Windows WEB服务器配置安全规范(试行版)

一、安装Win200x安全概览1.硬盘分区的文件系统选择2.组件的定制3.接入网络时间4.账户安全管理5.安全审核6.卸载无用的组件模块二、基本系统设置1.安装各种补丁2.分区内容规划3.协议管理4.关闭所有以下不需要的服务5.删除OS/2和POSIX子系统6.帐号和密码策略7.设置文件和目录权限8.注册表一些条目的修改9.启用TCP/IP过滤10.移动部分重要文件并加访问控制11.下载Hisecweb.inf安全模板来配置系统12.服务器上其他工具程序的替代13.设置陷阱脚本14.取消部分危险文件扩展名15.关闭445端口16.关闭DirectDraw17.禁止dumpfile的产生和自动清除页面文件18.禁止从软盘和CDROM启动系统19.锁住注册表的访问权限20.使用IPSec增强IP数据包的安全性21.考虑使用智能卡来代替密码22.将服务器隐藏起来23.Win2003中提高FSO的安全性三、IIS安全设置1.关闭并删除默认站点2.建立自己的站点，与系统不在一个分区3.删除IIS的部分目录4.删除不必要的IIS映射和扩展5.禁用父路径6.在虚拟目录上设置访问控制权限7.启用日志记录8.备份IIS配置9.修改IIS标志10.重定义错误信息11.Win2003中提高FSO的安全性12.防止ASP木马在服务器上运行四、数据安全及备份管理1.备份2.设置文件共享权限3.防止文件名欺骗4.Access数据库的安全概要5.MSSQL注入攻击的防范6.MSSQLServer的基本安全策略7.使用应用层过滤防范URL入侵8.PHP木马的攻击的防御之道五、其他辅助安全措施六、简单设置防御小流量DDOS攻击七、日常安全检查一、安装Win200x安全概览1.硬盘分区的文件系统选择①使用多分区分别管理不同内容在安装Win2000时，如条件许可，应至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区。尽量修改“我的文档”及“OutlookExpress”等应用程序的默认文件夹位置，使其位置不在系统分区。对提供服务的机器，可按如下设置分区:分区1：系统分区，安装系统和重要日志文件。分区2：提供给IIS使用。分区3：提供给FTP使用。分区4：放置其他一些资料文件。（以上为示例，可灵活把握）②采用NTFS文件系统所有磁盘分区必须采用NTFS文件系统，而不要使用FAT32！特别注意：一定要在系统安装时，通过安装程序将系统盘格式化为NTFS，而不要先以FAT32格式安装系统，然后再用Convert转换！因为转换后的磁盘根目录的默认权限过高！③使用文件加密系统EFSWindows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。有关EFS的具体信息可以查看注意：建议加密temp文件夹！因为一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。2.组件的定制不要按Win2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。典型Web服务器需要的最小组件是：公用文件、Internet服务管理器、服务器。3.接入网络时间在安装完成Win2000操作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。4.账户安全管理1）账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。2）停用Guest账号，并给Guest加一个复杂的密码。3）把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。4）不让系统显示上次登录的用户名，具体**作如下：修改注册表“HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName”的键值，把REG_SZ的键值改成1。5.安全审核在“管理工具→远程控制服务配置→连接”处，右键点击“RPD-TCP”连接，选择“属性”，在其窗口选中“权限”，点击右下角的“高级”，选择“审核”，增加一个“everyone”组，审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：策略设置审核系统登陆事件成功，失败审核帐户管理成功，失败审核登陆事件成功，失败审核对象访问成功审核策略更改成功，失败审核特权使用成功，失败审核系统事件成功，失败6.卸载无用的组件模块将\Winnt\inf下的sysoc.inf文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。二、基本系统设置1.安装各种补丁安装ServicePack和最新的hotfix；安装SQL和IIS系列补丁。如果从本地备份中安装，则随后必须立即通过在线更新功能查验是否有遗漏的补丁没有安装。建议启用系统自动更新功能，并设置为有更新时自动下载安装。注意：建议记得安装最新的MDAC（）MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，且MDAC一般不以补丁形式发放的，比较容易漏更新。为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，详见漏洞测试文档。2.分区内容规划1）操作系统、Web主目录、日志分别安装在不同的分区。2）关闭任何分区的自动运行特性：可以使用TweakUI等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。3.协议管理卸载不需要的协议，比如IPX/SPX,NetBIOS；在连接属性对话框的TCP)/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。4.关闭所有以下不需要的服务以下仅供参考，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的储存关系，个性为当可能导致某些功能的异常，甚至服务器不能工作！建议每次只个性两三个项目，重启测试无误后再设置其他项目！*Alerter(disable)*ClipBookServer(disable)*ComputerBrowser(disable)*DHCPClient(disable)*DirectoryReplicator(disable)*FTPpublishingservice(disable)*LicenseLoggingService(disable)*Messenger(disable)*Netlogon(disable)*NetworkDDE(disable)*NetworkDDEDSDM(disable)*NetworkMonitor(disable)****PlugandPlay(disableafterallhardwareconfiguration)*****RemoteAccessServer(disable)*RemoteProcedureCall(RPC)locater(disable)*Schedule(disable)*Server(disable)*SimpleServices(disable)*Spooler(disable)*TCP/IPNetbiosHelper(disable)****TelephoneService(disable)****在必要时禁止如下服务：*SNMPservice(optional)*SNMPtrap(optional)*UPS(optional设置如下服务为自动启动：*Eventlog(required)*NTLMSecurityProvider(required)*RPCservice(required)*(required)*Workstation(leaveserviceon:willbedisabledlaterinthedocument．*MSDTC(required)*ProtectedStorage(required)5.删除OS/2和POSIX子系统:删除如下目录的任何键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2SubsystemforNT删除如下的键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath删除如下的键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\OptionalHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\PosixHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\SubSystems\Os2删除如下目录：c:\winnt\system32\os2但会出现文件保护的提示，建议不删除，修改注册表就可以了6.帐号和密码策略1）保证禁止guest帐号2）将administrator改名为比较难猜的帐号3）密码唯一性：记录上次的6个密码4）最短密码期限：25）密码最长期限：426）最短密码长度：87）密码复杂化(passfilt.dll)：启用8）用户必须登录方能更改密码：启用9）帐号失败登录锁定的门限：610）锁定后重新启用的时间间隔：720分钟11）本地安全策略：设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。在安全选项中，不显示上次登录用户名、重命名管理员账号名称（某些情况下可能导致个别程序运行异常！）；在用户权力指派中，限制更改系统时间、关闭系统的权力仅管理员。7.设置文件和目录权限将C:\winnt,C:\winnt\config,C:\winnt\system32,C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限；将各分区的根目录的everyone从权限列表中删除!然后分别添加Administrators、PowerUsers、Users、IUSR_***以不同的权限。不要给Guests任何权限。运行Sfc/enable启动文件保护机制。8.注册表一些条目的修改1）去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\P