Windows服务器安全加固方案.pdf

P43 页 Windows 2008 服务器安全加固方案 来源：中国红盟 时间：2010-1-27 9:09:00 点击：201 今日评论：0 条Windows 2008 服务器安全加固方案(一） 因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web 服务器软件之一。但是，IIS 的安全性却一直令人担忧。如何利用IIS 建立一个安全的Web 服务器，是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web 服务器，必须 要实现Windows 2003 和IIS 的双重安全，因为IIS 的用户同时也是Windows 2003 的用户， 并且IIS 目录的权限依赖Windows 的NTFS 文件系统的权限控制，所以保护IIS 安全的第一 步就是确保Windows 2000 操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客 的攻击，造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固： 1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访 问控制加固您的系统，整体提高服务器的安全性。 2. IIS 手工加固：手工加固iis 可以有效的提高iweb 站点的安全性服务器安全加固，合理分 配用户权限，配置相应的安全策略，有效的防止iis 用户溢出提权。 3. 系统应用程序加固，提供应用程序的安全性，例如sql 的安全配置以及服务器应用软件的 安全加固。 系统的安全加固： 1. 目录权限的配置： 1.1 除系统所在分区之外的所有分区都赋予Administrators 和SYSTEM 有完全控制权，之后 再对其下的子目录作单独的目录权限，如果WEB 站点目录，你要为其目录权限分配一个与 之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并 对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators 和SYSTEM 有完全控制权。 1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings 这个目录权 限只保留Administrators 和SYSTEM 有完全控制权，其下的子目录同样。另外还有一个隐藏 目录也需要同样操作。因为如果你安装有PCAnyWhere 那么他的的配置信息都保存在其下， 使用webshell 或FSO 可以轻松的调取这个配置文件。 1.4 配置Program files 目录，为Common Files 目录之外的所有目录赋予Administrators 和 SYSTEM 有完全控制权。 1.5 配置Windows 目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可 行的，不过还是应该进入 SYSTEM32 目录下，将 cmd.exe、、net.exe 、scrrun.dll、shell.dll 这些杀手锏程序赋予匿名帐号拒绝访问。 1.6 审核MetBase.bin，C:\WINNT\system32\inetsrv 目录只有administrator 只允许Administrator 用户读写。 2.组策略配置: 在用户权利指派下，从通过网络访问此计算机中删除Power Users 和Backup Operators; 启用不允许匿名访问SAM 帐号和共享; 启用不允许为网络验证存储凭据或Passport; 从文件共享中删除允许匿名登录的DFS$和COMCFG; 启用交互登录：不显示上次的用户名; 启用在下一次密码变更时不存储LANMAN 哈希值; 禁止IIS 匿名用户在本地登录; 3.本地安全策略设置: 开始菜单—管理工具—本地安全策略 A 、本地策略——审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问失败 审核过程跟踪 无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成 失败 注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败 的信息。 B、本地策略——用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组 通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——安全选项 交互式登陆