server2003安全加固.pdfVIP

windows2003服务器:Windows 2003服务 器安全加固方案 疯狂代码 http://CrazyC/ ĵ http:/CrazyC/Security/Article68702.html IIS(即Internet Information Server)方便性和易用性使它成为最受欢迎Web服务器软件Software的但是 IIS安全性却直令人担忧如何利用IIS建立个安全Web服务器是很多人关心话题要创建个安全可靠Web服务器必 须要实现Windows 2003和IIS双重安全IIS用户同时也是Windows 2003用户并且IIS目录权限依赖 WindowsNTFS文件系统权限控制所以保护IIS安全第步就是确保Windows 2000操作系统安全所以要对服务器 进行安全加固以免遭到黑客攻击造成严重后果 　　我们通过以下几个方面对您系统进行安全加固 　　1. 系统安全加固:我们通过配置目录权限系统安全策略协议栈加强系统服务和访问控制加固您系统整体提高 服务器安全性 　　2. IIS手工加固:手工加固iis可以有效提高iweb站点安全性合理分配用户权限配置相应安全策略有效防止 iis用户溢出提权 　　3. 系统应用加固提供应用安全性例如sql安全配置以及服务器应用软件Software安全加固 　　系统安全加固 　　1.目录权限配置 　　1.1 除系统所在分区的外所有分区都赋予Administrators和SYSTEM有完全控制权的后再对其下子目录作 单独目录权限如果WEB站点目录你要为其目录权限分配个和的对应匿名访问帐号并赋予它有修改权限如果想使 网站WebSite更加坚固可以分配只读权限并对特殊目录作可写权限 　　1.2 系统所在分区下根目录都要设置为不继承父权限的后为该分区只赋予Administrators和SYSTEM有完 全控制权 　　1.3 服务器只有管理员有本地登录权限所在要配置Documents and Settings这个目录权限只保留 Administrators和SYSTEM有完全控制权其下子目录同样另外还有个隐藏目录也需要同样操作如果你安装有 PCAnyWhere那么他配置信息都保存在其下使用webshell或FSO可以轻松调取这个配置文件 　　1.4 配置Program files目录为Common Files目录的外所有目录赋予Administrators和SYSTEM有完全控 制权 　　1.5 配置Windows目录其实这块主要是根据自身情况如果使用默认安全设置也是可行不过还是应该进入 SYSTEM32目录下将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏赋予匿名帐号拒绝访问 　　1.6审核MetBase.binC:\WINNT\system32\inetsrv目录只有administrator只允许Administrator用户读 写 　　2.组策略配置 　　在用户权利指派下从通过网络访问此计算机中删除Power Users和Backup Operators; 　　启用不允许匿名访问SAM帐号和共享; 　　启用不允许为网络验证存储凭据或Passport; 　　从文件共享中删除允许匿名登录DFS$和COMCFG; 　　启用交互登录:不显示上次用户名; 　　启用在下次密码变更时不存储LANMAN哈希值; 　　禁止IIS匿名用户在本地登录; 　　3.本地安全策略设置 　　开始菜单—管理工具—本地安全策略 　　A、本地策略——审核策略 　　审核策略更改　成功　失败 　　审核登录事件　成功　失败 　　审核对象访问失败 　　审核过程跟踪　无审核 　　审核目录服务访问失败 　　审核特权使用失败 　　审核系统事件　成功　失败 　　审核账户登录事件　成功　失败 　　审核账户管理　成功　失败 　　注:在设置审核登陆事件时选择记失败这样在事件查看器里安全日志就会记录登陆失败信息 　　B、本地策略——用户权限分配 　　关闭系统:只有Administrators组、其它全部删除 　　通过终端服务拒绝登陆:加入Guests、User组