安全 Web 服务器快照.docVIP

安全 Web 服务器快照 组件 特征 修补程序和更新程序 Windows、IIS 和 .NET Framework 中应用了最新的 service pack 和修补程序。 ?? 服务 禁用不需要的服务。NNTP、SMTP 和 FTP 也被禁用（除非需要）。禁用或保护 WebDAV（如果使用）。服务帐户特权最少。如果不需要 ASP.NET Session State service，则禁用它。 ?? 协议 服务器未启用 NetBIOS 和 SMB 协议。已强化 TCP 堆栈。（见附件） ?? 帐户 已删除不使用的帐户。禁用了 Guest 帐户。默认的 administrator 帐户已重命名，且使用强密码。禁用默认的匿名帐户 (IUSR_Machine)。自定义匿名帐户用于匿名访问。强制强密码策略。限制远程登录。禁用空会话（匿名登录）。需要时对帐户委派进行审批。不使用共享帐户。限制本地 administrators 组的成员（理想情况是两个成员）。要求管理员以交互方式登录（或实施安全的远程管理解决方案）。 ?? 文件和目录 Everyone 组没有系统、Web 或工具目录的访问权限。匿名帐户没有 Web 站点内容目录和系统实用工具的访问权限。删除或保护工具、实用工具和 SDK。删除示例文件。删除不需要的 DSN。 ?? 共享 已从服务器中删除不使用的共享。对必需共享的访问已经过保护（除非必要，否则不在“Everyone”组启用共享）。如果不需要管理共享（C$ 和 Admin$），则删除它们。 ?? 端口 阻止除 80 和 443 (SSL) 以外的所有端口，尤其是易受攻击的端口 135 – 139 和 445。 ?? 注册表 防止注册表的远程管理。已保护了 SAM（仅限独立服务器）。 ?? 审核和日志记录 将登录失败记入日志。记录 Everyone 组访问对象时的失败。将日志文件从 %systemroot%\system32\LogFiles 进行重定位，并使用 ACL 保护它们：Administrators 和 System 有完全控制权限。启用 IIS 日志记录。定期存档日志文件供脱机分析。对访问 metabase.bin 文件的情况进行审核。配置 IIS 进行 W3C 扩展日志文件格式审核。 ?? IIS ?? ?? 站点和虚拟目录 Web 根目录和虚拟目录分别位于与系统卷不同的卷。禁用父路径设置。已删除危险的虚拟目录（IIS Samples、MSADC、IISHelp、Scripts 和 IISAdmin）。已删除或保护 RDS。Web 权限限制不适当的访问。限制 Include 目录使用“读取”Web 权限。限制匿名访问文件夹使用“写入”和“执行”Web 权限。允许内容创作的安全文件夹可使用“脚本源访问”Web 权限，但所有其他文件夹不能使用这些权限。如果不需要 FPSE，则删除它。 ?? 脚本映射 不使用的脚本映射都映射至 404.dll：.idq、.htw、.ida、.shtml、.shtm、.stm、idc、.htr、.printer。注意：404.dll 在运行 IIS Lockdown 工具时安装。 ?? ISAPI 筛选器 已删除不使用的 ISAPI 筛选器。 ?? IIS 元数据库 已使用 NTFS 权限对 IIS 元数据库的访问进行了限制。横幅信息已限制；隐藏 HTTP 响应标头中的内容位置。 ?? Machine.config ?? ?? HttpForbiddenHandler 受保护的资源都映射至 System.Web.HttpForbiddenHandler ?? 远程处理 已禁用 .NET 远程处理。 httpHandlers add verb=* path=*.rem type=System.Web.HttpForbiddenHandler/ add verb=* path=*.soap type=System.Web.HttpForbiddenHandler/ /httpHandlers ?? 跟踪 跟踪信息和详细错误信息都不返回至客户端： trace enabled=false ?? 编译 禁用调试编译 compilation debug=false/ ?? customErrors 不将错误详细信息返回至客户端： customErrors mode=On / 一般错误页将错误写入事件日志。 ?? sessionState 如果不需要会话状态，则禁用它： sessionState mode=Off / ?? 代码访问安全性 ?? ??