Win2000+IIS 5.0安全配置規范

2024-08-29 03:09:51

字體：大中小

來源：轉載

供稿：網友

　一、 windows 2000安全配置

　　■．確保所有磁盤分區為NTFS分區
　　■．操作系統、Web主目錄、日志分別安裝在不同的分區
　　■．不要安裝不需要的協議，比如IPX/SPX, NetBIOS?
　　■．不要安裝其它任何操作系統
　　■．安裝Service Pack
　　■．安裝hotfix，一般需要安裝如下補丁
　　* Q260347_W2K_sp2_x86_cn(IISCrosssite)
　　* Q262694_W2K_SP2_x86_CN(resetBrowseForm)
　　* Q269049_W2K_SP2_x86_CN(shellpath)
　　* Q269862_W2K_SP2_x86_CN(unicode)
　　* Q270676_W2K_SP2_x86_CN(shurufa)
　　* Q272743_W2K_SP2_x86_CN(NTLM)
　　* Q277873_W2K_sp2_x86_CN(filerequest)
　　* Q278499_W2K_sp2_x86_CN(indexserv)
　　* Q280322_W2K_sp2_x86_CN(malwebform)
　　* q285851_w2k_sp3_x86_cn(netdde)
　　具體可參考微軟網站：http://www.microsoft.com/Windows2000/downloads
　　■．關閉所有不需要的服務
　　* Alerter (disable)
　　* ClipBook Server (disable)
　　* Computer Browser (disable)
　　* DHCP Client (disable)
　　* Directory Replicator (disable)
　　* FTP publishing service (disable)
　　* License Logging Service (disable)
　　* Messenger (disable)
　　* Netlogon (disable)
　　* Network DDE (disable)
　　* Network DDE DSDM (disable)
　　* Network Monitor (disable)
　　* Plug and Play (disable after all hardware configuration)
　　* Remote Access Server (disable)
　　* Remote Procedure Call (RPC) locater (disable)
　　* Schedule (disable)
　　* Server (disable)
　　* Simple Services (disable)
　　* Spooler (disable)
　　* TCP/IP Netbios Helper (disable)
　　* Telephone Service (disable)

　　在必要時禁止如下服務：
　　* SNMP service (optional)
　　* SNMP trap (optional)
　　* UPS (optional
　　設置如下服務為自動啟動：
　　* Eventlog ( required )
　　* NT LM Security Provider (required)
　　* RPC service (required)
　　* WWW (required)
　　* Workstation (leave service on:will be disabled later in the document)
　　* MSDTC (required)
　　* Protected Storage (required)
　　■. 刪除 OS/2 和 POSIX 子系統:
　　刪除如下目錄的任何鍵：
　　HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/OS/2 Subsystem for NT
　　刪除如下的鍵：
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SessionManager/Environment/Os2LibPath
　　刪除如下的鍵：
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems/Optional
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems/Posix
　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems/Os2

刪除如下目錄：
　　c:/winnt/system32/os2
　　■. 帳號和密碼策略
　　1）保證禁止guest帳號
　　2）將administrator改名為比較難猜的帳號
　　3）密碼唯一性：記錄上次的 6 個密碼
　　4）最短密碼期限：2
　　5）密碼最長期限：42
　　6）最短密碼長度：8
　　7）密碼復雜化(passfilt.dll)：啟用
　　8）用戶必須登錄方能更改密碼：啟用
　　9）帳號失敗登錄鎖定的門限：6
　　10）鎖定后重新啟用的時間間隔：720分鐘
　　■．保護文件和目錄
　　將C:/winnt, C:/winnt/config, C:/winnt/system32, C:/winnt/system等目錄的訪問權限做限制，限制everyone的寫權限，限制users組的讀寫權限
　　■．注冊表一些條目的修改
　　1）去除logon對話框中的shutdown按鈕
　　將HKEY_LOCAL_MACHINE/SOFTWARE
　　/Microsoft/Windows NT/Current Version/Winlogon/中
　　ShutdownWithoutLogon REG_SZ 值設為0
　　2）去除logon信息的cashing功能
　　將HKEY_LOCAL_MACHINE/SOFTWARE
　　/Microsoft/Windows NT/Current Version/Winlogon/中
　　CachedLogonsCount REG_SZ 值設為0
　　3）隱藏上次登陸的用戶名
　　將HKEY_LOCAL_MACHINE/SOFTWARE
　　/Microsoft/Windows NT/Current Version/Winlogon/中
　　DontDisplayLastUserName REG_SZ 值設為1
　　4）限制LSA匿名訪問
　　將HKEY_LOCAL_MACHINE/SYSTEM
　　/CurrentControlSet/Control/LSA中
　　RestricAnonymous REG_DWORD 值設為1
　　5）去除所有網絡共享
　　將HKEY_LOCAL_MACHINE/SYSTEM
　　/CurrentControlSet/Services/LanManServer/Parameters/中
　　AutoShareServer REG_DWORD 值設為0
　　■. 啟用TCP/IP過濾
　　只允許TCP端口80和443（如果使用SSL）
　　不允許UDP端口
　　只允許IP Protocol 6 (TCP)
　　■. 移動部分重要文件并加訪問控制：
　　創建一個只有系統管理員能夠訪問的目錄，將system32目錄下的一些重要文件移動到此目錄：
　　xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
　　edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
　　qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe,
　　secfixup.exe, nBTstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,
　　edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe
　　■．安裝防病毒軟件Norton 2000
　　■. 可以下載Hisecweb.inf安全模板來配置
　　Http://download.microsoft.com/downl...US/hisecweb.exe
　　該模板配置基本的 windows 2000 系統安全策略。
　　將該模板復制到 %windir%/security/templates 目錄。
　　打開“安全模板”工具，查看這些設置。
　　打開“安全配置和分析”工具，然后裝載該模板。
　　右鍵單擊“安全配置和分析”工具，然后從上下文菜單中選擇“立即分析計算機”。
　　等候操作完成。
　　查看結果，如有必要就更新該模板。
　　右鍵單擊“安全配置和分析”工具，然后從上下文菜單中選擇“立即配置計算機”。

二、IIS的安全配置

　　■．關閉并刪除默認站點：
　　默認FTP站點
　　默認Web站點
　　管理Web站點
　　■．建立自己的站點，與系統不在一個分區，如
　　D:/wwwroot3．建立 E:/Logfiles 目錄，以后建立站點時的日志文件均位于此目錄，確保此目錄上的訪問控制權限是： Administrators（完全控制）System（完全控制）
　　■．刪除IIS的部分目錄：
　　IISHelp C:/winnt/help/iishelp
　　IISAdmin C:/system32/inetsrv/iisadmin
　　MSADC C:/Program Files/Common Files/System/msadc/
　　刪除 C://inetpub
　　■. 刪除不必要的IIS映射和擴展：
　　IIS 被預先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調用由 DLL 處理。如果您不使用其中的某些擴展或功能，則應刪除該
　　映射，步驟如下：
　　打開 Internet 服務管理器：
　　選擇計算機名，點鼠標右鍵，選擇屬性：
　　然后選擇編輯
　　然后選擇主目錄，點擊配置
　　選擇擴展名 /".htw/",/".htr/",/".idc/",/".ida/",/".idq/"和/".printer/"，點擊刪除
　　如果不使用server side include，則刪除/".shtm/" /".stm/" 和 /".shtml/"
　　■. 禁用父路徑 :
　　“父路徑”選項允許您在對諸如 MapPath 函數調用中使用“..”。在默認情況下，該選項
　　處于啟用狀態，應該禁用它。
　　禁用該選項的步驟如下：
　　右鍵單擊該 Web 站點的根，然后從上下文菜單中選擇“屬性”。
　　單擊“主目錄”選項卡。
　　單擊“配置”。
　　單擊“應用程序選項”選項卡。
　　取消選擇“啟用父路徑”復選框。
　　■. 在虛擬目錄上設置訪問控制權限
　　主頁使用的文件按照文件類型應使用不同的訪問控制列表：
　　CGI (.exe, .dll, .cmd, .pl)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　腳本文件 (.asp)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　include 文件 (.inc, .shtm, .shtml)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　靜態內容 (.txt, .gif, .jpg, .html)
　　Everyone (R)
　　Administrators（完全控制）
　　System（完全控制）
　　在創建Web站點時，沒有必要在每個文件上設置訪問控制權限，應該為每個文件類型創建一個新目錄，然后在每個目錄上設置訪問控制權限、允許訪問控制權限傳給各個文件。
　　例如，目錄結構可為以下形式：
　　D:/wwwroot/myserver/static (.html)
　　D:/wwwroot/myserver/include (.inc)
　　D:/wwwroot/myserver /script (.asp)
　　D:/wwwroot/myserver /executable (.dll)
　　D:/wwwroot/myserver/images (.gif, .jpeg)
　　■. 啟用日志記錄
　　確定服務器是否被攻擊時，日志記錄是極其重要的。
　　應使用 W3C 擴展日志記錄格式，步驟如下：
　　打開 Internet 服務管理器：
　　右鍵單擊站點，然后從上下文菜單中選擇“屬性”。
　　單擊“Web 站點”選項卡。
　　選中“啟用日志記錄”復選框。
　　從“活動日志格式”下拉列表中選擇“W3C 擴展日志文件格式”。
　　單擊“屬性”。
　　單擊“擴展屬性”選項卡，然后設置以下屬性：
　　* 客戶 IP 地址
　　* 用戶名
　　* 方法
　　* URI 資源
　　* HTTP 狀態
　　* Win32 狀態
　　* 用戶代理
　　* 服務器 IP 地址
　　* 服務器端口