Server 2003 Web服務器安全設置十五項守則
系統管理員在維護Web服務器的時候會涉及到很多服務器安全問題,在本篇文章中將向大家介紹在Windows 2003中的安全配置。其實在日常的維護與運行中注意相關服務是否需要啟動,以及相應審核策略的發放等。在這里將向大家詳細介紹這些內容。
一、 Windows 2003安全配置
確保所有磁盤分區為NTFS分區、操作系統、Web主目錄、日志分別安裝在不同的分區
不要安裝不需要的協議,比如IPX/SPX, NetBIOS?
不要安裝其它任何操作系統
安裝所有補丁(用瑞星安全漏洞掃描下載)
關閉所有不需要的服務
二、IIS的安全配置
三、刪除Windows Server 2003默認共享
1、首先編寫如下內容的批處理文件:
@echo off net share C$ /del net share D$ /del net share E$ /del net share F$ /del net share admin$ /del
以上文件的內容用戶可以根據自己需要進行修改。保存為delshare.bat,存放到系統所在文件夾下的system32GroupPolicyUserScriptsLogon目錄下。然后在開始菜單→運行中輸入gpedit.msc‘回車即可打開組策略編輯器。點擊用戶配置→Windows設置→腳本(登錄/注銷)→登錄在出現的“登錄 屬性”窗口中單擊“添加”,會出現“添加腳本”對話框,在該窗口的“腳本名”欄中輸入delshare.bat,然后單擊“確定”按鈕即可。重新啟動計算機系統,就可以自動將系統所有的隱藏共享文件夾全部取消了,這樣就能將系統安全隱患降低到最低限度。
2、禁用IPC連接
IPC$(Internet Process Connection)是共享“命名管道”的資源,它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方計算機即可以建立安全的通道并以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。它是Windows NT/2000/XP/2003特有的功能,但它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。NT/2000/XP/2003在提供了ipc$功能的同時,在初次安裝系統時還打開了默認共享,即所有的邏輯共享(c$,d$,e$……)和系統目錄winnt或windows(admin$)共享。
所有的這些,微軟的初衷都是為了方便管理員的管理,但也為簡稱為IPC入侵者有意或無意的提供了方便條件,導致了系統安全性能的降低。在建立IPC的連接中不需要任何黑客工具,在命令行里鍵入相應的命令就可以了,不過有個前提條件,那就是你需要知道遠程主機的用戶名和密碼。打開CMD后輸入如下命令即可進行連接:net use\ipipc$ password /user:usernqme。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連接。
四、清空遠程可訪問的注冊表路徑
大家都知道,Windows 2003操作系統提供了注冊表的遠程訪問功能,只有將遠程可訪問的注冊表路徑設置為空,這樣才能有效的防止黑客利用掃描器通過遠程注冊表讀取計算機的系統信息及其它信息。
打開組策略編輯器,依次展開“計算機配置→Windows 設置→安全設置→本地策略→安全選項”,在右側窗口中找到“網絡訪問:可遠程訪問的注冊表路徑”,然后在打開的窗口中,將可遠程訪問的注冊表路徑和子路徑內容全部設置為空即可。#p#
五、關閉不必要的端口
對于個人用戶來說安裝中默認的有些端口確實是沒有什么必要的,關掉端口也就是關閉無用的服務。139端口是NetBIOS協議所使用的端口,在安裝了TCP/IP 協議的同時,NetBIOS 也會被作為默認設置安裝到系統中。139端口的開放意味著硬盤可能會在網絡中共享;網上黑客也可通過NetBIOS知道你的電腦中的一切!在以前的Windows版本中,只要不安裝Microsoft網絡的文件和打印共享協議,就可關閉139端口。但在Windows Server 2003中,只這樣做是不行的。
如果想徹底關閉139端口,具體步驟如下: 鼠標右鍵單擊“網絡鄰居”,選擇“屬性”,進入“網絡和撥號連接”,再用鼠標右鍵單擊“本地連接”,選擇“屬性”,打開“本地連接 屬性”頁 ,然后去掉“Microsoft網絡的文件和打印共享”前面的“√”。接下來選中“Internet協議(TCP/IP)”,單擊“屬性”→“高級”→“WINS”,把“禁用TCP/IP上的NetBIOS”選中,即任務完成。對于個人用戶來說,可以在各項服務屬性設置中設為“禁用”,以免下次重啟服務也重新啟動,端口也開放了。
假如你的電腦中還裝了IIS,你最好重新設置一下端口過濾。步驟如下:選擇網卡屬性,然后雙擊“Internet協議(TCP/IP)”,在出現的窗口中單擊“高級”按鈕,會進入“高級TCP/IP設置”窗口,接下來選擇“選項”標簽下的“TCP/IP 篩選”項,點“屬性”按鈕,會來到“TCP/IP 篩選”的窗口,在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“√”,然后根據需要配置就可以了。如果你只打算瀏覽網頁,則只開放TCP端口80即可,所以可以在“TCP端口”上方選擇“只允許”,然后單擊“添加”按鈕,輸入80再單擊“確定”即可。
六、杜絕非法訪問應用程序
Windows Server 2003是一種服務器操作系統,為了防止登陸到其中的用戶,隨意啟動服務器中的應用程序,給服務器的正常運行帶來不必要的麻煩,我們很有必要根據不同用戶的訪問權限來限制。
他們去調用應用程序。實際上我們只要使用組策略編輯器作進一步的設置,即可實現這一目的,具體步驟如下: 打開“組策略編輯器”的方法為:依次點擊“開始→運行”,在“運行”對話框中鍵入“gpedit.msc”命令并回車,即可打開“組策略編輯器”窗口。然后依次打開“組策略控制臺→用戶配置→管理模 板→系統”中的“只運行許可的Windows應用程序”并啟用此策略。 然后點擊下面的“允許的應用程序列表”邊的“顯示”按鈕,彈出一個“顯示內容”對話框,在此單擊“添加”按鈕來添加允許運行的應用程序即可。
七、設置和管理賬戶
1、系統管理員賬戶最好少建,更改默認的管理員帳戶名(Administrator)和描述,密碼最好采用數字加大小寫字母加數字的上檔鍵組合,長度最好不少于14位。
2、新建一個名為Administrator的陷阱帳號,為其設置最小的權限,然后隨便輸入組合的最好不低于20位的密碼。
3、將Guest賬戶禁用并更改名稱和描述,然后輸入一個復雜的密碼,當然現在也有一個DelGuest的工具,也許你也可以利用它來刪除Guest賬戶,但我沒有試過。
4、在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設為“三次登陸無效”,“鎖定時間20分鐘”,“復位鎖定計數設為30分鐘”。
5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用
6、在安全設置-本地策略-用戶權利分配中將“從網絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。
7、創建一個User賬戶,運行系統,如果要運行特權命令使用Runas命令。
八、網絡服務安全管理
1、禁止C$、D$、ADMIN$一類的缺省共享
打開注冊表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右邊的窗口中新建Dword值,名稱設為AutoShareServer值設為0
2、解除NetBios與TCP/IP協議的綁定右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的NETBIOS
3、關閉不需要的服務,以下為建議選項
九、打開相應的審核策略
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那么要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件,你需要根據情況在這二者之間做出選擇。推薦的要審核的項目是:
登錄事件 成功失敗 賬戶登錄事件成功 失敗 系統事件 成功失敗 策略更改 成功失敗 對象訪問 失敗 目錄服務訪問失敗 特權使用 失敗
十、其它安全相關設置
1、隱藏重要文件/目錄
可以修改注冊表實現完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊“CheckedValue”,選擇修改,把數值由1改為0
2、啟動系統自帶的Internet連接防火墻,在設置服務選項中勾選Web服務器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名為SynAttackProtect,值為2
4. 禁止響應ICMP路由通告報文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters將EnableICMPRedirects 值設為0
6. 不支持IGMP協議HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名為IGMPLevel 值為0
7、禁用DCOM:運行中輸入 Dcomcnfg.exe。 回車, 單擊“控制臺根節點”下的“組件服務”。 打開“計算機”子文件夾。
對于本地計算機,請以右鍵單擊“我的電腦”,然后選擇“屬性”。選擇“默認屬性”選項卡。
清除“在這臺計算機上啟用分布式 COM”復選框。
注:3-6項內容采用的是Server2000設置,沒有測試過對2003是否起作用。但有一點可以肯定我用了一段的時間沒有發現其它副面的影響。
十一、配置 IIS 服務:
1、不使用默認的Web站點,如果使用也要將 將IIS目錄與系統磁盤分開。
2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。
3、刪除系統盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、刪除不必要的IIS擴展名映射。右鍵單擊“默認Web站點→屬性→主目錄→配置”,打開應用程序窗口,去掉不必要的應用程序映射。主要為.shtml, .shtm, .stm
5、更改IIS日志的路徑,右鍵單擊“默認Web站點→屬性-網站-在啟用日志記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
7、使用UrlScan。UrlScan是一個ISAPI篩選器,它對傳入的HTTP數據包進行分析并可以拒絕任何可疑的通信量。如果沒有特殊的要求采用UrlScan默認配置就可以了。
但如果你在服務器運行ASP.NET程序,并要進行調試你需打開要%WINDIR%\System32\Inetsrv\URLscan 文件夾中的URLScan.ini 文件,然后在UserAllowVerbs節添加debug謂詞,注意此節是區分大小的。
如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。
如果你的網頁使用了非ASCII代碼,你需要在Option節中將AllowHighBitCharacters的值設為1
在對URLScan.ini 文件做了更改后,你需要重啟IIS服務才能生效,快速方法運行中輸入iisreset
如果你在配置后出現什么問題,你可以通過添加/刪除程序刪除UrlScan。
8、利用WIS(Web Injection Scanner)工具對整個網站進行SQL Injection脆弱性掃描.
十二、配置Sql服務器
1、System Administrators 角色最好不要超過兩個
2、如果是在本機最好將身份驗證配置為Win登陸
3、不要使用Sa賬戶,為其配置一個超級復雜的密碼
4、刪除以下的擴展存儲過程格式為:
右擊實例選屬性-常規-網絡配置中選擇TCP/IP協議的屬性,選擇隱藏 SQL Server 實例,并改原默認的1433端口。
十三、如果只做服務器,不進行其它操作,使用IPSec
1、管理工具—本地安全策略—右擊IP安全策略—管理IP篩選器表和篩選器操作—在管理IP篩選器表選項下點擊添加—名稱設為Web篩選器—點擊添加—在描述中輸入Web服務器—將源地址設為任何IP地址——將目標地址設為我的IP地址——協議類型設為Tcp——IP協議端口第一項設為從任意端口,第二項到此端口80——點擊完成——點擊確定。
2、再在管理IP篩選器表選項下點擊添加—名稱設為所有入站篩選器—點擊添加—在描述中輸入所有入站篩選—將源地址設為任何IP地址——將目標地址設為我的IP地址——協議類型設為任意——點擊下一步——完成——點擊確定。
3、在管理篩選器操作選項下點擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關閉管理IP篩選器表和篩選器操作窗口。
4、右擊IP安全策略——創建IP安全策略——下一步——名稱輸入數據包篩選器——下一步——取消默認激活響應原則——下一步——完成。
5、在打開的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網絡連接——下一步——在IP篩選器列表中選擇新建的Web篩選器——下一步——在篩選器操作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定
6、在IP安全策略的右邊窗口中右擊新建的數據包篩選器,點擊指派,不需要重啟,IPSec就可生效.
十四、建議
如果你按本文去操作,建議每做一項更改就測試一下服務器,如果有問題可以馬上撤消更改。而如果更改的項數多,才發現出問題,那就很難判斷問題是出在哪一步上了。
十五、運行服務器記錄當前的程序和開放的端口
1、將當前服務器的進程抓圖或記錄下來,將其保存,方便以后對照查看是否有不明的程序。
2、將當前開放的端口抓圖或記錄下來,保存,方便以后對照查看是否開放了不明的端口。當然如果你能分辨每一個進程,和端口這一步可以省略。
【編輯推薦】
