，之後為該分割槽只賦予administrators和system有完全控制權。

1.3 因為伺服器只有管理員有本地登入許可權，所在要配置documents and settings這個目錄許可權只保留administrators和system有完全控制權，其下的子目錄同樣。另外還有乙個隱藏目錄也需要同樣操作。

因為如果你安裝有pcanywhere那麼他的的配置資訊都儲存在其下，使用webshell或fso可以輕鬆的調取這個配置檔案。

1.4 配置program files目錄，為common files目錄之外的所有目錄賦予administrators和system有完全控制權。

1.5 配置windows目錄，其實這一塊主要是根據自身的情況如果使用預設的安全設定也是可行的，不過還是應該進入system32目錄下，將這些殺手鐗程式賦予匿名帳號拒絕訪問。

1．6審核目錄只有administrator只允許administrator使用者讀寫。

2．組策略配置:

在使用者權利指派下，從通過網路訪問此計算機中刪除power users和backup operators；

啟用不允許匿名訪問sam帳號和共享；

啟用不允許為網路驗證儲存憑據或passport；

從檔案共享中刪除允許匿名登入的dfs$和comcfg；

啟用互動登入：不顯示上次的使用者名稱；

啟用在下一次密碼變更時不儲存lanman雜湊值；

禁止iis匿名使用者在本地登入；

3.本地安全策略設定:

開始選單—>管理工具—>本地安全策略

a、本地策略——>審核策略

審核策略更改成功失敗

審核登入事件成功失敗

審核物件訪問失敗

審核過程跟蹤無審核

審核目錄服務訪問失敗

審核特權使用失敗

審核系統事件成功失敗

審核賬戶登入事件成功失敗

審核賬戶管理成功失敗

注：在設定審核登陸事件時選擇記失敗，這樣在事件檢視器裡的安全日誌就會記錄登陸失敗的資訊。

b、本地策略——>使用者許可權分配

關閉系統：只有administrators組、其它全部刪除。

通過終端服務拒絕登陸：加入guests、user組

通過終端服務允許登陸：只加入administrators組，其他全部刪除

c、本地策略——>安全選項

互動式登陸：不顯示上次的使用者名稱啟用

網路訪問：不允許sam帳戶和共享的匿名列舉啟用

網路訪問：不允許為網路身份驗證儲存憑證啟用

網路訪問：可匿名訪問的共享全部刪除

網路訪問：可匿名訪問的命全部刪除

網路訪問：可遠端訪問的登錄檔路徑全部刪除

網路訪問：可遠端訪問的登錄檔路徑和子路徑全部刪除

帳戶：重新命名來賓帳戶重新命名乙個帳戶

帳戶：重新命名系統管理員帳戶重新命名乙個帳戶

4．本地賬戶策略：

在賬戶策略->密碼策略中設定：

密碼複雜性要求啟用

密碼長度最小值 6位

強制密碼歷史 5次

最長存留期 30天

在賬戶策略->賬戶鎖定策略中設定：

賬戶鎖定 3次錯誤登入

鎖定時間 20分鐘

復位鎖定計數 20分鐘

5. 修改登錄檔配置：

5.1 通過更改登錄檔

local_machine\system\currentcontrolset\control\lsa-restrictanonymous = 1來禁止139空連線

5.2 修改資料報的生存時間(ttl)值

defaultttl reg_dword 0-0xff(0-255 十進位制,預設值128)

5.3 防止syn洪水攻擊

synattackprotect reg_dword 0x2(預設值為0x0)

5.4禁止響應icmp路由通告報文

hkey_local_machine\system\currentcontrolset

\services\tcpip\parameters\inte***ces\inte***ce

performrouterdiscovery reg_dword 0x0(預設值為0x2)

5.5防止icmp重定向報文的攻擊

enableicmpredirects reg_dword 0x0(預設值為0x1)

5.6不支援igmp協議

5.7修改3389預設埠:

執行 regedt32 並轉到此項：

\terminal server\winstations\rdp-tcp, 找到「portnumber」子項，您會看到值 00000d3d，它是 3389 的十六進製制表示形式。使用十六進製制數值修改此埠號，並儲存新值。

禁用不必要的服務不但可以降低伺服器的資源占用減輕負擔，而且可以增強安全性。下面列出了

igmplevel reg_dword 0x0(預設值為0x2)

5.8 設定arp快取老化時間設定

hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

arpcachelife reg_dword 0-0xffffffff(秒數,預設值為120秒)

arpcacheminreferencedlife reg_dword 0-0xffffffff(秒數,預設值為600)

5.9禁止死閘道器監測技術

hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

enabledeadgwdetect reg_dword 0x0(預設值為ox1)

5.10 不支援路由功能

hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

ipenablerouter reg_dword 0x0(預設值為0x0)

伺服器安全配置

伺服器配置

伺服器配置

伺服器配置規範

伺服器安全配置

伺服器配置

伺服器配置

伺服器配置規範

相關推薦