windows平台web服务器安全实战资料.pptVIP

Windows平台Web服务器安全实战 安徽国讯教育科技有限责任公司 技术总监 徐 泳 2005年4月2日 1、系统安装 采用NTFS分区 仅仅安装一个操作系统，并且不安装和服务器无关的软件 2、帐户设置 尽可能少的有效帐户，建立两个管理帐户； 给管理帐户改名字； 禁用Guest帐户； 使用强帐户密码规则；? 帐户密码要定期进行更改；? 建立陷阱帐号?； 使用组策略。 3、网络设置 只保留TCP/IP协议，其他全部删除； 禁用NetBIOS； 只允许一些必要的端口。 4、删除不必要的共享 在HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一值Name： AutoShareServer Type：REG-DWORD Value：0 在HKLM\SYSTEM\CurrentControlSet\Control\Lsa 下增加一值Name：restrictanonymous Type：REG_DWORDValue：0 5、修改权限 Windows 2000 Server的NTFS分区默认权限都是Everyone完全控制权限，这样给服务器的安全带来了一定的安全隐患。我们建议，所有NTFS分区只给管理员和SYSTEM完全控制权限。有特殊权限需求的目录可单独设置。 6、修改计算机启动特性 操作方法：控制面板-系统-高级-启动和故障恢复-取消显示操作系统列表-取消发送警报-取消写入调试信息-完成。 7、禁用不必要的服务 需要停掉的服务，例如：Alerter、Computer Browser、Distributed File System、Intersite Messaging、Kerberos Key Distribution Center、Remote Registry Service、Routing and Remote Access等等。 8、使用审核和安全日志 本地安全策略-审核策略中打开相应的审核； 账户策略-密码策略； 账户策略-账户锁定策略； Terminal Service的安全日志； 事件日志设置。 9、IIS设置 只安装管理器、公共文档和WWW服务； 尽量减少IIS中没有必要的映射，大多数用户只留asp,asa就可以了； Web目录需要IUSR读写权限，IIS中只开放读取权限； 有效利用IIS中IP禁止访问列表； 完善日志功能，以便查找问题，加强监控。 10、FTP设置 禁止对FTP的匿名访问； 注意用户权限的开放度。 11、配置Sql服务器 System Administrators 角色最好不要超过两个； 如果是在本机最好将身份验证配置为Win登陆； 删除以下的扩展存储过程；xp_cmdshell Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluess Xp_regread　 Xp_regwrite　 Xp_regremovemultistring Sp_OACreate　 　Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop 12、远程管理安全 修改对应程序服务端口； 采用程序内置加密方法； 尽可能将远程管理方法让少数人知道； 尽量采取程序内置密码和操作系统密码两层验证机制。 谢 谢！ 交流论坛： * * *