Web服务器安全强化（思路）

本文只是提供给大家一个思路，并没有详实具体的操作方法。 很明显，只做强系统是不行的，还得有其它更为强劲的保护措施，但本文只讨论2003的加强。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

1、              删除IIS安装完成后在wwwroot下默认生成的一些目录。

 

2、              将不使用的IIS服务卸载或停用

 

3、              删除IIS自带的事例页面

 

4、              删除IIS自带的脚本，以防止黑客运行"cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps"提升权限的。

 

5、              系统的每个分区禁止everyone访问的。切记要让子文件夹继承父文件夹的限制。以防黑客自行添加路径跳转来提升权限

 

6、              每个网站用单独的IIS账户。新建一个单独的用户，这个用户应属于Guest组，权限很低的。只能访问特定的文件夹。这就使得了网站目录不能跳转，你只能访问本网站所在文件夹。

 

7、              日志安全：A.更改默认日志存放路径%WinDir%System32LogFiles（有相当多攻击者使用的日志清除工具都只使用于默认路径）B. 修改日志访问权限，设置只有管理员才能访问。

 

8、              将不同的网站跑在不同的应用程序池当中，即使被攻击网站Crash掉也不会影响其它网站的正常访问。

 

9、              启用系统自动锁定，以防止黑客通过屏保来提升权限。

10、           禁止磁盘自动运行，以防止黑客编写恶意autorun.inf文件来诱使管理运行取得权限。（组策略里面，位置你应该比我清楚。）

11、           禁用管理共享。Web服务器本来默认共享就起不到啥作用，禁用更为安全。HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters将AutoShareServer和AutoShareWks值设置为1。

 

12、           修改3389端口迷惑黑客。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp的PortNumber键设定了端口。

 

13、           禁用Telnet服务，这不用多说。禁用Remote Registry服务，防止黑客运程更改注册表。禁用Task Scheduler服务，防止黑客在取得一些小权限时使用AT命令来定时运行黑客工具提升权限。

 

14、           更改FTP的默认端口，这看到时候是使用啥FTP软件了。

 

15、           设置TCP/IP筛选，只开放要提供服务的端口。并定期netstat -an对服务器开放端口进行查看。

 

16、           定期对服务器账号进行查看。不要使用net user或lusrmgr.msc，因为黑客可能创建一些影子账号。最好的做法是查看注册表中如下图的位置。

17、           定期查看系统中服务的运行状态和执行文件的名称和路径。与以前的状态做对比，以防止黑客留后门时替换系统服务。脚本我已经写好ServicesState.vbs（http://www.cnitblog.com/fulin/archive/2006/07/16/13737.html），用Cscript执行并自己定向一个Txt文件的输出，查看比较方便。