本文只是提供给大家一个思路,并没有详实具体的操作方法。 很明显,只做强系统是不行的,还得有其它更为强劲的保护措施,但本文只讨论2003的加强。
-----------------------------------
1、 删除IIS安装完成后在wwwroot下默认生成的一些目录。
2、 将不使用的IIS服务卸载或停用
3、 删除IIS自带的事例页面
4、 删除IIS自带的脚本,以防止黑客运行"cscript C:InetpubAdminScriptsadsutil.vbs get w3svc/inprocessisapiapps"提升权限的。
5、 系统的每个分区禁止everyone访问的。切记要让子文件夹继承父文件夹的限制。以防黑客自行添加路径跳转来提升权限
6、 每个网站用单独的IIS账户。新建一个单独的用户,这个用户应属于Guest组,权限很低的。只能访问特定的文件夹。这就使得了网站目录不能跳转,你只能访问本网站所在文件夹。
7、 日志安全:A.更改默认日志存放路径%WinDir%System32LogFiles(有相当多攻击者使用的日志清除工具都只使用于默认路径)B. 修改日志访问权限,设置只有管理员才能访问。
8、 将不同的网站跑在不同的应用程序池当中,即使被攻击网站Crash掉也不会影响其它网站的正常访问。
9、 启用系统自动锁定,以防止黑客通过屏保来提升权限。
10、 禁止磁盘自动运行,以防止黑客编写恶意autorun.inf文件来诱使管理运行取得权限。(组策略里面,位置你应该比我清楚。)
11、 禁用管理共享。Web服务器本来默认共享就起不到啥作用,禁用更为安全。HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters将AutoShareServer和AutoShareWks值设置为1。
12、 修改3389端口迷惑黑客。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp的PortNumber键设定了端口。
13、 禁用Telnet服务,这不用多说。禁用Remote Registry服务,防止黑客运程更改注册表。禁用Task Scheduler服务,防止黑客在取得一些小权限时使用AT命令来定时运行黑客工具提升权限。
14、 更改FTP的默认端口,这看到时候是使用啥FTP软件了。
15、 设置TCP/IP筛选,只开放要提供服务的端口。并定期netstat -an对服务器开放端口进行查看。
16、 定期对服务器账号进行查看。不要使用net user或lusrmgr.msc,因为黑客可能创建一些影子账号。最好的做法是查看注册表中如下图的位置。
17、 定期查看系统中服务的运行状态和执行文件的名称和路径。与以前的状态做对比,以防止黑客留后门时替换系统服务。脚本我已经写好ServicesState.vbs(http://www.cnitblog.com/fulin/archive/2006/07/16/13737.html),用Cscript执行并自己定向一个Txt文件的输出,查看比较方便。
18、 最绝的就是把*.cpl和*.msc文件全部都搜索出来放到一个新建的文件夹中,再设置相应管理员的访问权限,哈哈。
19、 设置强密码;审核。对重要数据进行EFS加密,IPSec等等一系列套餐。
评论前必须登录!
注册