您的位置:首页技术文章
文章详情页

Windows2003服务器安全加固方案(三)

【字号: 日期:2024-02-21 15:10:45浏览:4作者:猪猪

通过扩展名为 .idc 的文件提供动态内容支持。如果 iis 服务器中的 web 站点和应用程序都不包括 .idc 扩展文件,请禁用该组件;或使用 web 服务扩展禁用它。

远程管理 (html)

禁用

提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易,并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该功能。

远程桌面 web 连接

禁用

包括了管理终端服务客户端连接的 microsoft activex? 控件和范例页面。改用 iis 管理器可使管理更容易,并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该组件。

服务器端包括

禁用

提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服务器中运行的 web 站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。

webdav

禁用

webdav 扩展了 http/1.1 协议,允许客户端发布、锁定和管理 web 中的资源。专用 iis 服务器禁用该组件;或使用 web 服务扩展禁用该组件。

万维网服务

启用

为客户端提供 web 服务、静态和动态内容。专用 iis 服务器需要该组件

3. 将iis目录&数据与系统磁盘分开,保存在专用磁盘空间内。

4. 在iis管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)

5. 在iis中将http404 object not found出错页面通过url重定向到一个定制htm文件

6. web站点权限设定(建议)

web 站点权限:

授予的权限:

读 允许

写 不允许

脚本源访问 不允许

目录浏览 建议关闭

日志访问 建议关闭

索引资源 建议关闭

执行 推荐选择 '仅限于脚本'

7. 建议使用w3c扩充日志文件格式,每天记录客户ip地址,用户名,服务器端口,方法,uri字根,http状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为full control)。

8. 程序安全:

1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在asp文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限; 2) 需要经过验证的asp页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。

防止asp主页.inc文件泄露问题;

4) 防止ue等编辑器生成some.asp.bak文件泄露问题。

安全更新

应用所需的所有 service pack 和定期手动更新补丁。

安装和配置防病毒保护

推荐nav 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。

安装和配置防火墙保护

推荐最新版blackice server protection防火墙(配置简单,比较实用)

监视解决方案

根据要求安装和配置 mom代理或类似的监视解决方案。

加强数据备份

web数据定时做备份,保证在出现问题后可以恢复到最近的状态。

9. 删除不必要的应用程序映射

ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。

在“Internet 服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。

保护日志安全

日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。

修改IIS日志的存放路径

默认情况下,IIS的日志存放在%WinDir%/System32/LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在 “Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。

标签: Windows系统
相关文章: