web安全总结文档.docVIP

WEB服务器的安全解读（windows） WEB服务器的安全主要有包含了三个方面，一方面是系统安全设置方面，另一方面是数据库及IIS的安全设置方面，三方面是网站设计程序方面的代码安全。 首先系统安设置方面： 一、首先系统安装方面，系统一般采用WINDWOS2003系统，2003系统IIS功能相比2000系统而，在安全性方面提高了很多，系统的漏洞也比较少，系统所在的分区必须采用NTFS分区系统,相比FAT32来说，NTFS的安全性方面高了很多，可以采用ACL访问控制列表来分配目录的访问权限。 用户的设置 1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加特殊字符的方面，长度最好不少8位，设一个高强度的密码对于安全性来说会好很多。 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入一个密码，密码的强度也是要高一些，的最好不低于8位的密码 3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码 4、修改组策略中登录的次数限制，并设定锁定的时间 ，具体方法如下：在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“五次无效登陆”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用。 6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了A还要保留Aspnet账户。 7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。 三、网络服务安全管理 1、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver \parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0。 2、解除NetBios 与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用 TCP/IP上的NETBIOS。 3、关闭不需要的服务，以下为建议选项： Computer Browser:维护网络计算机更新，禁用； Distributed File System: 局域网管理共享文件，不需要，禁用； Distributed linktracking client：用于局域网更新连接信息，不需要，禁用； Error reporting service：禁止发送错误报告； Microsoft Serch：提供快速的单词搜索，不需要，可禁用； NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要，禁用； PrintSpooler：如果没有打印机可禁用； Remote Registry：禁止远程修改注册表，禁用； Remote Desktop Help Session Manager：禁止远程协助，禁用。 4、禁用网络的文件和打印机共享服务 四、打开相应的审核策略，保证服务器的修改及变更信息以及服务器登录时间可查，在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略，在这二者之间做出选择。 推荐的要审核的项目是： 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 五、杀毒软件及系统补丁更新 及时更新杀毒及系统的补丁包，保障服务器处于一种良的状态下,一般情况下，三天左右更新杀毒软件，15天左右更新系统补丁。微软会每个月发布新补丁，系统补丁理论上应该测试没有问题才能给服务器安装 六、相关其它设置 1、隐藏重要文件/目录 可以修改注册表实现完全隐藏： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL，鼠标右击CheckedValue，选择修改，把数值由1改为0； 2、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器； 3、防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWOR