windows2003安全加固
-
因为IIS的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2003操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。
我们通过以下几个方面对您的系统进行安全加固:
1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。
2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。
3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。
系统的安全加固:
1.目录权限的配置:
1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。
1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。
1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
1.5 配置Windows目录,其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的,不过还是应该进入SYSTEM32目录下,将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。
1.6审核MetBase.bin,C:WINNTsystem32inetsrv目录只有administrator只允许Administrator用户读写。
2.组策略配置:
在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
启用不允许匿名访问SAM帐号和共享;
启用不允许为网络验证存储凭据或Passport;
从文件共享中删除允许匿名登录的DFS$和COMCFG;
启用交互登录:不显示上次的用户名;
启用在下一次密码变更时不存储LANMAN哈希值;
禁止IIS匿名用户在本地登录;
3.本地安全策略设置:
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问失败
审核过程跟踪 无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
注:在设置审核登陆事件时选择记失败,这样在事件查看器里的安全日志就会记录登陆失败的信息。
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
4.本地账户策略:在账户策略->密码策略中设定:
密码复杂性要求启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
5. 修改注册表配置:
5.1 通过更改注册表
local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1来禁止139空连接
5.2 修改数据包的生存时间(ttl)值
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
defaultttl reg_dword 0-0xff(0-255 十进制,默认值128)
5.3 防止syn洪水攻击
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
synattackprotect reg_dword 0x2(默认值为0x0)
5.4禁止响应icmp路由通告报文
hkey_local_machinesystemcurrentcontrolset
services cpipparametersinterfacesinterface
performrouterdiscovery reg_dword 0x0(默认值为0x2)
5.5防止icmp重定向报文的攻击
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
enableicmpredirects reg_dword 0x0(默认值为0x1)
5.6不支持igmp协议
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
5.7修改3389默认端口:
运行 Regedt32 并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControl
Terminal ServerWinStationsRDP-Tcp, 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
禁用不必要的服务不但可以降低服务器的资源占用减轻负担,而且可以增强安全性。下面列出了
igmplevel reg_dword 0x0(默认值为0x2)
5.8 设置arp缓存老化时间设置
hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters
arpcachelife reg_dword 0-0xffffffff(秒数,默认值为120秒)
arpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默认值为600)
5.9禁止死网关监测技术
hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters
enabledeadgwdetect reg_dword 0x0(默认值为ox1)
5.10 不支持路由功能
hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters
ipenablerouter reg_dword 0x0(默认值为0x0)
6. 禁用服务:
·Application Experience Lookup Service
·Automatic Updates
·BITS
·Computer Browser
·DHCP Client
·Error Reporting Service
·Help and Support
·Network Location Awareness
·Print Spooler
·Remote Registry
·Secondary Logon
·Server
·Smartcard
·TCP/IP NetBIOS Helper
·Workstation
·Windows Audio
·Windows Time
·Wireless Configuration
7.解除NetBios与TCP/IP协议的绑定
控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
8. 使用tcp/ip筛选
在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)
9.禁止WebDAV在注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParameters
加以下注册表值:
数值名称:DisableWebDAV
数据类型:DWORD
数值数据:1
IIS 加固方案:
1. 仅安装必要的 iis 组件。(禁用不需要的如ftp 和 smtp 服务)
2. 仅启用必要的服务和 web service 扩展,推荐配置:
ui 中的组件名称设置
设置逻辑后台智能传输服务 (bits) 服务器扩展
启用bits 是 windows updates 和"自动更新"所使用的后台文件传输机制。如果使用 windows updates 或"自动更新"在 iis 服务器中自动应用 service pack 和热修补程序,则必须有该组件。
公用文件启用
iis 需要这些文件,一定要在 iis 服务器中启用它们。
文件传输协议 (ftp) 服务
禁用<
windows2003安全加固的更多相关文章
- windows2003安全加固脚本
@echo off title= Windwos/index.html' target='_blank'>Windows Security echo. echo **************** ...
- 主机加固之windows2003
这篇与上一篇的win7主机加固内容大体类似,部分有些不同.这篇也可以用来尝试加固windows XP. 1. 配置管理 1.1用户策略 注意:在对Windows系统加固之前先新建一个临时的系统管理员账 ...
- MongoDB数据库未授权访问漏洞及加固
1.漏洞危害 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增删改高危动作)而且可以远程访问数据库. 2.漏洞成因 在刚安装完毕的 ...
- [原创]用windows7连接windows2003的终端服务器时,出现"由于这台计算机没有远程桌面客户端访问许可证,远程会话被中断"的问题
用windows7连接windows2003的终端服务器时,出现"由于这台计算机没有远程桌面客户端访问许可证,远程会话被中断"的问题,原因是终端服务器授权方式设置为了"每 ...
- CentOS 6.5 安全加固及性能优化 (转)
通过修改CentOS 6.5 的系统默认设置,对系统进行安全加固,进行系统的性能优化. 环境: 系统硬件:vmware vsphere (CPU:2*4核,内存2G) 系统版本:Centos-6.5- ...
- ionic ios 友盟多渠道/自动签名/加固之腾讯云。乐固
之前写了一篇文章主要是介绍使用gradle进行多渠道分发处理的文章--链接:http://www.cnblogs.com/happen-/p/6029387.html 最近在做app上线的处理,发现某 ...
- Windows2003远程桌面单会话登录
在使用远程桌面连接到Windows2003的时候默认设置是同一用户可以进行多会话登录. (在winxp.win7及以后版本的windows中已经变成单会话登录.) 同用户多会话登录在管理上带来诸多麻烦 ...
- app加固
为什么要加固APP? 答:因为黑客通过反编译APK得到源码后,会在应用中插入代码,获取利益,比如添加广告,盗取用户账号.密码,后台定制活动等. 反编译的方法? 反编译是指apk文件通过反编译工具( ...
- Android动态方式破解apk终极篇(加固apk破解方式)
一.前言 今天总算迎来了破解系列的最后一篇文章了,之前的两篇文章分别为: 第一篇:如何使用Eclipse动态调试smali源码 第二篇:如何使用IDA动态调试SO文件 现在要说的就是最后一篇了,如何应 ...
随机推荐
- LUA 协程
LUA协程和C#协程非常相似,功能与用法更强大.基础用法: coco = coroutine.create(function (a,b) print("resume args:". ...
- Uploadify v3.2.1 属性、事件、方法说明
一.属性 属性名称 默认值 说明 auto true 设置为true当选择文件后就直接上传了,为false需要点击上传按钮才上传 . buttonClass " 按钮样式 buttonCur ...
- PHP基础12:数组
<?php //1.实例 $array = array("VOLVO","BMW","SASS"); for ($i=0; $i &l ...
- 10个鲜为人知的WordPress函数
WordPress功能强大,非常适合开发者使用.说到 WordPress,那么,我们不得不说他的钩子函数.今天,要为大家推荐10个WordPress函数.大多数,都是我们常用的功能,不过,经常不知道如 ...
- 简单工厂模式 Simple Factory
简单工厂模式的作用就是定义一个用于创建对象的接口 在简单工厂模式中,一个工厂类处于对产品类实例化调用的中心位置上,它决定那一个产品类应当被实例化. 先来看看它的组成: 1) 工厂类角色 ...
- mysql5.7.12直接解压zip包,安装过程
MySQL-5.7.12-winx64.zip解压安装方式 1.解压文件到你想要安装的位置. 本人是直接解压到E盘. 2.配置环境变量,在path中放入:E:\mysql-5.7.12-win ...
- [CareerCup] 10.2 Data Structures for Large Social Network 大型社交网站的数据结构
10.2 How would you design the data structures for a very large social network like Facebook or Linke ...
- Gt9xx芯片,在规格书+Linux驱动的基础上,移植为USB裸机经验。直接用开发板,不去碰硬件的坑。
1,用内核代码和规格书来印证数据格式: //命令3字节,IC地址 u8 end_cmd[] = {GTP_READ_COOR_ADDR >> , GTP_READ_COOR_ADDR &a ...
- JS开发HTML5游戏《神奇的六边形》(三)
近期出现一款魔性的消除类HTML5游戏<神奇的六边形>,今天我们一起来看看如何通过开源免费的青瓷引擎(www.zuoyouxi.com)来实现这款游戏. (点击图片可进入游戏体验) 因内容 ...
- 理解C#事件
前面文章中介绍了委托相关的概念,委托实例保存这一个或一组操作,程序中将在某个特定的时刻通过委托实例使用这些操作. 如果做过GUI程序开发,可能对上面的描述会比较熟悉.在GUI程序中,单击一个butto ...