欢迎光临
我们一直在努力

Web服务器安全强化(思路)

本文只是提供给大家一个思路,并没有详实具体的操作方法。 很明显,只做强系统是不行的,还得有其它更为强劲的保护措施,但本文只讨论2003的加强。
-----------------------------------

1、              删除IIS安装完成后在wwwroot下默认生成的一些目录。

 

 

2、              将不使用的IIS服务卸载或停用

 

 

3、              删除IIS自带的事例页面

 

 

4、              删除IIS自带的脚本,以防止黑客运行"cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps"提升权限的。

 

 

5、              系统的每个分区禁止everyone访问的。切记要让子文件夹继承父文件夹的限制。以防黑客自行添加路径跳转来提升权限

 

 

6、              每个网站用单独的IIS账户。新建一个单独的用户,这个用户应属于Guest组,权限很低的。只能访问特定的文件夹。这就使得了网站目录不能跳转,你只能访问本网站所在文件夹。

 

 

7、              日志安全:A.更改默认日志存放路径%WinDir%System32LogFiles(有相当多攻击者使用的日志清除工具都只使用于默认路径)B. 修改日志访问权限,设置只有管理员才能访问。

 

 

8、              将不同的网站跑在不同的应用程序池当中,即使被攻击网站Crash掉也不会影响其它网站的正常访问。

 

 

9、              启用系统自动锁定,以防止黑客通过屏保来提升权限。
""

10、           禁止磁盘自动运行,以防止黑客编写恶意autorun.inf文件来诱使管理运行取得权限。(组策略里面,位置你应该比我清楚。)
""

11、           禁用管理共享。Web服务器本来默认共享就起不到啥作用,禁用更为安全。HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParametersAutoShareServerAutoShareWks值设置为1

 

 

12、           修改3389端口迷惑黑客。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcpHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber键设定了端口。

 

 

13、           禁用Telnet服务,这不用多说。禁用Remote Registry服务,防止黑客运程更改注册表。禁用Task Scheduler服务,防止黑客在取得一些小权限时使用AT命令来定时运行黑客工具提升权限。

 

 

14、           更改FTP的默认端口,这看到时候是使用啥FTP软件了。

 

 

15、           设置TCP/IP筛选,只开放要提供服务的端口。并定期netstat -an对服务器开放端口进行查看。

 

 

16、           定期对服务器账号进行查看。不要使用net userlusrmgr.msc,因为黑客可能创建一些影子账号。最好的做法是查看注册表中如下图的位置。
""

17、           定期查看系统中服务的运行状态和执行文件的名称和路径。与以前的状态做对比,以防止黑客留后门时替换系统服务。脚本我已经写好ServicesState.vbshttp://www.cnitblog.com/fulin/archive/2006/07/16/13737.html,用Cscript执行并自己定向一个Txt文件的输出,查看比较方便。

 

 

18、              最绝的就是把*.cpl*.msc文件全部都搜索出来放到一个新建的文件夹中,再设置相应管理员的访问权限,哈哈。

 

 

19、              设置强密码;审核。对重要数据进行EFS加密,IPSec等等一系列套餐。

 

赞(0) 打赏
未经允许不得转载:席天卷地个人博客 » Web服务器安全强化(思路)
分享到: 更多 (0)
标签:

评论 抢沙发

评论前必须登录!

 

QQ :13945502电话:13913571631

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

×
订阅图标按钮