摘 要:web服务器是intranet(企业内部网)网站的核心,其中的数据资料非常重要,安全部署web服务器是企业面临的一项重要工作,系统安装、安全策略和iis安全策略对企业web服务器安全、稳定、高效地运行至关重要。
关键词:intranet;安全策略;组策略
web服务器是企业网intranet网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好web服务器中的资源,是一项至关重要的工作。本文主要介绍web服务器安全策略方面的相关知识。
1系统安装、系统安全策略配置
使用ntfs格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全web服务器的最低要求。
windows 2003 安装策略:
①系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如dns、dhcp,不需要的服务和协议一律不安装;只保留tcp/ip 一项并禁用netbois;安装windows2003最新补丁和防病毒软件。
②关闭windows2003不必要的服务。
关闭computer browser 、task scheduler 、routing and remote access、removable storage 、remote registry service、print spooler、ipsec policy agent 、distributed link tracking client、com+ event system 、alerter、error reporting service 、messenger 、telnet服务。LOCAlhOST
③设置磁盘访问权限。
系统磁盘只赋予administrators和system权限,系统所在目录(默认时为windows)要加上users的默认权限,以保障asp和aspx等应用程序正常运行。其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时,需加system用户权限,否则启动不成功。
④注册表hkey_local_machine/system/currentcontrolset/control/lsa,将dword值restrictanonymous的键值改为1,禁止 windows 系统进行空连接。
⑤关闭不需要的端口、更改远程连接端口。
本地连接→属性→internet协议(tcp/ip)→高级→选项→tcp/ip筛选→属性→把勾打上,添加需要的端口(如: 21、80)。
更改远程连接端口:开始→>运行→>输入regedit 查找3389:将 hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp和hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp下的portnumber=3389改为自宝义的端口号并重新启动服务器。
⑥编写批处理文件delshare.bat并在组策略中应用,以关闭默认共享的空连接。(以服务器有4个逻辑驱动器为例)
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
将以上内容写入delshare.bat并保存到系统所在文件夹下的system32\grouppolicy\user\scripts\logon目录下。运行gpedit.msc组策略编辑器,用户配置→windows设置→脚本(登录/注销)→登录→“登录 属性”→“添加”→“添加脚本”对话框的“脚本名”栏中输入delshare.bat→“确定”按钮→重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。
⑦限制匿名访问本机用户。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“对匿名连接的额外限制”→在下拉菜单中选择“不允许枚举sam帐号和共享”→“确定”。
⑧限制远程用户对光驱或软驱的访问 。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“只有本地登录用户才能访问软盘”→在单选按钮中选择“已启用(e)” → “确定”。
⑨限制远程用户对netmeeting的共享,禁用netmeeting远程桌面共享功能。 运行“gpedit.msc” →“计算机配置”→“管理模板”→“windows组件” →“netmeeting” →“禁用远程桌面共享”→右键→在单选按钮中选择“启用(e)”→“确定”。
⑩限制用户执行windows安装程序,防止用户在系统上安装软件。方法同(9)。
○11删除c:\windows\web\printers目录,避免溢出攻击(此目录的存在会造成iis里加入一个.printers的扩展名,可溢出攻击)。
○12删除c:\windows\syst
[1] [2] [3] 下一页