Win2000+IIS5.0安全配置規範

來源:[url]http://www.enet.com.cn[/url]

　　一、 Windows 2000安全配置 

　　■． 確定所有磁盤分區為NTFS檔案系統 

　　■． 作業系統、Web主目錄、日志分别安裝在不同的分區 

　　■． 不要安裝不需要的協定，比如IPX/SPX, NetBIOS? 

　　■． 不要安裝其它任何作業系統 

　　■． 安裝Service Pack 

　　■． 安裝hotfix，一般需要安裝如下更新檔 

　　* Q260347_W2K_sp2_x86_cn(IISCrosssite) 

　　* Q262694_W2K_SP2_x86_CN(resetBrowseForm) 

　　* Q269049_W2K_SP2_x86_CN(shellpath) 

　　* Q269862_W2K_SP2_x86_CN(unicode) 

　　* Q270676_W2K_SP2_x86_CN(shurufa) 

　　* Q272743_W2K_SP2_x86_CN(NTLM) 

　　* Q277873_W2K_sp2_x86_CN(filerequest) 

　　* Q278499_W2K_sp2_x86_CN(indexserv) 

　　* Q280322_W2K_sp2_x86_CN(malwebform) 

　　* q285851_w2k_sp3_x86_cn(netdde) 

　　具體可參考微軟網站：[url]http://www.microsoft.com/Windows2000/downloads[/url] 

　　■． 關閉所有不需要的服務 

　　* Alerter (disable) 

　　* ClipBook Server (disable) 

　　* Computer Browser (disable) 

　　* DHCP Client (disable) 

　　* Directory Replicator (disable) 

　　* FTP publishing service (disable) 

　　* License Logging Service (disable) 

　　* Messenger (disable) 

　　* Netlogon (disable) 

　　* Network DDE (disable) 

　　* Network DDE DSDM (disable) 

　　* Network Monitor (disable) 

　　* Plug and Play (disable after all hardware configuration) 

　　* Remote Access Server (disable) 

　　* Remote Procedure Call (RPC) locater (disable) 

　　* Schedule (disable) 

　　* Server (disable) 

　　* Simple Services (disable) 

　　* Spooler (disable) 

　　* TCP/IP Netbios Helper (disable) 

　　* Telephone Service (disable) 

　　在必要時禁止如下服務： 

　　* SNMP service (optional) 

　　* SNMP trap (optional) 

　　* UPS (optional 

　　設定如下服務為自動啟動： 

　　* Eventlog ( required ) 

　　* NT LM Security Provider (required) 

　　* RPC service (required) 

　　* WWW (required) 

　　* Workstation (leave service on:will be disabled later in the document) 

　　* MSDTC (required) 

　　* Protected Storage (required) 

　　■. 删除 OS/2 和 POSIX 子系統: 

　　删除如下目錄的任何鍵： 

　　HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT 

　　删除如下的鍵： 

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath 

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional 

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix 

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2 

　　删除如下目錄： 

　　c:\winnt\system32\os2 

　　■. 帳号和密碼政策 

　　1） 保證禁止guest帳号 

　　2） 将administrator改名為比較難猜的帳号 

　　3） 密碼唯一性：記錄上次的 6 個密碼 

　　4） 最短密碼期限：2 

　　5） 密碼最長期限：42 

　　6） 最短密碼長度：8 

　　7） 密碼複雜化(passfilt.dll)：啟用 

　　8） 使用者必須登入方能更改密碼：啟用 

　　9） 帳号失敗登入鎖定的門限：6 

　　10）鎖定後重新啟用的時間間隔：720分鐘 

　　■．保護檔案和目錄 

　　将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目錄的通路權限做限制，限制everyone的寫權限，限制users組的讀寫權限 

　　■．系統資料庫一些條目的修改 

　　1） 去除logon對話框中的shutdown按鈕 

　　将HKEY_LOCAL_MACHINE\SOFTWARE 

　　\Microsoft\Windows NT\Current Version\Winlogon\中 

　　ShutdownWithoutLogon REG_SZ 值設為0 

　　2） 去除logon資訊的cashing功能 

　　CachedLogonsCount REG_SZ 值設為0 

　　3） 隐藏上次登陸的使用者名 

　　DontDisplayLastUserName REG_SZ 值設為1 

　　4）限制LSA匿名通路 

　　将HKEY_LOCAL_MACHINE\SYSTEM 

　　\CurrentControlSet\Control\LSA中 

　　RestricAnonymous REG_DWORD 值設為1 

　　5） 去除所有網絡共享 

　　\CurrentControlSet\Services\LanManServer\Parameters\中 

　　AutoShareServer REG_DWORD 值設為0 

　　■. 啟用TCP/IP過濾 

　　隻允許TCP端口80和443（如果使用SSL） 

　　不允許UDP端口 

　　隻允許IP Protocol 6 (TCP) 

　　■. 移動部分重要檔案并加通路控制： 

　　建立一個隻有系統管理者能夠通路的目錄，将system32目錄下的一些重要檔案移動到此目錄： 

　　xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe, 

　　edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe, 

　　qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe, 

　　secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe, 

　　edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe 

　　■．安裝防病毒軟體Norton 2000 

　　■. 可以下載下傳Hisecweb.inf安全模闆來配置 

　　[url]Http://download.microsoft.com/downl...US/hisecweb.exe[/url] 

　　該模闆配置基本的 Windows 2000 系統安全政策。 

　　将該模闆複制到 %windir%\security\templates 目錄。 

　　打開“安全模闆”工具，檢視這些設定。 

　　打開“安全配置和分析”工具，然後裝載該模闆。 

　　右鍵單擊“安全配置和分析”工具，然後從上下文菜單中選擇“立即分析計算機”。 

　　等候操作完成。 

　　檢視結果，如有必要就更新該模闆。 

　　右鍵單擊“安全配置和分析”工具，然後從上下文菜單中選擇“立即配置計算機”。 

　　二、IIS的安全配置 

　　■． 關閉并删除預設站點： 

　　預設FTP站點 

　　預設Web站點 

　　管理Web站點 

　　■． 建立自己的站點，與系統不在一個分區，如 

　　D:\wwwroot3． 建立 E:\Logfiles 目錄，以後建立站點時的日志檔案均位于此目錄，確定此目錄上的通路控制權限是： Administrators（完全控制）System（完全控制） 

　　■． 删除IIS的部分目錄： 

　　IISHelp C:\winnt\help\iishelp 

　　IISAdmin C:\system32\inetsrv\iisadmin 

　　MSADC C:\Program Files\Common Files\System\msadc\ 

　　删除 C:\\inetpub 

　　■. 删除不必要的IIS映射和擴充： 

　　IIS 被預先配置為支援常用的檔案名擴充如 .asp 和 .shtm 檔案。IIS 接收到這些類型的檔案請求時，該調用由 DLL 處理。如果您不使用其中的某些擴充或功能，則應删除該 

　　映射，步驟如下： 

　　打開 Internet 服務管理器： 

　　選擇計算機名，點滑鼠右鍵，選擇屬性： 

　　然後選擇編輯 

　　然後選擇主目錄， 點選配置 

　　選擇擴充名 \".htw\",\".htr\",\".idc\",\".ida\",\".idq\"和\".printer\"，點選删除 

　　如果不使用server side include，則删除\".shtm\" \".stm\" 和 \".shtml\" 

　　■. 禁用父路徑 : 

　　“父路徑”選項允許您在對諸如 MapPath 函數調用中使用“..”。在預設情況下，該選項 

　　處于啟用狀态，應該禁用它。 

　　禁用該選項的步驟如下： 

　　右鍵單擊該 Web 站點的根，然後從上下文菜單中選擇“屬性”。 

　　單擊“主目錄”頁籤。 

　　單擊“配置”。 

　　單擊“應用程式選項”頁籤。 

　　取消選擇“啟用父路徑”複選框。 

　　■. 在虛拟目錄上設定通路控制權限 

　　首頁使用的檔案按照檔案類型應使用不同的通路控制清單： 

　　CGI (.exe, .dll, .cmd, .pl) 

　　Everyone (X) 

　　Administrators（完全控制） 

　　System（完全控制） 

　　腳本檔案 (.asp) 

　　include 檔案 (.inc, .shtm, .shtml) 

　　靜态内容 (.txt, .gif, .jpg, .html) 

　　Everyone (R) 

　　在建立Web站點時，沒有必要在每個檔案上設定通路控制權限，應該為每個檔案類型建立一個新目錄，然後在每個目錄上設定通路控制權限、允許通路控制權限傳給各個檔案。 

　　例如，目錄結構可為以下形式： 

　　D:\wwwroot\myserver\static (.html) 

　　D:\wwwroot\myserver\include (.inc) 

　　D:\wwwroot\myserver \script (.asp) 

　　D:\wwwroot\myserver \executable (.dll) 

　　D:\wwwroot\myserver\images (.gif, .jpeg) 

　　■. 啟用日志記錄 

　　确定伺服器是否被攻擊時，日志記錄是極其重要的。 

　　應使用 W3C 擴充日志記錄格式，步驟如下： 

　　右鍵單擊站點，然後從上下文菜單中選擇“屬性”。 

　　單擊“Web 站點”頁籤。 

　　選中“啟用日志記錄”複選框。 

　　從“活動日志格式”下拉清單中選擇“W3C 擴充日志檔案格式”。 

　　單擊“屬性”。 

　　單擊“擴充屬性”頁籤，然後設定以下屬性： 

　　* 客戶 IP 位址 

　　* 使用者名 

　　* 方法 

　　* URI 資源 

　　* HTTP 狀态 

　　* Win32 狀态 

　　* 使用者代理 

　　* 伺服器 IP 位址 

　　* 伺服器端口

本文轉自loveme2351CTO部落格，原文連結：http://blog.51cto.com/loveme23/8392 ，如需轉載請自行聯系原作者