web服务器安全设置

一、安装 Win 200x 安全概览
1.硬盘分区的文件系统选择
2.组件的定制
3.接入网络时间
4.账户安全管理
5.安全审核
6.卸载无用的组件模块

二、基本系统设置
1.安装各种补丁
2.分区内容规划
3.协议管理
4.关闭所有以下不需要的服务
5.删除 OS/2 和 POSIX 子系统
6.帐号和密码策略
7.设置文件和目录权限
8.注册表一些条目的修改
9.启用TCP/IP过滤
10.移动部分重要文件并加访问控制
11.下载Hisecweb.inf安全模板来配置系统
12. 服务器上其他工具程序的替代
13.设置陷阱脚本
14.取消部分危险文件扩展名
15.关闭 445 端口
16.关闭 DirectDraw
17.禁止dump file的产生和自动清除页面文件
18.禁止从软盘和CD ROM启动系统
19.锁住注册表的访问权限
20.使用IPSec增强IP数据包的安全性
21.考虑使用智能卡来代替密码
22.将服务器隐藏起来
23.Win 2003中提高FSO的安全性

三、IIS 安全设置
1.关闭并删除默认站点
2.建立自己的站点，与系统不在一个分区
3.删除IIS的部分目录
4.删除不必要的IIS映射和扩展
5.禁用父路径
6.在虚拟目录上设置访问控制权限
7.启用日志记录
8.备份IIS配置
9.修改IIS标志
10.重定义错误信息
11.Win 2003中提高FSO的安全性

四、数据 安全及备份管理
1.备份
2.设置文件共享权限
3.防止文件名欺骗
4.Access数据库的安全概要
5.MSSQL 注入攻击的防范
6.MSSQL Server 的基本安全策略
7.使用应用层过滤防范URL入侵
8.PHP木马的攻击的防御之道

五、其他辅助安全措施

六、简单设置防御小流量DDOS攻击

七、日常安全检查

———————————————————————

一、安装 Win 200x 安全概览
1.硬盘分区的文件系统选择
①使用多分区分别管理不同内容
在安装Win 2000时，如条件许可，应至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置，使其位置不在系统分区。对提供服务的机器，可按如下设置分区:
—————————————————————-
分区1：系统分区，安装系统和重要日志文件。
分区2：提供给IIS使用。
分区3：提供给FTP使用。
分区4：放置其他一些资料文件。（以上为示例，可灵活把握）
—————————————————————–

②采用NTFS文件系统
所有磁盘分区必须采用 NTFS 文件系统，而不要使用 FAT32！
特别注意：一定要在系统安装时，通过安装程序将系统盘格式化为NTFS，而不要先以 FAT32 格式安装系统，然后再用 Convert 转换！因为转换后的磁盘根目录的默认权限过高！

③使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp
注意：建议加密temp文件夹！因为一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。

2.组件的定制
不要按Win 2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。
典型Web服务器需要的最小组件是：
公用文件、Internet 服务管理器、WWW服务器。

3.接入网络时间
在安装完成Win 200*作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。
补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。

4.账户安全管理
1）账户要尽可能少，并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。
2）停用Guest账号，并给Guest 加一个复杂的密码。
3）把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。
4）不让系统显示上次登录的用户名，具体作如下：
修改注册表“HKLMSoftwareMicrosoft WindowsNT Current VersionWinlogonDont Display Last User Name”的键值，把REG_SZ 的键值改成1。

5.安全审核
在“管理工具→远程控制服务配置→连接”处，右键点击“RPD-TCP”连接，选择“属性”，在其窗口选中“权限”，点击右下角的“高级”，选择“审核”，增加一个“everyone”组，审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→ 安全日记”可看到该审核记录。

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：
策略 设置
审核系统登陆事件 成功，失败
审核帐户管理 成功，失败
审核登陆事件 成功，失败
审核对象访问 成功
审核策略更改 成功，失败
审核特权使用 成功，失败
审核系统事件 成功，失败
　

6.卸载无用的组件模块
将%System%Winntinf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。

二、基本系统设置
1.安装各种补丁
安装Service Pack 和最新的hotfix；安装SQL和IIS系列补丁。
如果从本地备份中安装，则随后必须立即通过在线更新功能查验是否有遗漏的补丁没有安装。
建议启用系统自动更新功能，并设置为有更新时自动下载安装。

注意：建议记得安装最新的MDAC（http://www.microsoft.com/data/download.htm）
　　 MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，且MDAC一般不以补丁形式发放的，比较容易漏更新。为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测
试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，详见漏洞测试文档。

2.分区内容规划
1）操作系统、Web主目录、日志分别安装在不同的分区。
2）关闭任何分区的自动运行特性：
可以使用 TweakUI 等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。

3.协议管理
卸载不需要的协议，比如IPX/SPX, NetBIOS；
在连接属性对话框的TCP)/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。

4.关闭所有以下不需要的服务
以下仅供参考，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的储存关系，个性为当可能导致某些功能的异常，甚至服务器不能工作！建议每次只个性两三个项目，重启测试无误后再设置其他项目！
* Alerter (disable)
* ClipBook Server (disable)
* Computer Browser (disable)
* DHCP Client (disable)
* Directory Replicator (disable)
* FTP publishing service (disable)
* License Logging Service (disable)
* Messenger (disable)
* Netlogon (disable)
* Network DDE (disable)
* Network DDE DSDM (disable)
* Network Monitor (disable)
**** Plug and Play (disable after all hardware configuration)****
* Remote Access Server (disable)
* Remote Procedure Call (RPC) locater (disable)
* Schedule (disable)
* Server (disable)
* Simple Services (disable)
* Spooler (disable)
* TCP/IP Netbios Helper (disable)
* ***Telephone Service (disable)****
在必要时禁止如下服务：
* SNMP service (optional)
* SNMP trap (optional)
* UPS (optional
设置如下服务为自动启动：
* Eventlog ( required )
* NT LM Security Provider (required)
* RPC service (required)
* WWW (required)
* Workstation (leave service on: will be disabled later in the document．
* MSDTC (required)
* Protected Storage (required)

5.删除 OS/2 和 POSIX 子系统:
删除如下目录的任何键：
HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2 Subsystem for NT
删除如下的键：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironmentOs2LibPath
删除如下的键：
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptional
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosix
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2
删除如下目录：c:winntsystem32os2 但会出现文件保护的提示，建议不删除，修改注册表就可以了

6.帐号和密码策略
1）保证禁止guest帐号
2）将administrator改名为比较难猜的帐号
3）密码唯一性：记录上次的 6 个密码
4） 最短密码期限：2
5） 密码最长期限：42
6） 最短密码长度：8
7） 密码复杂化(passfilt.dll)：启用
8） 用户必须登录方能更改密码：启用
9） 帐号失败登录锁定的门限：6
10）锁定后重新启用的时间间隔：720分钟
11）本地安全策略：
设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。
在安全选项中，不显示上次登录用户名、重命名管理员账号名称（某些情况下可能导致个别程序运行异常！）；在用户权力指派中，限制更改系统时间、关闭系统的权力仅管理员。

7.设置文件和目录权限
将C:winnt, C:winntconfig, C:winntsystem32, C:winntsystem等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限；
将各分区的根目录的everyone从权限列表中删除!然后分别添加Administrators、PowerUsers、Users、IUSR_***以不同的权限。不要给Guests任何权限。
运行Sfc /enable 启动文件保护机制。
　

8.注册表一些条目的修改
1） 去除logon对话框中的shutdown按钮
将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
中 ShutdownWithoutLogon REG_SZ 值设为0
2）去除logon信息的cashing功能
将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中
CachedLogonsCount REG_SZ 值设为0
3）隐藏上次登陆的用户名
将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中
DontDisplayLastUserName REG_SZ 值设为1
4）限制LSA匿名访问
将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中
RestricAnonymous REG_DWORD 值设为1
5）去除所有网络共享
将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters中
AutoShareServer REG_DWORD 值设为0
再创建一个AutoShareWks双字节值，设置为0（注意大小写）。
6）禁止建立空连接
默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。可以通过以下两种方法禁止
建立空连接。
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成1
7）修改终端服务的默认端口
终端服务的默认端口为3389，可考虑修改为别的端口。修改方法为：
打开注册表，在“HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations”处
找到类似RDP-TCP的子键，修改PortNumber值。

9.启用TCP/IP过滤
只允许TCP端口80和443（如果使用SSL）以及其他可能要用的端口；
不允许UDP端口；
只允许IP Protocol 6 (TCP)。
web服务器就可以，其他如域服务器不行，该规范主要针对WEB服务器。

10.移动部分重要文件并加访问控制
创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录（注意同时处理System32Dllcache目录中的同名文件！）。但有时会因系统文件保护功能被启用而无法实现顺利删除。
变通办法是选中这些文件，然后禁止任何人访问。
为稳妥起见，应当事先将这些文件存放到其他比较安全的位置供管理员自己使用。
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe,
secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,
edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe

11.下载Hisecweb.inf安全模板来配置系统
Http://download.microsoft.com/downl…US/hisecweb.exe
该模板配置基本的 Windows 2000 系统安全策略。
将该模板复制到 %windir%securitytemplates 目录。
打开“安全模板”工具，查看这些设置。
打开“安全配置和分析”工具，然后装载该模板。
右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。
等候操作完成。
查看结果，如有必要就更新该模板。
右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。

12. 服务器上其他工具程序的替代
浏览器建议使用FireFox，以免最新的针对IE的漏洞造成的危害。平时尽量不在服务器