安全部署企业WEB服务器

时间:2022-07-17 19:15:02 公文范文 来源:网友投稿

下面是小编为大家整理的安全部署企业WEB服务器,供大家参考。

安全部署企业WEB服务器

 

 安全部署企业 WEB 服务器

 摘 要:

 WEB 服务器是 Intranet( 企业内部网)

 网站的核心, 其中的数据资料非常重要, 安全部署 WEB 服务器是企业面临的一项重要工作, 系统安装、 安全策略和 IIS 安全策略对企业 WEB 服务器安全、 稳定、 高效地运行至关重要。

  关键词:

 Intranet; 安全策略; 组策略

 WEB 服务器是企业网 Intranet 网站的核心, 其中的数据资料非常重要, 一旦遭到破坏将会给企业造成不可弥补的损失, 管理好、 使用好、 保护好 WEB 服务器中的资源, 是一项至关重要的工作。

 本文主要介绍 WEB 服务器安全策略方面的相关知识。

 1 系统安装、 系统安全策略配置

 使用 NTFS 格式分区、设置不同的用户 访问服务器的不同权限是搭建一台安全 WEB服务器的最低要求。

  Windows 2003 安装策略:

  ①系统安装在单独的逻辑驱动器并自 定义安装目 录; 以“最小的权限+最少的服务=最大的安全” 为基本理念, 只安装所必需的服务和协议, 如 DNS、 DHCP, 不需要 的 服务和 协 议一 律不 安装 ; 只 保留 TCP/IP 一 项 并 禁用 NETBOIS; 安装Windows2003 最新补丁和防病毒软件。

  ②关闭 windows2003 不必要的服务。

  关闭 Computer Browser 、 Task scheduler 、 Routing and Remote Access、Removable storage 、 Remote Registry Service、 Print Spooler、 IPSEC Policy Agent 、 Distributed Link Tracking Client、 Com+ Event System 、 Alerter、Error Reporting Service 、 Messenger 、 Telnet 服务。

  ③设置磁盘访问权限。

  系 统磁盘只 赋予 administrators 和 system 权限, 系 统所在目 录( 默认时为Windows)

 要加上 users 的默认权限, 以保障 ASP 和 ASPX 等应用程序正常运行。其他磁盘可以此为参照, 当某些第三方应用程序以服务形式启动时, 需加 system用户 权限, 否则启动不成功。

  ④注册表 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA, 将DWORD 值 RestrictAnonymous 的键值改为 1, 禁止 Windows 系统进行空连接。

  ⑤关闭不需要的端口 、 更改远程连接端口 。

  本地连接→属性→Internet 协议(TCP/IP) →高级→选项→TCP/IP 筛选→属性→把勾打上, 添加需要的端口 (如:

 21、 80) 。

 更改远程连接端口 :

 开始→ > 运行→ > 输入 regedit 查找 3389:

 将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcpHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 下的 PortNumber=3389 改为自 宝义的端口 号并重新启动服务器。

  ⑥编写批处理文件 delshare. bat 并在组策略中应用, 以关闭默认共享的空连接。( 以服务器有 4 个逻辑驱动器为例)

  net share C$ /delete

 net share D$ /delete 和

  net share E$ /delete

 net share F$ /delete

 net share admin$ /delete

 将 以 上 内 容 写 入system32\GroupPolicy\User\Scripts\Logon 目 录下。

 运行 gpedit. msc 组策略编辑器, 用户 配置→Windows 设置→脚本(登录/注销) →登录→“登录 属性” →“添加” →“添加脚本” 对话框的“脚本名 ” 栏中输入 delshare. bat→“确定” 按钮→重新启动服务器, 即可自 动关闭系统的默认隐藏共享, 将系统安全隐患降至最低。

  ⑦限制匿名 访问本机用户 。

 “开始” →“程序” →“管理工具” →“本地安全策略” →“本地策略” →“安全选项” →双击“对匿名 连接的额外限制” →在下拉菜单中选择“不允许枚举 SAM 帐号和共享” →“确定”。

 ⑧限制远程用户 对光驱或软驱的访问 。

 “开始” →“程序” →“管理工具” →“本地安全策略” →“本地策略” →“安全选项” →双击“只有本地登录用户 才能访问软盘” →在单选按钮中选择“已启用(E) ”

 → “确定”。

 ⑨限制远程用户 对 NetMeeting 的共享, 禁用 NetMeeting 远程桌面共享功能。

 运行“gpedit. msc”

 → “计算机配置” → “管理模板” → “Windows 组件”

 →“NetMeeting”

 →“禁用远程桌面共享” →右键→在单选按钮中选择“启用(E) ”→“确定”。

 ⑩限制用户 执行 Windows 安装程序, 防止用户 在系统上安装软件。

 方法同( 9)。

 ○11 删除 C: \WINDOWS\WEB\printers 目 录, 避免溢出攻击( 此目 录的存在会造成 IIS 里加入一个. printers 的扩展名 , 可溢出攻击)。

  ○12 删除 C: \WINDOWS\system32\inetsrv\iisadmpwd, 此目 录在管理 IIS 密码时使用( 如因密码不同步造成 500 错误时使用 OWA 或 Iisadmpwd 修改同步密码),当把账户 策略 >

 密码策略 >

 密码最短使用期限 设为 0 天[即密码不过期时, 可避免 IIS 密码不同步问题。

 这里就可删掉此目 录。

  ○13 修改注册表防止小规模 DDOS 攻击。

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 "DWORD 值"名 为 "SynAttackProtect" 数值为"1"

 ○14 本地策略→安全选项:

  将清除虚拟内存页面文件 、 不显示上次的用户 名 、 不需要按 CTRL+ALT+DEL、 不允许 SAM 账户 的匿名 枚举、 不允许 SAM 账户 和共享的匿名 枚举、 均更改为"已启用" ; 重命名 来宾账户

 更改成一个复杂的账户 名 ; 重命名 系统管理员 账号, 更改一个自 己用的账号, 同时建立一个无用户 组的 Administrat 账户 。

 2IIS 安全策略应用

  ①不使用默认的 WEB 站点, 将 IIS 目 录与系统磁盘分开。

  将网站内容移动到非系统驱动器, 不使用默认的 \Inetpub\Wwwroot 目 录, 以减轻目 录遍历攻击( 这种攻击试图浏览 WEB 服务器的目 录结构)

 带来的危险( 一定要验证所有的虚拟目 录是否均指向目 标驱动器)。

  ②删除 IIS 默认创建的 Inetpub 目 录(在系统磁盘上) 并配置网站访问权限。

 为WEB 服务器配置站点、 目 录和文件的访问权限。

  ③删除系统盘下的虚拟目 录:

 vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。

  ④删除不必要的 IIS 扩展名 映射。

 delshare. bat并 保 存 到 系 统 所 在 文 件 夹 下 的

  右键单击“默认 WEB 站点→属性→主目 录→配置”, 打开应用程序窗口 , 去掉不必要的应用程序映射, 主要为 shtml、 shtm、 stm。

  ⑤更改 IIS 日 志的路径。

 右键单击“默认 WEB 站点→属性→网站→在启用日 志记录下→点击属性更改设置。

  ⑥只选择网站和 WEB 应用程序正确运行所必需的服务和子组件。

 开始→控制面板→

 添加或删除程序→ 添加/删除 Windows 组件→应用程序服务器→ 详细信息→

 Internet 信息服务 (IIS)

 → 详细信息→然后通过选择或清除相应组件或服务的复选框, 来选择或取消相应的 IIS 组件和服务。

 IIS 子组件和服务的推荐设置:

 禁用:

 后台智能传输服务 (BITS)

 服务器扩展、 FTP 服务、 FrontPage 2002 Server Extensions、 Internet 打印、 NNTP 服务。

 启用:

 公用文件、 Internet 信息服务管理器、 万维网服务。

  ⑦删除未使用的帐户 , 设置强密码, 使用以最低特权的帐户 。

 避免攻击者通过使用以高级特权运行的帐户 来获取未经授权的资源访问权。

 限制对服务器的匿名 连接, 确保禁用来宾帐户 ; 重命名 管理员 帐户 并分配一个强密码以增强安全性。

 重命名

 IUSR 帐户 。

  在 IIS 元数据库中更改 IUSR 帐户 的值:

 “管理工具” →“Internet 信息服务 (IIS)

 管理器”

 →右键单击“本地计算机” →“属性” →选中“允许直接编辑配置数据库” 复选框→“确定” → 浏览至 MetaBase. xml 文件的位置, 默认情况下为 C: \Windows\system32\inetsrv → 右键单击 MetaBase. xml 文件→ “编辑”

 → 搜索“AnonymousUserName” 属性, →键入 IUSR 帐户 的新名 称→在“文件” 菜单上→单击“退出” →单击“是”。

  ⑧使用应用程序池来隔离应用程序, 提高 WEB 服务器的可靠性和安全性。

  创建应用程序池:

 “管理工具” →“Internet 信息服务 (IIS)

 管理器”

 →本地计算机→右键单击“应用程序池” →“新建” →“应用程序池” →在“应用程序池 ID” 框中 , 为应用 程序池键入一个新 ID→ “应用 程序池设置”

 → “Use default settings for the new application pool”( 使用新应用程序池的默认设置)

 →“确定”。

 将网站或应用程序分配到应用程序池:

 “管理工具”→ “Internet 信息服务 (IIS)

 管理器”

 → 右键单击您想要分配到应用程序池的网站或应用程序→“属性” →“主目 录”、“虚拟目 录” 或“目 录” 选项卡, 如果将目 录或虚拟目 录分配到应用程序池, 则验证“应用程序名 ” 框是否包含正确的网站或应用程序名 称,( 如果在“应用程序名 ” 框中没有名 称, 则单击“创建”, 然后键入网站或应用程序的名 称)→“应用程序池” 列表框→单击您想要分配网站或应用程序的应用程序池的名 称→“确定”。

 经过以上设置,

 IIS 安全性有了 很大的提升, 但一些不法攻击者会不断寻找新漏洞来攻击 WEB 服务系统, 所以我们一定要养成及时修补系统漏洞的习惯, 并不断提高管理人员 的网络技术水平, 确保企业 WEB 服务器有一个安全、 稳定、 高效的运行环境。

 参考文献:

 [1] 王淑江, 刘晓辉, 张奎亭.

 WindowsServer2003 系统安全管理[M] . 北京: 电子工业出版社,

 2009.

 [2] 托洛斯. iis6 管理指南[M] . 北京: 清华大学出版社, 2005.

 [3] 李新, 李成友. 基于 Windows 系统的 Web 服务器安全研究与实践[J] . 教育信息化, 2006, (4) .

 [4] 马琰. 如何提高个人 Web 服务器的安全性[J] . 职业圈, 2007, (9) .

 [5] 王远哲. 细说高校 WEB 服务器安全[J] . 电脑知识与技术, 2008, (9) .

 [6] 田巍. 四川航空股份有限公司 网络安全方案可行性分析和规划[M] . 北京: 电子科技大学, 2005

推荐访问:安全部署企业WEB服务器 部署 服务器 企业