Windows 2000 Server+IIS5.0安全配置規(guī)范

2010-08-28 10:53:54來源:西部e網(wǎng)作者:

  一、 Windows 2000安全配置

  ■. 確保所有磁盤分區(qū)為NTFS分區(qū)
  ■. 操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū)
  ■. 不要安裝不需要的協(xié)議,比如IPX/SPX, NetBIOS?
  ■. 不要安裝其它任何操作系統(tǒng)
  ■. 安裝Service Pack
  ■. 安裝hotfix,一般需要安裝如下補(bǔ)丁
  * Q260347_W2K_sp2_x86_cn(IISCrosssite)
  * Q262694_W2K_SP2_x86_CN(resetBrowseForm)
  * Q269049_W2K_SP2_x86_CN(shellpath)
  * Q269862_W2K_SP2_x86_CN(unicode)
  * Q270676_W2K_SP2_x86_CN(shurufa)
  * Q272743_W2K_SP2_x86_CN(NTLM)
  * Q277873_W2K_sp2_x86_CN(filerequest)
  * Q278499_W2K_sp2_x86_CN(indexserv)
  * Q280322_W2K_sp2_x86_CN(malwebform)
  * q285851_w2k_sp3_x86_cn(netdde)
  具體可參考微軟網(wǎng)站:http://www.microsoft.com/Windows2000/downloads
  ■. 關(guān)閉所有不需要的服務(wù)
  * Alerter (disable)
  * ClipBook Server (disable)
  * Computer Browser (disable)
  * DHCP Client (disable)
  * Directory Replicator (disable)
  * FTP publishing service (disable)
  * License LoGGing Service (disable)
  * Messenger (disable)
  * Netlogon (disable)
  * Network DDE (disable)
  * Network DDE DSDM (disable)
  * Network Monitor (disable)
  * Plug and Play (disable after all hardware configuration)
  * Remote Access Server (disable)
  * Remote Procedure Call (RPC) locater (disable)
  * Schedule (disable)
  * Server (disable)
  * Simple Services (disable)
  * Spooler (disable)
  * TCP/IP Netbios Helper (disable)
  * Telephone Service (disable)

  在必要時(shí)禁止如下服務(wù):
  * SNMP service (optional)
  * SNMP trap (optional)
  * UPS (optional
  設(shè)置如下服務(wù)為自動(dòng)啟動(dòng):
  * Eventlog ( required )
  * NT LM Security Provider (required)
  * RPC service (required)
  * WWW (required)
  * Workstation (leave service on:will be disabled later in the document)
  * MSDTC (required)
  * Protected Storage (required)
  ■. 刪除 OS/2 和 POSIX 子系統(tǒng):
  刪除如下目錄的任何鍵:
  HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
  刪除如下的鍵:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath
  刪除如下的鍵:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2

  刪除如下目錄:
  c:\winnt\system32\os2
  ■. 帳號和密碼策略
  1) 保證禁止guest帳號
  2) 將administrator改名為比較難猜的帳號
  3) 密碼唯一性:記錄上次的 6 個(gè)密碼
  4) 最短密碼期限:2
  5) 密碼最長期限:42
  6) 最短密碼長度:8
  7) 密碼復(fù)雜化(passfilt.dll):啟用
  8) 用戶必須登錄方能更改密碼:啟用
  9) 帳號失敗登錄鎖定的門限:6
  10)鎖定后重新啟用的時(shí)間間隔:720分鐘
  ■.保護(hù)文件和目錄
  將C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目錄的訪問權(quán)限做限制,限制everyone的寫權(quán)限,限制users組的讀寫權(quán)限
  ■.注冊表一些條目的修改
  1) 去除logon對話框中的shutdown按鈕
  將HKEY_LOCAL_MACHINE\SOFTWARE
  \Microsoft\Windows NT\Current Version\Winlogon\中
  ShutdownWithoutLogon REG_SZ 值設(shè)為0
  2) 去除logon信息的cashing功能
  將HKEY_LOCAL_MACHINE\SOFTWARE
  \Microsoft\Windows NT\Current Version\Winlogon\中
  CachedLogonsCount REG_SZ 值設(shè)為0
  3) 隱藏上次登陸的用戶名
  將HKEY_LOCAL_MACHINE\SOFTWARE
  \Microsoft\Windows NT\Current Version\Winlogon\中
  DontDisplayLastUserName REG_SZ 值設(shè)為1
  4)限制LSA匿名訪問
  將HKEY_LOCAL_MACHINE\SYSTEM
  \CurrentControlSet\Control\LSA中
  RestricAnonymous REG_DWORD 值設(shè)為1
  5) 去除所有網(wǎng)絡(luò)共享
  將HKEY_LOCAL_MACHINE\SYSTEM
  \CurrentControlSet\Services\LanManServer\Parameters\中
  AutoShareServer REG_DWORD 值設(shè)為0
  ■. 啟用TCP/IP過濾
  只允許TCP端口80和443(如果使用SSL)
  不允許UDP端口
  只允許IP Protocol 6 (TCP)
  ■. 移動(dòng)部分重要文件并加訪問控制:
  創(chuàng)建一個(gè)只有系統(tǒng)管理員能夠訪問的目錄,將system32目錄下的一些重要文件移動(dòng)到此目錄:
  xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
  edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
  qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe,
  secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,
  edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe
  ■.安裝防病毒軟件Norton 2000
  ■. 可以下載Hisecweb.inf安全模板來配置
  Http://download.microsoft.com/downl...US/hisecweb.exe
  該模板配置基本的 Windows 2000 系統(tǒng)安全策略。
  將該模板復(fù)制到 %windir%\security\templates 目錄。
  打開“安全模板”工具,查看這些設(shè)置。
  打開“安全配置和分析”工具,然后裝載該模板。
  右鍵單擊“安全配置和分析”工具,然后從上下文菜單中選擇“立即分析計(jì)算機(jī)”。
  等候操作完成。
  查看結(jié)果,如有必要就更新該模板。
  右鍵單擊“安全配置和分析”工具,然后從上下文菜單中選擇“立即配置計(jì)算機(jī)”。

  二、IIS的安全配置

  ■. 關(guān)閉并刪除默認(rèn)站點(diǎn):
  默認(rèn)FTP站點(diǎn)
  默認(rèn)Web站點(diǎn)
  管理Web站點(diǎn)
  ■. 建立自己的站點(diǎn),與系統(tǒng)不在一個(gè)分區(qū),如
  D:\wwwroot3. 建立 E:\Logfiles 目錄,以后建立站點(diǎn)時(shí)的日志文件均位于此目錄,確保此目錄上的訪問控制權(quán)限是: Administrators(完全控制)System(完全控制)
  ■. 刪除IIS的部分目錄:
  IISHelp C:\winnt\help\iishelp
  IISAdmin C:\system32\inetsrv\iisadmin
  MSADC C:\Program Files\Common Files\System\msadc\
  刪除 C:\\inetpub
  ■. 刪除不必要的IIS映射和擴(kuò)展:
  IIS 被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時(shí),該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展或功能,則應(yīng)刪除該
  映射,步驟如下:
  打開 Internet 服務(wù)管理器:
  選擇計(jì)算機(jī)名,點(diǎn)鼠標(biāo)右鍵,選擇屬性:
  然后選擇編輯
  然后選擇主目錄, 點(diǎn)擊配置
  選擇擴(kuò)展名 \".htw\",\".htr\",\".idc\",\".ida\",\".idq\"和\".printer\",點(diǎn)擊刪除
  如果不使用server side include,則刪除\".shtm\" \".stm\" 和 \".shtml\"
  ■. 禁用父路徑 :
  “父路徑”選項(xiàng)允許您在對諸如 MapPath 函數(shù)調(diào)用中使用“..”。在默認(rèn)情況下,該選項(xiàng)
  處于啟用狀態(tài),應(yīng)該禁用它。
  禁用該選項(xiàng)的步驟如下:
  右鍵單擊該 Web 站點(diǎn)的根,然后從上下文菜單中選擇“屬性”。
  單擊“主目錄”選項(xiàng)卡。
  單擊“配置”。
  單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡。
  取消選擇“啟用父路徑”復(fù)選框。
  ■. 在虛擬目錄上設(shè)置訪問控制權(quán)限
  主頁使用的文件按照文件類型應(yīng)使用不同的訪問控制列表:
  CGI (.exe, .dll, .cmd, .pl)
  Everyone (X)
  Administrators(完全控制)
  System(完全控制)
  腳本文件 (.asp)
  Everyone (X)
  Administrators(完全控制)
  System(完全控制)
  include 文件 (.inc, .shtm, .shtml)
  Everyone (X)
  Administrators(完全控制)
  System(完全控制)
  靜態(tài)內(nèi)容 (.txt, .gif, .jpg, .html)
  Everyone (R)
  Administrators(完全控制)
  System(完全控制)
  在創(chuàng)建Web站點(diǎn)時(shí),沒有必要在每個(gè)文件上設(shè)置訪問控制權(quán)限,應(yīng)該為每個(gè)文件類型創(chuàng)建一個(gè)新目錄,然后在每個(gè)目錄上設(shè)置訪問控制權(quán)限、允許訪問控制權(quán)限傳給各個(gè)文件。
  例如,目錄結(jié)構(gòu)可為以下形式:
  D:\wwwroot\myserver\static (.html)
  D:\wwwroot\myserver\include (.inc)
  D:\wwwroot\myserver \script (.asp)
  D:\wwwroot\myserver \executable (.dll)
  D:\wwwroot\myserver\images (.gif, .jpeg)
  ■. 啟用日志記錄
  確定服務(wù)器是否被攻擊時(shí),日志記錄是極其重要的。
  應(yīng)使用 W3C 擴(kuò)展日志記錄格式,步驟如下:
  打開 Internet 服務(wù)管理器:
  右鍵單擊站點(diǎn),然后從上下文菜單中選擇“屬性”。
  單擊“Web 站點(diǎn)”選項(xiàng)卡。
  選中“啟用日志記錄”復(fù)選框。
  從“活動(dòng)日志格式”下拉列表中選擇“W3C 擴(kuò)展日志文件格式”。
  單擊“屬性”。
  單擊“擴(kuò)展屬性”選項(xiàng)卡,然后設(shè)置以下屬性:
  * 客戶 IP 地址
  * 用戶名
  * 方法
  * URI 資源
  * HTTP 狀態(tài)
  * Win32 狀態(tài)
  * 用戶代理
  * 服務(wù)器 IP 地址
  * 服務(wù)器端口

關(guān)鍵詞:Win2k

贊助商鏈接: