下面是小编为大家整理的安全部署企业WEB服务器,供大家参考。
安全部署企业 WEB 服务器
摘 要:
WEB 服务器是 Intranet( 企业内部网)
网站的核心, 其中的数据资料非常重要, 安全部署 WEB 服务器是企业面临的一项重要工作, 系统安装、 安全策略和 IIS 安全策略对企业 WEB 服务器安全、 稳定、 高效地运行至关重要。
关键词:
Intranet; 安全策略; 组策略
WEB 服务器是企业网 Intranet 网站的核心, 其中的数据资料非常重要, 一旦遭到破坏将会给企业造成不可弥补的损失, 管理好、 使用好、 保护好 WEB 服务器中的资源, 是一项至关重要的工作。
本文主要介绍 WEB 服务器安全策略方面的相关知识。
1 系统安装、 系统安全策略配置
使用 NTFS 格式分区、设置不同的用户 访问服务器的不同权限是搭建一台安全 WEB服务器的最低要求。
Windows 2003 安装策略:
①系统安装在单独的逻辑驱动器并自 定义安装目 录; 以“最小的权限+最少的服务=最大的安全” 为基本理念, 只安装所必需的服务和协议, 如 DNS、 DHCP, 不需要 的 服务和 协 议一 律不 安装 ; 只 保留 TCP/IP 一 项 并 禁用 NETBOIS; 安装Windows2003 最新补丁和防病毒软件。
②关闭 windows2003 不必要的服务。
关闭 Computer Browser 、 Task scheduler 、 Routing and Remote Access、Removable storage 、 Remote Registry Service、 Print Spooler、 IPSEC Policy Agent 、 Distributed Link Tracking Client、 Com+ Event System 、 Alerter、Error Reporting Service 、 Messenger 、 Telnet 服务。
③设置磁盘访问权限。
系 统磁盘只 赋予 administrators 和 system 权限, 系 统所在目 录( 默认时为Windows)
要加上 users 的默认权限, 以保障 ASP 和 ASPX 等应用程序正常运行。其他磁盘可以此为参照, 当某些第三方应用程序以服务形式启动时, 需加 system用户 权限, 否则启动不成功。
④注册表 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA, 将DWORD 值 RestrictAnonymous 的键值改为 1, 禁止 Windows 系统进行空连接。
⑤关闭不需要的端口 、 更改远程连接端口 。
本地连接→属性→Internet 协议(TCP/IP) →高级→选项→TCP/IP 筛选→属性→把勾打上, 添加需要的端口 (如:
21、 80) 。
更改远程连接端口 :
开始→ > 运行→ > 输入 regedit 查找 3389:
将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcpHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 下的 PortNumber=3389 改为自 宝义的端口 号并重新启动服务器。
⑥编写批处理文件 delshare. bat 并在组策略中应用, 以关闭默认共享的空连接。( 以服务器有 4 个逻辑驱动器为例)
net share C$ /delete
net share D$ /delete 和
net share E$ /delete
net share F$ /delete
net share admin$ /delete
将 以 上 内 容 写 入system32\GroupPolicy\User\Scripts\Logon 目 录下。
运行 gpedit. msc 组策略编辑器, 用户 配置→Windows 设置→脚本(登录/注销) →登录→“登录 属性” →“添加” →“添加脚本” 对话框的“脚本名 ” 栏中输入 delshare. bat→“确定” 按钮→重新启动服务器, 即可自 动关闭系统的默认隐藏共享, 将系统安全隐患降至最低。
⑦限制匿名 访问本机用户 。
“开始” →“程序” →“管理工具” →“本地安全策略” →“本地策略” →“安全选项” →双击“对匿名 连接的额外限制” →在下拉菜单中选择“不允许枚举 SAM 帐号和共享” →“确定”。
⑧限制远程用户 对光驱或软驱的访问 。
“开始” →“程序” →“管理工具” →“本地安全策略” →“本地策略” →“安全选项” →双击“只有本地登录用户 才能访问软盘” →在单选按钮中选择“已启用(E) ”
→ “确定”。
⑨限制远程用户 对 NetMeeting 的共享, 禁用 NetMeeting 远程桌面共享功能。
运行“gpedit. msc”
→ “计算机配置” → “管理模板” → “Windows 组件”
→“NetMeeting”
→“禁用远程桌面共享” →右键→在单选按钮中选择“启用(E) ”→“确定”。
⑩限制用户 执行 Windows 安装程序, 防止用户 在系统上安装软件。
方法同( 9)。
○11 删除 C: \WINDOWS\WEB\printers 目 录, 避免溢出攻击( 此目 录的存在会造成 IIS 里加入一个. printers 的扩展名 , 可溢出攻击)。
○12 删除 C: \WINDOWS\system32\inetsrv\iisadmpwd, 此目 录在管理 IIS 密码时使用( 如因密码不同步造成 500 错误时使用 OWA 或 Iisadmpwd 修改同步密码),当把账户 策略 >
密码策略 >
密码最短使用期限 设为 0 天[即密码不过期时, 可避免 IIS 密码不同步问题。
这里就可删掉此目 录。
○13 修改注册表防止小规模 DDOS 攻击。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 "DWORD 值"名 为 "SynAttackProtect" 数值为"1"
○14 本地策略→安全选项:
将清除虚拟内存页面文件 、 不显示上次的用户 名 、 不需要按 CTRL+ALT+DEL、 不允许 SAM 账户 的匿名 枚举、 不允许 SAM 账户 和共享的匿名 枚举、 均更改为"已启用" ; 重命名 来宾账户
更改成一个复杂的账户 名 ; 重命名 系统管理员 账号, 更改一个自 己用的账号, 同时建立一个无用户 组的 Administrat 账户 。
2IIS 安全策略应用
①不使用默认的 WEB 站点, 将 IIS 目 录与系统磁盘分开。
将网站内容移动到非系统驱动器, 不使用默认的 \Inetpub\Wwwroot 目 录, 以减轻目 录遍历攻击( 这种攻击试图浏览 WEB 服务器的目 录结构)
带来的危险( 一定要验证所有的虚拟目 录是否均指向目 标驱动器)。
②删除 IIS 默认创建的 Inetpub 目 录(在系统磁盘上) 并配置网站访问权限。
为WEB 服务器配置站点、 目 录和文件的访问权限。
③删除系统盘下的虚拟目 录:
vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。
④删除不必要的 IIS 扩展名 映射。
delshare. bat并 保 存 到 系 统 所 在 文 件 夹 下 的
右键单击“默认 WEB 站点→属性→主目 录→配置”, 打开应用程序窗口 , 去掉不必要的应用程序映射, 主要为 shtml、 shtm、 stm。
⑤更改 IIS 日 志的路径。
右键单击“默认 WEB 站点→属性→网站→在启用日 志记录下→点击属性更改设置。
⑥只选择网站和 WEB 应用程序正确运行所必需的服务和子组件。
开始→控制面板→
添加或删除程序→ 添加/删除 Windows 组件→应用程序服务器→ 详细信息→
Internet 信息服务 (IIS)
→ 详细信息→然后通过选择或清除相应组件或服务的复选框, 来选择或取消相应的 IIS 组件和服务。
IIS 子组件和服务的推荐设置:
禁用:
后台智能传输服务 (BITS)
服务器扩展、 FTP 服务、 FrontPage 2002 Server Extensions、 Internet 打印、 NNTP 服务。
启用:
公用文件、 Internet 信息服务管理器、 万维网服务。
⑦删除未使用的帐户 , 设置强密码, 使用以最低特权的帐户 。
避免攻击者通过使用以高级特权运行的帐户 来获取未经授权的资源访问权。
限制对服务器的匿名 连接, 确保禁用来宾帐户 ; 重命名 管理员 帐户 并分配一个强密码以增强安全性。
重命名
IUSR 帐户 。
在 IIS 元数据库中更改 IUSR 帐户 的值:
“管理工具” →“Internet 信息服务 (IIS)
管理器”
→右键单击“本地计算机” →“属性” →选中“允许直接编辑配置数据库” 复选框→“确定” → 浏览至 MetaBase. xml 文件的位置, 默认情况下为 C: \Windows\system32\inetsrv → 右键单击 MetaBase. xml 文件→ “编辑”
→ 搜索“AnonymousUserName” 属性, →键入 IUSR 帐户 的新名 称→在“文件” 菜单上→单击“退出” →单击“是”。
⑧使用应用程序池来隔离应用程序, 提高 WEB 服务器的可靠性和安全性。
创建应用程序池:
“管理工具” →“Internet 信息服务 (IIS)
管理器”
→本地计算机→右键单击“应用程序池” →“新建” →“应用程序池” →在“应用程序池 ID” 框中 , 为应用 程序池键入一个新 ID→ “应用 程序池设置”
→ “Use default settings for the new application pool”( 使用新应用程序池的默认设置)
→“确定”。
将网站或应用程序分配到应用程序池:
“管理工具”→ “Internet 信息服务 (IIS)
管理器”
→ 右键单击您想要分配到应用程序池的网站或应用程序→“属性” →“主目 录”、“虚拟目 录” 或“目 录” 选项卡, 如果将目 录或虚拟目 录分配到应用程序池, 则验证“应用程序名 ” 框是否包含正确的网站或应用程序名 称,( 如果在“应用程序名 ” 框中没有名 称, 则单击“创建”, 然后键入网站或应用程序的名 称)→“应用程序池” 列表框→单击您想要分配网站或应用程序的应用程序池的名 称→“确定”。
经过以上设置,
IIS 安全性有了 很大的提升, 但一些不法攻击者会不断寻找新漏洞来攻击 WEB 服务系统, 所以我们一定要养成及时修补系统漏洞的习惯, 并不断提高管理人员 的网络技术水平, 确保企业 WEB 服务器有一个安全、 稳定、 高效的运行环境。
参考文献:
[1] 王淑江, 刘晓辉, 张奎亭.
WindowsServer2003 系统安全管理[M] . 北京: 电子工业出版社,
2009.
[2] 托洛斯. iis6 管理指南[M] . 北京: 清华大学出版社, 2005.
[3] 李新, 李成友. 基于 Windows 系统的 Web 服务器安全研究与实践[J] . 教育信息化, 2006, (4) .
[4] 马琰. 如何提高个人 Web 服务器的安全性[J] . 职业圈, 2007, (9) .
[5] 王远哲. 细说高校 WEB 服务器安全[J] . 电脑知识与技术, 2008, (9) .
[6] 田巍. 四川航空股份有限公司 网络安全方案可行性分析和规划[M] . 北京: 电子科技大学, 2005
推荐访问:安全部署企业WEB服务器 部署 服务器 企业