Web服务器安全加固步骤.docVIP

Web服务器安全加固步骤 1. 将vsystemrootRSystem32\cmd.exe 转移到其他名目或更名； 2. 系统帐号尽量少，更换默认帐户名（如 Administrator ）和描述，密码尽量复杂； 3. 拒绝通过网络访咨询该运算机（匿名登录；内置治理员帐户； Support_388945a0 ； Guest ;所有非操作系统服务帐户） 4. 建议对一样用户只给予读取权限，而只给治理员和 System以完全操纵权限，但如此做有可能使某些正常的脚本程序不能执行，或者某些需要写的 操作不能完成，这时需要对这些文件所在的文件夹权限进行更换，建议在做更换前先在测试机器上作测试，然后慎重更换 。 5. NTFS文件权限设定（注意文件的权限优先级不比文件夹的权限高）： 文件类型 建议的NTFS权限 CGI 文件（.exe、.dll、.cmd、.pl） Everyone （执行） 脚本文件（.asp） Administrators （完全操纵） 包含文件（.inc、.shtm、.shtml ） System （完全操纵） 静态内容（.txt、.gif、.jpg、.htm、.html ） 6. 禁止C$ D$—类的缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer、REG_DWORD）xO 7. 禁止ADMIN缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareWks、REG_DWORDxO 8. 限制IPC$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous REG_DWORD 0x0 缺省 0x1匿名用户无法列举本机用户列表 0x2匿名用户无法连接本机IPC$共享 讲明：不建议使用2，否则可能会造成你的一些服务无法启动，如 SQL Server 9. 仅给用户真正需要的权限，权限的最小化原则是安全的重要保证 10. 在本地安全策略- 审核策略中打开相应的审核，举荐的审核是： 账户治理成功失败 登录事件成功失败 对象访咨询失败 策略更换成功失败 特权使用失败 系统事件成功失败 名目服务访咨询失败 账户登录事件成功失败 审核项目少的缺点是万一你想看发觉没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你全然没空去看，如此就失去了审 核的意义。与之有关的是： 在账户策略- 密码策略中设定： 密码复杂性要求启用 密码长度最小值6位 强制密码历史5次 最长存留期30天 在账户策略- 账户锁定策略中设定： 账户锁定3次错误登录 锁定时刻20分钟 复位锁定计数20分钟 11. 在Terminal Service Configration （远程服务配置）-权限-高级中配置安全审核，一样来讲只要记录登录、注销事件就能够了。 12. 解除NetBios与TCP/IP协议的绑定 操纵面版一一网络一一绑定一一 NetBios接口一一禁用 2000 :操纵面版一一网络和拨号连接一一本地网络一一属性一一 TCP/IP ――属性一一高级 ——WINS禁用 TCP/IP 上的 NETBIOS 13. 在网络连接的协议里启用 TCP/IP选择，仅开放必要的端口（如 80） 14. 通过更换注册表 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1 来禁止 139 空连接 15. 修改数据包的生存时刻（TTL）值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters DefaultTTL REG_DWORD 0-0xff（0-255 十进制，默认值 128） 16. 防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters SynAttackProtect REG_DWORD 0x2（默认值为 0x0） 17. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\lnterfaces\interface PerformRouterDiscovery REG_DWORD 0x0（默