由于IIS的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。可是,IIS的安全性却一直使人担心。如何利用IIS创建一个安全的Web服务器,是不少人关心的话题。要建立一个安全可靠的Web服务器,必需要实现Windows 2003和IIS的双重安全,由于IIS的用户同时也是Windows 2003的用户,而且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,因此保护IIS安全的第一步就是确保Windows 2003操做系统的安全,因此要对服务器进行安全加固,以避免遭到黑客的攻击,形成严重的后果。ios
咱们经过如下几个方面对您的系统进行安全加固:web
1. 系统的安全加固:咱们经过配置目录权限,系统安全策略,协议栈增强,系统服务和访问控制加固您的系统,总体提升服务器的安全性。sql
2. IIS手工加固:手工加固iis能够有效的提升iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。shell
3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。windows
系统的安全加固:缓存
1.目录权限的配置:安全
1.1 除系统所在分区以外的全部分区都赋予Administrators和SYSTEM有彻底控制权,以后再对其下的子目录做单独的目录权限,若是WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问账号并赋予它有修改权限,若是想使网站更加坚固,能够分配只读权限并对特殊的目录做可写权限。服务器
1.2 系统所在分区下的根目录都要设置为不继承父权限,以后为该分区只赋予Administrators和SYSTEM有彻底控制权。网络
1.3 由于服务器只有管理员有本地登陆权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有彻底控制权,其下的子目录一样。另外还有一个隐藏目录也须要一样操做。由于若是你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO能够轻松的调取这个配置文件。less
1.4 配置Program files目录,为Common Files目录以外的全部目录赋予Administrators和SYSTEM有彻底控制权。
1.5 配置Windows目录,其实这一块主要是根据自身的状况若是使用默认的安全设置也是可行的,不过仍是应该进入SYSTEM32目录下,将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名账号拒绝访问。
1.6审核MetBase.bin,C:WINNTsystem32inetsrv目录只有administrator只容许Administrator用户读写。
2.组策略配置:
在用户权利指派下,从经过网络访问此计算机中删除Power Users和Backup Operators;
启用不容许匿名访问SAM账号和共享;
启用不容许为网络验证存储凭据或Passport;
从文件共享中删除容许匿名登陆的DFS$和COMCFG;
启用交互登陆:不显示上次的用户名;
启用在下一次密码变动时不存储LANMAN哈希值;
禁止IIS匿名用户在本地登陆;
3.本地安全策略设置:
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登陆事件 成功 失败
审核对象访问失败
审核过程跟踪 无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件 成功 失败
审核帐户登陆事件 成功 失败
审核帐户管理 成功 失败
注:在设置审核登录事件时选择记失败,这样在事件查看器里的安全日志就会记录登录失败的信息。
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它所有删除。
经过终端服务拒绝登录:加入Guests、User组
经过终端服务容许登录:只加入Administrators组,其余所有删除
C、本地策略——>安全选项
交互式登录:不显示上次的用户名 启用
网络访问:不容许SAM账户和共享的匿名枚举启用
网络访问:不容许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 所有删除
网络访问:可匿名访问的命所有删除
网络访问:可远程访问的注册表路径所有删除
网络访问:可远程访问的注册表路径和子路径所有删除
账户:重命名来宾账户重命名一个账户
账户:重命名系统管理员账户 重命名一个账户
4.本地帐户策略:
在帐户策略->密码策略中设定:
密码复杂性要求启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在帐户策略->帐户锁定策略中设定:
帐户锁定 3次错误登陆
锁定时间 20分钟
复位锁定计数 20分钟
5. 修改注册表配置:
5.1 经过更改注册表
local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1来禁止139空链接
5.2 修改数据包的生存时间(ttl)值
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
defaultttl reg_dword 0-0xff(0-255 十进制,默认值128)
5.3 防止syn洪水攻击
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
synattackprotect reg_dword 0x2(默认值为0x0)
5.4禁止响应icmp路由通告报文
hkey_local_machinesystemcurrentcontrolset
services cpipparametersinterfacesinterface
performrouterdiscovery reg_dword 0x0(默认值为0x2)
5.5防止icmp重定向报文的攻击
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
enableicmpredirects reg_dword 0x0(默认值为0x1)
5.6不支持igmp协议
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
5.7修改3389默认端口:
运行 Regedt32 并转到此项:
HKEY_LOCAL_MACHINESystemCurrentControlSetControl
Terminal ServerWinStationsRDP-Tcp, 找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
禁用没必要要的服务不但能够下降服务器的资源占用减轻负担,并且能够加强安全性。下面列出了
igmplevel reg_dword 0x0(默认值为0x2)
5.8 设置arp缓存老化时间设置
hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters
arpcachelife reg_dword 0-0xffffffff(秒数,默认值为120秒)
arpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默认值为600)
5.9禁止死网关监测技术
hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters
enabledeadgwdetect reg_dword 0x0(默认值为ox1)
5.10 不支持路由功能
hkey_local_machinesystemcurrentcontrolsetservices: cpipparameters
ipenablerouter reg_dword 0x0(默认值为0x0)
6. 禁用服务:
·Application Experience Lookup Service
·Automatic Updates
·BITS
·Computer Browser
·DHCP Client
·Error Reporting Service
·Help and Support
·Network Location Awareness
·Print Spooler
·Remote Registry
·Secondary Logon
·Server
·Smartcard
·TCP/IP NetBIOS Helper
·Workstation
·Windows Audio
·Windows Time
·Wireless Configuration
7.解除NetBios与TCP/IP协议的绑定
控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号链接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
8. 使用tcp/ip筛选
在网络链接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)
9.禁止WebDAV
在注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParameters
加如下注册表值:
数值名称:DisableWebDAV
数据类型:DWORD
数值数据:1
IIS 加固方案:
1. 仅安装必要的 iis 组件。(禁用不须要的如ftp 和 smtp 服务)
2. 仅启用必要的服务和 web service 扩展,推荐配置:
ui 中的组件名称设置
设置逻辑后台智能传输服务 (bits) 服务器扩展
启用bits 是 windows updates 和"自动更新"所使用的后台文件传输机制。若是使用 windows updates 或"自动更新"在 iis 服务器中自动应用 service pack 和热修补程序,则必须有该组件。
公用文件启用
iis 须要这些文件,必定要在 iis 服务器中启用它们。
文件传输协议 (ftp) 服务
禁用<