IIS服务器安全配置.doc

分区盘符的配置 各盘分区都以NTFS格式分区 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限 2．不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开 2、关闭不必要的服务 Automatic updates自动更新（正版使用） Computer browser（之前爆漏洞） Dhcp client （如果固定ip，不用）手动 Dns client 客户端（如果有dns的，自动）手动 Help and support （系统帮助） Server（共享） Print spooler（打印机） Remote registyy（远程注册表） Tcp/ip netbios helper（ipc共享） Wirless comfiguration（无线上网） 关闭不要的端口 关闭139（禁用NetBIOS） 关445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 添加DWORD值:SMBDeviceEnabled DWORD值改为0 嗅探绑定 新建apr.bat内容为 Arp -s 网关地址 网关mac地址 Arp -s 自己的ip 自己的网关 Exit 添加入gpedit.msc的启动 3、开启防火墙 只开放需要的端口（80,3389,21等） 4、账号保护 gpedit.msc—计算机配置—windows设置—安全设置—账户策略—密码策略 改administration账号，新建一个administration账号加一个复杂的密码 账号锁定策略、审核策略 5、Ssl加密 添加或删除程序-window组件-证书服务 客户端申请证书 服务器端颁发证书 在A网站属性-目录安全性-服务器证书-导出 在客户端导入证书-申请证书-高级证书申请-base64导入 在服务器端颁发-在服务器端以base64下载证书 在A网站属性-目录安全性-服务器证书-导入 在A网站属性-目录安全性-编辑-要求安全通道ssl--要求证书 6、ip安全策略 secpol.msc 禁用ping-新建一个ip策略阻止 imcp ftp和3389远程桌面加密 服务器--添加-新规则-添加-添加-任何ip到我的ip-协议tcp 筛选操作-身份验证方法-使用字符串密匙 客户端--添加-新规则-添加-添加-我的ip到一个指定的ip-协议tcp Web安全 站点属性只给予 读取 记录访问 索引资源 执行权限选择纯脚本 新建一个账号（a）加入guests组，在网站虚拟目录只留下administrations和账号（a） 在网站属性-目录安全性-在身份验证和访问控制点编辑把账号（a）换上 网站备份，用rar高级一定要加密 在系统system32下找到cmd权限设置为administration和system 禁用wscript.shell（.1）组件 regsvr32 /u C:\Windows\System32\wshom.ocx 我们可以通过修改注册表,将此组件改名 HKEY_CLASSES_ROOT\Shell.Application CLSID也要改 HKEY_CLASSES_ROOT\Shell.Application.1 CLSID也要改 重启iis HKEY_CLASSES_ROOT\Wscript.Shell\ HKEY_CLASSES_ROOT\Wscript.Shell.1\ 存放图片文件夹、静态页面文件夹、首页删去等的账号（a）取消执行权限 有条件的话数据库和站点分离（不在同一台服务器），在新建一个数据库独立的账号（b）加入GUETST组和一个强壮的密码，MSSQL安装目录，删除“SYSTEM”用户，给账号（b）权限为完全控制；将MS SQL SERVER的运行用户设置为账号（b）。 更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限. 修改默认的端口. 删除MSSQL危险存储