Windows2003服务器安全加固方案（三）

通过扩展名为 .idc 的文件提供动态内容支持。如果 iis 服务器中的 web 站点和应用程序都不包括 .idc 扩展文件，请禁用该组件;或使用 web 服务扩展禁用它。

远程管理 (html)

禁用

提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易，并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该功能。

远程桌面 web 连接

禁用

包括了管理终端服务客户端连接的 microsoft activex? 控件和范例页面。改用 iis 管理器可使管理更容易，并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该组件。

服务器端包括

禁用

提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服务器中运行的 web 站点和应用程序都不使用上述扩展的包括文件，请禁用该组件。

webdav

禁用

webdav 扩展了 http/1.1 协议，允许客户端发布、锁定和管理 web 中的资源。专用 iis 服务器禁用该组件;或使用 web 服务扩展禁用该组件。

万维网服务

启用

为客户端提供 web 服务、静态和动态内容。专用 iis 服务器需要该组件

3. 将iis目录&数据与系统磁盘分开，保存在专用磁盘空间内。

4. 在iis管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)

5. 在iis中将http404 object not found出错页面通过url重定向到一个定制htm文件

6. web站点权限设定(建议)

web 站点权限：

授予的权限：

读 允许

写 不允许

脚本源访问 不允许

目录浏览 建议关闭

日志访问 建议关闭

索引资源 建议关闭

执行 推荐选择 '仅限于脚本'

7. 建议使用w3c扩充日志文件格式，每天记录客户ip地址，用户名，服务器端口，方法，uri字根，http状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为full control)。

8. 程序安全:

1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在asp文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限; 2) 需要经过验证的asp页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

防止asp主页.inc文件泄露问题;

4) 防止ue等编辑器生成some.asp.bak文件泄露问题。

安全更新

应用所需的所有 service pack 和定期手动更新补丁。

安装和配置防病毒保护

推荐nav 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。

安装和配置防火墙保护

推荐最新版blackice server protection防火墙(配置简单，比较实用)

监视解决方案

根据要求安装和配置 mom代理或类似的监视解决方案。

加强数据备份

web数据定时做备份，保证在出现问题后可以恢复到最近的状态。

9. 删除不必要的应用程序映射

ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。

在“Internet 服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击[配置]按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击[编辑]按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。

保护日志安全

日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。

修改IIS日志的存放路径

默认情况下，IIS的日志存放在%WinDir%/System32/LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在 “Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。