WindowsWEB服务器配置安全规范(参考).docVIP

Windows WEB服务器配置安全规范（参考） 目 录 　 一、安装 Win 200x 安全概览 1.硬盘分区的文件系统选择 2.组件的定制 3.接入网络时间 4.账户安全管理 5.安全审核 6.卸载无用的组件模块 二、基本系统设置 1.安装各种补丁 2.分区内容规划 3.协议管理 4.关闭所有以下不需要的服务 5.删除 OS/2 和 POSIX 子系统 6.帐号和密码策略 7.设置文件和目录权限 8.注册表一些条目的修改 9.启用TCP/IP过滤 10.移动部分重要文件并加访问控制 11.下载Hisecweb.inf安全模板来配置系统 12. 服务器上其他工具程序的替代 13.设置陷阱脚本 14.取消部分危险文件扩展名 15.关闭 445 端口 16.关闭 DirectDraw 17.禁止dump file的产生和自动清除页面文件 18.禁止从软盘和CD ROM启动系统 19.锁住注册表的访问权限 20.使用IPSec增强IP数据包的安全性 21.考虑使用智能卡来代替密码 22.将服务器隐藏起来 23.Win 2003中提高FSO的安全性 三、IIS 安全设置 1.关闭并删除默认站点 2.建立自己的站点，与系统不在一个分区 3.删除IIS的部分目录 4.删除不必要的IIS映射和扩展 5.禁用父路径 6.在虚拟目录上设置访问控制权限 7.启用日志记录 8.备份IIS配置 9.修改IIS标志 10.重定义错误信息 11.Win 2003中提高FSO的安全性 12.防止ASP 木马在服务器上运行 四、数据 安全及备份管理 1.备份 2.设置文件共享权限 3.防止文件名欺骗 4.Access数据库的安全概要 5.MSSQL 注入攻击的防范 6.MSSQL Server 的基本安全策略 7.使用应用层过滤防范URL入侵 8.PHP木马的攻击的防御之道 五、其他辅助安全措施 六、简单设置防御小流量DDOS攻击 七、日常安全检查 一、安装 Win 200x 安全概览 1.硬盘分区的文件系统选择 ①使用多分区分别管理不同内容 在安装Win 2000时，如条件许可，应至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置，使其位置不在系统分区。对提供服务的机器，可按如下设置分区: 分区1：系统分区，安装系统和重要日志文件。 分区2：提供给IIS使用。 分区3：提供给FTP使用。 分区4：放置其他一些资料文件。（以上为示例，可灵活把握） ②采用NTFS文件系统 所有磁盘分区必须采用 NTFS 文件系统，而不要使用 FAT32！ 特别注意：一定要在系统安装时，通过安装程序将系统盘格式化为NTFS，而不要先以 FAT32 格式安装系统，然后再用 Convert 转换！因为转换后的磁盘根目录的默认权限过高！ ③使用文件加密系统EFS Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 /windows2000/techinfo/howitworks/security/encrypt.asp 注意：建议加密temp文件夹！因为一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。 2.组件的定制 不要按Win 2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。 典型Web服务器需要的最小组件是： 公用文件、Internet 服务管理器、WWW服务器。 3.接入网络时间 在安装完成Win 2000**作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。 补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。 4.账户安全管理 1）账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。 2）停用Guest账号，并给Guest 加一个复杂的密码。 3）把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。 4）不让系统显示上次登录的用户名，具体**作如下： 修改注册表“HKLM\Software\Micro