站内搜索
分类列表
本类阅读排行
本类推荐文章
广告
Windows 2003服务器安全加固方案
作者: 来源: 点击: 日期:2007-11-30 9:13:23
如果 iis 服务器中的 web 站点和应用程序都不使用 asp,请禁用该组件;或使用 web 服务扩展禁用它。
internet 数据连接器
禁用
通过扩展名为 .idc 的文件提供动态内容支持。如果 iis 服务器中的 web 站点和应用程序都不包括 .idc 扩展文件,请禁用该组件;或使用 web 服务扩展禁用它。
远程管理 (html)
禁用
提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易,并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该功能。
远程桌面 web 连接
禁用
包括了管理终端服务客户端连接的 microsoft activex? 控件和范例页面。改用 iis 管理器可使管理更容易,并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该组件。
服务器端包括
禁用
提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服务器中运行的 web 站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。
webdav
禁用
webdav 扩展了 http/1.1 协议,允许客户端发布、锁定和管理 web 中的资源。专用 iis 服务器禁用该组件;或使用 web 服务扩展禁用该组件。
万维网服务
启用
为客户端提供 web 服务、静态和动态内容。专用 iis 服务器需要该组件
3. 将iis目录&数据与系统磁盘分开,保存在专用磁盘空间内。
4. 在iis管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
5. 在iis中将http404 object not found出错页面通过url重定向到一个定制htm文件
6. web站点权限设定(建议)
web 站点权限:
授予的权限:
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
日志访问 建议关闭
索引资源 建议关闭
执行 推荐选择 "仅限于脚本"
7. 建议使用w3c扩充日志文件格式,每天记录客户ip地址,用户名,服务器端口,方法,uri字根,http状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为full control)。
8. 程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在asp文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限; 2) 需要经过验证的asp页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
防止asp主页.inc文件泄露问题;
4) 防止ue等编辑器生成some.asp.bak文件泄露问题。
安全更新
应用所需的所有 service pack 和定期手动更新补丁。
安装和配置防病毒保护
推荐nav 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。
安装和配置防火墙保护
推荐最新版blackice server protection防火墙(配置简单,比较实用)
监视解决方案
根据要求安装和配置 mom代理或类似的监视解决方案。
加强数据备份
web数据定时做备份,保证在出现问题后可以恢复到最近的状态。
9. 删除不必要的应用程序映射
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。
在“Internet 服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
修改IIS日志的存放路径
默认情况下,IIS的日志存放在%WinDir%/System32/LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。
internet 数据连接器
禁用
通过扩展名为 .idc 的文件提供动态内容支持。如果 iis 服务器中的 web 站点和应用程序都不包括 .idc 扩展文件,请禁用该组件;或使用 web 服务扩展禁用它。
远程管理 (html)
禁用
提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易,并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该功能。
远程桌面 web 连接
禁用
包括了管理终端服务客户端连接的 microsoft activex? 控件和范例页面。改用 iis 管理器可使管理更容易,并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该组件。
服务器端包括
禁用
提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服务器中运行的 web 站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。
webdav
禁用
webdav 扩展了 http/1.1 协议,允许客户端发布、锁定和管理 web 中的资源。专用 iis 服务器禁用该组件;或使用 web 服务扩展禁用该组件。
万维网服务
启用
为客户端提供 web 服务、静态和动态内容。专用 iis 服务器需要该组件
3. 将iis目录&数据与系统磁盘分开,保存在专用磁盘空间内。
4. 在iis管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
5. 在iis中将http404 object not found出错页面通过url重定向到一个定制htm文件
6. web站点权限设定(建议)
web 站点权限:
授予的权限:
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
日志访问 建议关闭
索引资源 建议关闭
执行 推荐选择 "仅限于脚本"
7. 建议使用w3c扩充日志文件格式,每天记录客户ip地址,用户名,服务器端口,方法,uri字根,http状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为full control)。
8. 程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在asp文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限; 2) 需要经过验证的asp页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
防止asp主页.inc文件泄露问题;
4) 防止ue等编辑器生成some.asp.bak文件泄露问题。
安全更新
应用所需的所有 service pack 和定期手动更新补丁。
安装和配置防病毒保护
推荐nav 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。
安装和配置防火墙保护
推荐最新版blackice server protection防火墙(配置简单,比较实用)
监视解决方案
根据要求安装和配置 mom代理或类似的监视解决方案。
加强数据备份
web数据定时做备份,保证在出现问题后可以恢复到最近的状态。
9. 删除不必要的应用程序映射
ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。
在“Internet 服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
修改IIS日志的存放路径
默认情况下,IIS的日志存放在%WinDir%/System32/LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。
Windows 2003服务器安全加固方案 评论