web服务器安全设置
[[wiki]wiki[/wiki]][/wiki]一、安装 Win 200x [wiki]安全[/wiki]概览
1.[wiki]硬盘[/wiki]分区的文件[wiki]系统[/wiki]选择
2.组件的定制
3.接入[wiki]网络[/wiki][wiki]时间[/wiki]
4.账户安全[wiki]管理[/wiki]
5.安全审核
6.卸载无用的组件模块
二、基本系统设置
1.安装各种补丁
2.分区内容规划
3.协议管理
4.关闭所有以下不需要的服务
5.删除 OS/2 和 [wiki]POS[/wiki]IX 子系统
6.帐号和密码策略
7.设置文件和目录权限
8.注册表一些条目的修改
9.启用[wiki]TCP[/wiki]/IP过滤
10.移动部分重要文件并加访问控制
11.下载Hisecweb.inf安全模板来配置系统
12. [wiki]服务器[/wiki]上其他工具[wiki]程序[/wiki]的替代
13.设置陷阱脚本
14.取消部分危险[wiki]文件扩展名[/wiki]
15.关闭 445 [wiki]端口[/wiki]
16.关闭 DirectDraw
17.禁止dump file的产生和自动清除页面文件
18.禁止从软盘和CD ROM启动系统
19.锁住注册表的访问权限
20.使用IPSec增强IP数据包的安全性
21.考虑使用智能卡来代替密码
22.将服务器隐藏起来
23.Win 2003中提高FSO的安全性
三、IIS 安全设置
1.关闭并删除默认站点
2.建立自己的站点,与系统不在一个分区
3.删除IIS的部分目录
4.删除不必要的IIS映射和扩展
5.禁用父路径
6.在虚拟目录上设置访问控制权限
7.启用日志记录
8.备份IIS配置
9.修改IIS标志
10.重定义错误[wiki]信息[/wiki]
11.Win 2003中提高FSO的安全性
四、数据 安全及备份管理
1.备份
2.设置文件[wiki]共享[/wiki]权限
3.防止文件名欺骗
4.Access[wiki]数据库[/wiki]的安全概要
5.MS[wiki]SQL[/wiki] 注入攻击的防范
6.MSSQL Server 的基本安全策略
7.使用应用层过滤防范[wiki]URL[/wiki]入侵
8.[wiki]PHP[/wiki]木马的攻击的防御之道
五、其他辅助安全措施
六、简单设置防御小流量DDOS攻击
七、日常安全检查
---------------------------------------------------------------------
一、安装 Win 200x 安全概览
1.硬盘分区的文件系统选择
①使用多分区分别管理不同内容
在安装Win 2000时,如条件许可,应至少建立两个[wiki]逻辑[/wiki]分区,一个用作系统分区,另一个用作应用程序分区。尽量修改“我的文档”及“Outlook E[wiki]XP[/wiki]ress”等应用程序的默认文件夹位置,使其位置不在系统分区。对提供服务的机器,可按如下设置分区:
----------------------------------------------------------------
分区1:系统分区,安装系统和重要日志文件。
分区2:提供给IIS使用。
分区3:提供给[wiki]FTP[/wiki]使用。
分区4:放置其他一些资料文件。(以上为示例,可灵活把握)
-----------------------------------------------------------------
②采用NTFS文件系统
所有[wiki]磁盘[/wiki]分区必须采用 NTFS 文件系统,而不要使用 FAT32!
特别注意:一定要在系统安装时,通过安装程序将系统盘格式化为NTFS,而不要先以 FAT32 格式安装系统,然后再用 Convert 转换!因为转换后的磁盘根目录的默认权限过高!
③使用文件加密系统EFS
[wiki]windows[/wiki]2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面礫wiki]氖[/wiki]荨<亲∫募幸彩褂肊FS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp
注意:建议加密temp文件夹!因为一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
2.组件的定制
不要按Win 2000的默认安装组件,根据安全原则“最少的服务+最小的权限=最大的安全”,只选择确实需要的服务安装即可。
典型Web服务器需要的最小组件是:
公用文件、Internet 服务管理器、WWW服务器。
3.接入网络时间
在安装完成Win 200*作系统时,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。
补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序覽wiki]锌[/wiki]赡艿贾虏苟〔荒芷鸬接τ械男ЧIS的HotFix要求每碵wiki]胃[/wiki]腎IS的配置时都需要重新安装。
4.账户安全管理
1)账户要尽可能少,并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。
2)停用G[wiki]UE[/wiki]st账篬wiki]牛[/wiki]⒏鳪uest 加一个复杂的密码。
3)把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。
4)不让系统显示上次登录的用户名,具体作如下:
修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值,把REG_SZ 的键值改成1。
5.安全审核
在“管理工具→远程控制服务配置→连接”处,右键点击“RPD-TCP”连接,选择“属性”,在其窗口选中“权限”,点击右下角的“高级”,选择“审核”,增加一个“everyone”组,审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→ 安全日记”可看到该审核记录。
开启安全审核是win2000最基本的[wiki]入侵检测[/wiki]方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核[wiki]对象[/wiki]访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
6.卸载无用的组件模块
将%System%\Winnt\inf 下的sysoc.inf 文件中的所有hide覽wiki]锰[/wiki]婊环ㄉ境蝗缓笤诳刂泼姘宓奶砑由境绦蛑芯涂梢孕对厮胁恍枰淖榧
