Linux压缩打包命令使
Adding .flv
Nov
15
1. 操作系统的安装要求与注意事项
服务器采用的windows 2000 advanced server ,遵循以下安装步骤:
1. 安装前注意事项:
服务器的安装过程中一定要把服务器从网络上断开,因为Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。
2. 安装中分区的设置:
安装过程中只需要分出一个8G的分区作为系统分区,其余的等操作系统安装完后再进行分区及相关设置,分区采用NTFS格式
3. 安装中组件的定制:
服务器安装过程中不要采用典型安装,而是要自己定制需要安装的软件包,由于本系统的要求,选择安装的组件一个都不要选择,这样我们会得到一个干净的纯净的最小化的系统(安装成独立的工作组(Stand Alone),选择工作组成员,不选择域;)
4. 操作系统安装完成之后的分区及硬盘设置:
安装完成后首先到磁盘管理里面把两块硬盘都升级为动态磁盘,并对系统区做软件的RAID 1也就是添加镜像(因为本服务器无硬件RAID功能),然后再用剩余的磁盘创建一个镜像卷用来存放数据及应用程序
5.基本的安全配置
a .) 端口控制:
由于本系统的特点,端口控制可以通过本地安全策略实现,在管理工具的本地安全策略里面右击IP安全策略新建一个安全策略取名为filter-〉默认激活-〉默认值-〉是-〉finishà 添加-〉选此规则不指定隧道-〉选所有的网络连接-〉选windows默认值-〉是-〉添加-〉名称改为port filter à 依次逐项添加对以下端口的过滤,135-从任意到我的IP地址tcp 目标端口135 同样的方法过滤135 的UDP 端口,445的TCP和UDP端口,1025 ,1027,1028 ,3372的TCP端口,1026,1434的UDP端口,然后选关闭,之后选中刚添加的port filter-〉下一步增加一个filter action,取名为deny-〉采取的动作选block-〉完成-〉选中新建的deny规则-〉完成-〉右击新建的ip 安全策略-〉指派
b. ) 帐号策略:
帐号尽可能少,且尽可能少用来登录;本系统只预留两个administrator组的账号admintelecom (由administrator改名得来)和admineasteq(新添加)为这两个账号设置两个不同的复杂的密码,长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。 ,同时将guest用户改名为nobody并设置一个复杂的密码,然后将其隶属组里面的guest删掉,然后将该账号禁用,将其余的用户全部从系统里面删除,口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);在帐号属性中设立锁定次数,比如改帐号失败登录次数超过.3次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。
c.) 安全日志:
Win2000的默认安装是不开任何安全审核的!
请到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同时还要在本地安全策略的安全选项里面将lan manager 身份验证级别改为发送LM&NTLM相应-若协商使用NTLM V2会话安全,对匿名连接的额外限制改为没有显式匿名权限就无法访问,启用登陆屏幕上不显示上次登陆的用户名,根据自己的要求定制用户试图登陆时的消息标题和消息文字
d. ) 目录和文件权限:
删除C盘的everyony 的权限,添加两个管理员的完全控制权,administrator组的完全控制权Authenticated Users; NETWORK;的读取运行,列目录,读的权限, SERVICE的读取运行,列目录,读,写的权限,system的完全控制权限
e.) 有关IPC的一些设置
只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议;
解除NetBios与TCP/IP协议的绑定,同时要在tcp/ip的高级属性里面取消掉enable LMHOSTS lookup
方法:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
删除所有的网络共享资源,在网络连接的设置中删除文件和打印共享,只留下TCP/I
P协议
修改注册表:
运行Regedit,然后修改注册表在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键
Name: AutoShareServer
Type: REG_DWORD
Value: 0
同样增加以下键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
f. ) 通过修改注册表修改一些系统的指纹和系统tcp\ip的参数:
预防DoS:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2
TcpMaxHalfOpen REG_DWORD 500 TcpMaxHalfOpenRetried REG_DWORD 400EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0
改变windows系统的一些默认值(例如:数据包的生存时间(TTL)值,不同系统有不同的值,有经验的人可以根据TTL的不同的值判断对方使用的是何种操作系统。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)本系统改为十进制56
不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600
不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
g.) 系统服务的调整与管理
将以下服务停止并禁用:clipbook, Application Management ,computer browser , DHCP client , Distributed filesystem , Distributed Link Tracking client ,Distributedlink tracking server , DNS client , FAX services , File Replication , indexing service , internet connection sharing , netmeeting Remote Desktop Sharing , print spooler , Remote Registry service , Task scheduler , TCP/IP NetBIOS Helper services , Telnet , Terminal Services ,Workstation ,License Logging ,Messenger,NetMeeting Remote Desktop Sharing,Network DDE,Network DDE DSDM ,Net Logon,Network News Transport Protocol ,IPSEC Policy Agent,QoS RSVP 其余的服务采用默认设置
h.) 启动管理,内存管理,和内存转储管理
在我的电脑的属性里面的高级选项,将性能选项里面开为后台服务,并加大虚拟内存为800-1600M ,启动和故障恢复选项里面取消自动重新启动,将完全内存转储选项改为无
I .)做完以上设置后将电脑接入网络,安装杀毒软件并更新病毒数据库,打开文件系统实时监控功能,同时安装SP3,重新启动后将IE升级到6.0,再重新启动,之后再安装IE 6.0 SP1之后重新启动后通过开始菜单的windows update 组件扫描并更新全部的安全更新与hotfix,并打开自动升级功能,系统自动探测网络上有无可用更新,并自动更新
附录1:建议调整的TCP/IP参数
除了上述所列出的设置之外,可以修改下列项以辅助系统更有效地抵御攻击。请注
意,这些推荐值决不是使系统不受攻击,而只在于调整 TCP/IP 栈防范攻击。这些
项的设置并不涉及系统上的许多其它组件(可能被用于攻击系统)。对于注册表的
任何更改,管理员必须充分了解这些更改对系统默认功能的影响以及在他们的环境
中是否适当。
SynAttackProtect
项: TcpipParameters
数值类型:REG_DWORD
有效范围:0、1、2
0(没有 SYN 攻击保护)
1(如果满足 TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 设置,减少重传重试次
数与延迟的 RCE(路由缓存项)创建。)
2(除 1 之外的另一个 Winsock 延迟指示。)
备注 当系统发现自己受到攻击时,任何套接字上的下列选项不再启用:可缩放窗
口 (RFC 1323) 与每个适配器上已配置 TCP 参数(初始 RTT、窗口大小)。这是
因为当保护生效时,在发送 SYN-ACK 之前不再查询路由缓存项,并且连接过程中
Winsock 选项不可用。
默认值: 0 (false)
推荐值: 2
说明:SYN 攻击保护包括减少 SYN-ACK 重传次数,以减少分配资源所保留的时间
。路由缓存项资源分配延迟,直到建立连接为止。如果 synattackprotect = 2,
则 AFD 的连接指示一直延迟到三路握手完成为止。注意,仅在 TcpMaxHalfOpen
和 TcpMaxHalfOpenRetried 设置超出范围时,保护机制才会采取措施。
TcpMaxHalfOpen
项: TcpipParameters
数值类型: REG_DWORD - 数字
有效范围: 100-0xFFFF
默认值: 100 (Professional、Server)、500 (Advanced Server)
说明:该参数控制 SYN 攻击保护启动前允许处于 SYN-RCVD 状态的连接数量。如
果将 SynAttackProtect 设为 1,确保该数值低于要保护的端口上 AFD 侦听预备
的值(有关详细信息,参见附录 C 中的预备参数)。有关详细信息,请参见
SynAttackProtect 参数。
TcpMaxHalfOpenRetried
项: TcpipParameters
数值类型: REG_DWORD - 数字
有效范围: 80-0xFFFF
默认值: 80 (Professional、Server)、400 (Advanced Server)
说明:该参数控制在 SYN 攻击保护启动前处于 SYN-RCVD 状态的连接数量,对于
该连接至少有一个 SYN 重传已经发送。有关详细信息,参见 SynAttackProtect
参数。
EnablePMTUDiscovery
项: TcpipParameters
数值类型:REG_DWORD - 布尔值
有效范围:0、1(false、true)
默认值: 1 (true)
推荐值: 0
说明:将该参数设置为 1 (true) 时,TCP 将查找到达远程主机路径上的最大传输
单位(MTU 或最大的数据包大小)。通过发现路径 MTU 并将 TCP 字段限制到这个
大小,TCP 可以限制在连结到不同的 MTU 网络的路由器上的碎片。碎片会影响
TCP 吞吐量和网络堵塞。将这个参数设置成 0,会导致为所有不在本地子网上主机
连接使用 576 字节的 MTU。
NoNameReleaseOnDemand
项: NetbtParameters
数值类型: REG_DWORD - 布尔值
有效范围:0、1(false、true)
默认值: 0 (false)
推荐值: 1
说明:该参数确定当收到网络的名称释放请求时,计算机是否释放其 NetBIOS 名
称。添加该参数,管理员就可以保护机器免遭恶意名称释放攻击。
EnableDeadGWDetect
项: TcpipParameters
数值类型: REG_DWORD - 布尔值
有效范围:0、1(false、true)
默认值: 1 (true)
推荐值: 0
说明:当该参数设为 1 时,允许 TCP 执行间隔网关检测。启用该功能时,如果处
理多个连接有困难时,TCP 可以请求 IP 改到备份网关。备份网关可以在“网络控
制面板”中“TCP/IP 配置”对话框的“高级”部分进行定义。有关详细信息,请
参见本文“间隔网关检测”一节。
KeepAliveTime
项: TcpipParameters
数值类型:REG_DWORD - 时间(毫秒)
有效范围: 1-0xFFFFFFFF
默认值: 7,200,000(两个小时)
推荐值:300,000
说明:通过发送保留的数据包,该参数可确定 TCP 要隔多长时间验证一次闲置连
接仍仍未断开。如果远程系统仍可以连接并正在运行,它就会确认保留传输。默认
情况下,不发送保留数据包。应用程序可以在连接上启用这一功能。
PerformRouterDiscovery
项: TcpipParametersInterfacesinterface
数值类型:REG_DWORD
有效范围:0、1、2
0(禁用)
1(启用)
2(仅当 DHCP 发送路由器发现选项时启用)
默认值: 2,DHCP 控制,但默认情况下为关闭。
推荐值: 0
说明:该参数控制 Windows 2000 是否根据每个接口上的 RFC 1256 执行路由器发
现
附录2:windows 2000的系统服务与建议
1:Alerter
服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息.
可执行文件: %systemRoot%\system32\services.exe
风险: 潜在可能导致社会工程攻击
建议: 将Alerter服务发出的警告限定为只由管理员接收.
2:Application Management
服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序.
可执行文件: winnt\system32\services.exe
风险: 无
建议: 非组策略使用应用程序,最好禁用该服务.
3:Boot Information Negotiation Layer
服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行.
可执行文件: winnt\system32\services.exe
风险: 无
4:Brower
服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序
可执行文件: winnt\system32\services.exe
风险: 暴露有关网络的信息
建议: 禁止
5:Indexing
服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们.
可执行文件: winnt\system32\services.exe
风险: 其为IISweb服务器上诸多安全弱点的根源
建议: 除非特别需要,否则禁止.
6:ClipBook
服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形.
可执行文件: winnt\system32\Clipsrv.exe
风险: 潜在被非法用于远程访问ClipBook剪贴页面
建议: 禁止
7:Distributed File System
服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.
可执行文件: winnt\system32\Dfssrc.exe
风险: 暂无已知风险
建议: 禁止
8:DHCP client
服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议:为服务器分配一个静态IP
9:Logical Disk Manager Administrative
服务方向: 用于管理逻辑盘
可执行文件: winnt\system32\dmadmin.exe
风险: 暂无已知风险
建议:将服务的启动类型设为手动(Manual)
10:Logical Disk Manager
服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 系统运行时需要,保持默认得自动启动
11:DNS Server
服务方向: 负责解答DNS域名查询
可执行文件: winnt\system32\dns.exe
风险: 无已知风险
建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.
12:DNS Client
服务方向: 用于缓存DNS查询来进行记录.可用于某个入侵检测系统的DNS查询,可加速DNS查询的速度.
可执行文件: winnt\system32\services.exe
风险: 无已知风险,但攻击者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns)
建议:可停可不停
13:Event Log
服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检测和系统监视.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 该服务应该被启动,尤其实在独立服务器上.
14:COM+Eent System
服务方向: 提供自动事件分布功能来订阅COM组件.
可执行文件: winnt\system32\svchost.exe -k nesvcs
风险: 无已知风险
建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务.
15:Fax
服务方向: 它负责管理传真的发送和接收.
可执行文件: winnt\system32\faxsvc.exe
风险: 无已知风险
建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器.
16: Single Instance Storage Groveler
服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间.
风险: 无已知风险
建议: 除非你需要使用 Remote Installation 服务,否则请停止它.
17:Internet Authentication Service
服务方向: 用于认证拨号和VPN用户.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 无已知风险
建议: 显然除了在拨号和VPN服务器上,该服务不应该使用.禁止.
18:IIS Admin
服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 无已知风险
建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载.
19: Intersite Messaging
服务方向: Intersite Messaging服务和Active Directory replication一起使用.
可执行文件: winnt\system32\ismserv.exe
风险: 无已知风险
建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.
20:Kerberos Key Distribution Center
服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)
可执行文件: winnt\system32\lsass.exe
风险: 没有已知风险
建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行.
21: Server
服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求.
可执行文件: winnt\system32\services.exe
风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源
建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务.
(附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!)
22:Workstation
服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源.
可执行文件: winnt\system32\services.exe
风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中
建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务.
23: TCP/IP打印服务器
服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机.
可执行文件: winnt\system32\tcpsvcs.exe
风险: 具有一些安全性弱点,并打开一个监听端口
建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.
24:License Logging
服务方向: 该服务负责管理某个站点的许可协议信息.
可执行文件: winnt\system32\llssrv.exe
风险: 没有已知风险
建议: 除了在域控制器上,其他计算机不应当使用该服务.
25:TCP/IP NETBIOS Helper
服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.
可执行文件: winnt\system32\services.exe
风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证
建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务.
26:Messenger
服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 该服务不需要而且应当被禁用.
27:NetMeeting Remote Desktop Sharing
服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.
可执行文件: winnt\system32\mnmsrvc.exe
风险: 是一个具有潜在不安全性的服务
建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问.
28: Distributed Transaction Coordinator
服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务.
可执行文件: winnt\system32\msdtc.exe
风险: 没有已知风险
建议: 无需禁止
29: FTP Publishing
服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务.
建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视.
30: Windows Installer
服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时很有用的.
可执行文件: winnt\system32\msiexec.exe/V
风险:无已知风险
建议: 保留
31:Network DDE
服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性.
可执行文件: winnt\system32\netdde.exe
风险: 通过网络接受DDE请求
建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动.
32: Network DDE DSDM
服务方向: 该服务保存一个共享对话(shared conversation)
数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问.
可执行文件: winnt\system32\netdde.exe
风险: 没有已知风险
建议: 该服务应当设置为手工启动
33:Net Logon
服务方向: 支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication).
可执行文件: winnt\system32\lsass.exe
风险: 可以用于对强力密码攻击进行传递
建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止.
34: Network Connections
服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中的对象,该文件夹中你可以看到局域网和远程连接.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动.
35: Network News Transport Protocol(NNTP)
服务方向: 用于提供一个新闻服务器服务,例如USENET.
可执行文件: winntsystem32\inetsrv\inetinfo.exe
风险: 没有已知风险
建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务.
36: File Replication
服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据.
可执行文件: winnt\system32\ntfrs.exe
风险:没有已知风险
建议:它在多个服务之间维护文件目录内容的文件同步,保持原状.
本页内容
简介
准备工作
减少 Web 服务器的攻击面
配置帐户
配置文件和目录的安全
保护网站和虚拟目录
在 Web 服务器上配置安全套接字层
相关信息
简介
Web 服务器通常是各种安全攻击的目标。其中一些攻击非常严重,足以对企业资产、工作效率和客户关系造成相当的破坏—所有攻击都会带来不便和麻烦。Web 服务器的安全是企业成功的关键。
本文档说明如何开始保护 Web 服务器的过程。此 Web 服务器在 Microsoft? Windows Server? 2003 Standard Edition 操作系统上运行 Internet Information Services (IIS) 6.0。首先,本节描述影响 Web 服务器安全的一些最常见威胁。然后,本文档提供说明性指导,使您的 Web 服务器更安全地防御这些攻击。
通过对 IIS 早期版本做以下更改,IIS 6.0 以更加主动的姿态来防御恶意用户和攻击者:
? 安装 Windows Server 2003 Standard Edition 时,默认情况下没有安装 IIS 6.0。
? 初次安装 IIS 6.0 时,Web 服务器仅服务于或显示静态网页 (HTML),这降低了服务于动态网页或可执行文件、内容而带来的风险。
? 万维网发布服务(WWW 服务)是 IIS 6.0 初次安装时在默认情况下支持的唯一服务。您可以在需要时启用所需要的特定服务。
? IIS 6.0 初次安装时,默认情况下禁用 ASP 和 ASP.NET。
? 对于其他保护,IIS 6.0 中所有默认的安全配置设置都符合或超过由 IIS Lockdown Tool 提供的安全配置设置。IIS Lockdown Tool 在 IIS 的早期版本上运行,旨在通过禁用不必要的特性来减少 Web 服务器的攻击面。有关 IIS Lockdown Tool 的详细信息,请参阅 Security Guidance Kit 中的“确保 Internet 信息服务 5.0 和 5.1 的安全”。
由于 IIS 6.0 的默认设置禁用了 Web 服务通常使用的许多功能,因此,本文档说明如何在降低服务器暴露给潜在攻击者程度的同时配置 Web 服务器的其他功能。
本文档就增强 Web 服务器的安全提供以下指导:
? 减少 Web 服务器的攻击面,或者降低服务器暴露给潜在攻击者的程度。
? 配置匿名访问的用户和组帐户
? 保护文件和目录不接受未经授权的访问
? 保护网站和虚拟目录不接受未经授权的访问
? 配置 Web 服务器上安全套接字层 (SSL)
要点:本文档包括的所有逐步说明都是使用“开始”菜单形成的,此菜单在安装操作系统时默认显示。如果修改过“开始”菜单,则这些步骤可能稍有不同。
在您完成本文档中的步骤之后,Web 服务器将能够服务于以 .asp 页面形式提供的动态内容,而且仍然能够对以下类型的攻击提供强有力的保护,这些攻击有时威胁到面向 Internet 的服务器:
? 配置文件攻击,此攻击搜集网站的有关信息;可通过禁止不需要的端口和禁用不需要的协议来减少这种攻击。
? 拒绝服务攻击,此攻击使 Web 服务器充满各种请求;可通过应用安全修补程序和软件更新来最大限度地减少这种攻击。
? 没有正确权限的用户未经授权的访问;通常通过配置 Web 和 NTFS 权限来阻止这种访问。
? 恶意代码在 Web 服务器上任意执行;可通过防止对系统工具和命令的访问来最大限度地减少这种攻击。
? 特权提升,使恶意用户能够使用具有较高特权的帐户来运行程序;可通过使用最低特权的服务和用户帐户来最大限度地减少这种攻击。
? 来自病毒、蠕虫和特洛伊木马的破坏;可通过禁用不需要的功能、使用最低特权的帐户以及及时应用最新安全修补程序来遏制这种攻击。
注意:由于保护 Web 服务器是一个复杂而长期的过程,完全的安全性很难保证。
返回页首
准备工作
本节说明本文档中描述的 Web 服务器的系统要求和特征。
系统要求
本文档中用作示例的 Web 服务器有以下系统要求:
? 此服务器运行 Windows Server 2003 Standard Edition。
? 操作系统安装在 NTFS 分区上。有关 NTFS 的信息,请在 Windows Server 2003 中的帮助和支持中心搜索“NTFS”。
? Windows Server 2003 所有必需的修补程序和更新都已经应用到此服务器。为了验证 Web 服务器上是否安装了最新的安全更新,请转到位于 Microsoft 网站 http://go.microsoft.com/fwlink/?LinkId=22630 上的 Windows Update 网页,利用 Windows Update 来扫描服务器是否有可用的更新。
? Windows Server 2003 安全保护已经应用到服务器。
本文档提供介绍性信息,帮助您设置最初的几个步骤,以配置一台更安全的 Web 服务器。不过,为了使 Web 服务器尽可能安全,您必须了解服务器上运行的应用程序的操作。本文档不包括应用程序特定安全配置的有关信息。
Web 服务器特征
本文档中用作示例的 Web 服务器有以下特征要求:
? Web 服务器正在工作进程隔离模式下运行 IIS 6.0 。
? Web 服务器托管一个面向 Internet 的网站。
? Web 服务器配有防火墙,仅支持 HTTP 端口 80 和 HTTPS 端口 443 上的流量。
? 此 Web 服务器是专用 Web 服务器,这种服务器只能用作 Web 服务器而不能用于其他目的,例如文件服务器、打印服务器或运行 Microsoft SQL Server? 的数据库服务器。
? 允许匿名访问网站。
? Web 服务器服务于 HTML 和 ASP 网页。
? 没有在 Web 服务器上配置 Microsoft 的 FrontPage? 2002 Server Extensions。
? Web 服务器上的应用程序不需要数据库连接。
? Web 服务器不支持 FTP(文件上传和下载)、SMTP(电子邮件)或 NNTP(新闻组)协议。
? Web 服务器不使用 Internet Security and Acceleration Server。
? 管理员必须本地登录以管理 Web 服务器。
返回页首
减少 Web 服务器的攻击面
通过减少 Web 服务器的攻击面,或者降低服务器暴露给潜在攻击者的程度,来开始保护 Web 服务器的过程。例如,仅启用 Web 服务器正常运行所必需的组件、服务和端口。
禁用 SMB 和 NetBIOS
主机枚举攻击扫描网络,以便确定潜在目标的 IP 地址。要降低主机枚举成功攻击 Web 服务器上面向 Internet 的端口的可能性,应禁用除传输控制协议 (TCP) 以外的所有网络协议。Web 服务器中的面向 Internet 的网络适配器上不需要服务器消息块 (SMB) 和 NetBIOS。
本节提供以下逐步说明,以降低 Web 服务器的攻击面:
? 禁用面向 Internet 连接上的 SMB
? 禁用基于 TCP/IP 的 NetBIOS
注意:禁用 SMB 和 NetBIOS 之后,此服务器不能用作文件服务器或打印服务器,不可以浏览网络,而且不能远程管理此 Web 服务器。如果您的服务器是需要管理员本地登录的专用 Web 服务器,这些限制则不会影响服务器的运行。
SMB 使用下列端口:
? TCP 端口 139
? TCP 和 UDP 端口 445 (SMB Direct Host)
NetBIOS 使用下列端口:
? TCP 和 UDP 端口 137(NetBIOS 命名服务)
? TCP 和 UDP 端口 138(NetBIOS 数据报服务)
? TCP 和 UDP 端口 139(NetBIOS 会话服务)
仅禁用 NetBIOS 将不会防止 SMB 通信,因为如果标准 NetBIOS 端口不可用,SMB 则使用 TCP 端口 445(也称为 SMB Direct Host)。您必须分别禁用 NetBIOS 和 SMB。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑、系统工具和设备管理器。
? 禁用面向 Internet 连接上的 SMB
1.
单击“开始”,单击“设置”,再单击“控制面板”,然后双击“网络连接”。
2.
右键单击您的面向 Internet 的连接,然后单击“属性”。
3.
清除“Microsoft 网络客户端”复选框。
4.
清除“Microsoft 网络的文件和打印机共享”复选框,然后单击“确定”。
? 禁用基于 TCP/IP 的 NetBIOS
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“系统工具”,然后选择“设备管理器”。
3.
右键单击“设备管理器”,单击“查看”,然后单击“显示隐藏的设备”。
4.
双击“非即插即用驱动程序”。
5.
右键单击“NetBios over Tcpip”,单击“停用”,然后单击“是”。
注意:本文档中的屏幕快照反映的是测试环境,其信息可能与您的屏幕所显示的信息有所不同。
上述过程不仅禁用 TCP 端口 445 和 UDP 端口 445 上的 SMB 直接宿主侦听者,而且禁用 Nbt.sys 驱动程序,并需要重新启动系统。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证 SMB 是否已禁用
1.
单击“开始”,单击“设置”,然后单击“网络和拨号连接”。
2.
右键单击您的面向 Internet 的连接,然后单击“属性”。
3.
验证是否清除了“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”复选框,然后单击“确定”。
? 验证 NetBIOS 是否已禁用
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“系统工具”,然后选择“设备管理器”。
3.
右键单击“设备管理器”,单击“查看”,然后单击“显示隐藏的设备”。
4.
双击“非即插即用驱动程序”,然后单击“NetBios over Tcpip”。
上下文菜单中现在出现“启用”选择,这表示 NetBIOS over TCP/IP 目前已禁用。
5.
单击“确定”关闭“设备管理器”。
只选择基本的 IIS 组件和服务
IIS 6.0 除了包括 WWW 服务之外,还包括一些子组件和服务,例如 FTP 服务和 SMTP 服务。为了最大限度地降低针对特定服务和子组件的攻击风险,建议您只选择网站和 Web 应用程序正确运行所必需的服务和子组件。
下表显示用作本文档示例的 Web 服务器上 IIS 子组件和服务在“添加或删除程序”中的推荐设置。
IIS 子组件和服务的推荐设置
子组件或服务 默认设置 Web 服务器设置
后台智能传输服务 (BITS) 服务器扩展
禁用
不更改
公用文件
启用
不更改
FTP 服务
禁用
不更改
FrontPage 2002 Server Extensions
禁用
不更改
Internet 信息服务管理器
启用
不更改
Internet 打印
禁用
不更改
NNTP 服务
禁用
不更改
SMTP 服务
启用
禁用
万维网服务
启用
不更改
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:添加或删除程序。
? 配置 IIS 组件和服务
1.
单击“开始”,单击“控制面板”,然后单击“添加或删除程序”。
2.
单击“添加/删除 Windows 组件”。
3.
在“Windows 组件向导”页面中的“组件”下,单击“应用程序服务器”,然后单击“详细信息”。
4.
单击“Internet 信息服务 (IIS)”,然后单击“详细信息”。
5.
参考上表,然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 IIS 组件和服务。
6.
按照“Windows 组件向导”中的以下说明来完成此向导。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否选择了 IIS 组件和服务
? 单击“开始”,单击“控制面板”,然后单击“管理工具”。
在“管理工具”菜单中出现“Internet 信息服务 (IIS) 管理器”。
只启用基本的 Web 服务扩展
服务于动态内容的 Web 服务器需要 Web 服务扩展。每种动态内容都响应特定的 Web 服务扩展。由于安全原因,IIS 6.0 允许您启用和禁用单独的 Web 服务扩展,因此,只启用您的内容所需要的扩展。
警告:不要启用所有的 Web 服务扩展。尽管启用所有的 Web 服务扩展可确保最大限度地兼容现有的网站和应用程序,但却大幅增加了 Web 服务器的攻击面。您可能需要分别测试您的网站和应用程序,以确保只启用必需的 Web 服务和扩展。
假设配置 Web 服务器来服务于作为默认网页的 Default.asp 文件。尽管配置了默认网页,但您必须启用 Active Server Pages Web 服务扩展才能查看 .asp 网页。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:Internet 信息服务 (IIS) 管理器 (Iis.msc)。
? 启用 Active Server Pages Web 服务扩展
1.
单击“开始”,单击“控制面板”,单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
双击“本地计算机”,然后单击“Web 服务扩展”。
3.
单击“Active Server Pages”,然后单击“允许”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否启用了 Active Server Pages Web 服务扩展
1.
打开“文本编辑器”,键入文本,然后将文件作为 Default.asp 保存到 C:\inetpub\wwwroot 目录。
2.
在 Internet Explorer 地址栏中,键入以下 URL,然后按 Enter 键: http://localhost。
浏览器中出现 Default.asp 文件。
返回页首
配置帐户
建议您删除未使用的帐户,因为攻击者可能发现这些帐户,然后利用这些帐户来获取您服务器上的数据和应用程序的访问权。始终使用强密码,因为弱密码增加了成功进行强力攻击或字典攻击(即攻击者竭尽全力地猜密码)的可能性。使用以最低特权运行的帐户。否则,攻击者可以通过使用以高级特权运行的帐户来获取未经授权的资源的访问权。
本节对配置帐户提供以下逐步说明:
? 禁用未使用的帐户
? 使用应用程序池来隔离应用程序
禁用未使用的帐户
未使用的帐户及其特权可以被攻击者用来获取服务器的访问权。您应该定期审核服务器上的本地帐户,并禁用未使用的任何帐户。在生产服务器上禁用这些帐户之前,先在测试服务器上禁用帐户,以确保禁用帐户不会对应用程序的操作方式带来不利影响。如果在测试服务器上禁用帐户没有出现任何问题,则在生产服务器上禁用帐户。
注意:如果您选择删除而不是禁用未使用的帐户,则一定要知道您不能恢复已删除的帐户,因而不能删除管理员帐户和来宾帐户。而且,一定要在生产服务器上删除帐户之前,先在测试服务器上删除此帐户。
本节对删除或禁用未使用的帐户提供以下逐步说明:
? 禁用来宾帐户
? 重命名管理员帐户
? 重命名 IUSR_ComputerName 帐户
禁用来宾帐户
采用匿名连接来访问 Web 服务器时,使用来宾帐户。在默认安装 Windows Server 2003 时,禁用来宾帐户。 要限制对服务器的匿名连接,请确保禁用来宾帐户。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:计算机管理
? 禁用来宾帐户
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“本地用户和组”,然后单击“用户”文件夹。来宾帐户应该以红色的 X 图标显示,以指示此帐户已禁用。如果来宾帐户未禁用,则继续步骤 3 来禁用此帐户。
3.
右键单击“Guest”(来宾)帐户,然后单击“属性”。
4.
在“常规”选项卡上,选中“帐户已停用”复选框,然后单击“确定”。
来宾帐户现在应该以红色 X 图标显示。
重命名管理员帐户
默认的本地管理员帐户因其在计算机上的更高特权而成为恶意用户的目标。要增强安全性,请重命名默认的管理员帐户并分配一个强密码。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑。
? 重命名默认的管理员帐户并分配一个强密码
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“本地用户和组”,然后单击“用户”文件夹。
3.
右键单击“Administrator”(管理员)帐户,然后单击“重命名”。
4.
在框中键入名称,然后按 Enter 键。
5.
在桌面上,按 Ctrl+Alt+Del,然后单击“更改密码”。
6.
在“用户名”框中键入管理员帐户的新名称。
7.
在“旧密码”框中键入当前密码,在“新密码”框中键入新密码,在“确认新密码”框中重新键入新密码,然后单击“确定”。
警告:不要使用上下文菜单中的“设置密码”菜单项来更改密码,除非您忘记了密码并且没有可用的密码重置磁盘。使用这种方法来更改管理员密码可能导致受此密码保护的信息永久丢失。
重命名 IUSR 帐户
默认的匿名 Internet 用户帐户 IUSR_ComputerName 是在 IIS 安装期间创建的。ComputerName 的值是安装 IIS 时服务器的 NetBIOS 名称。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑。
? 重命名 IUSR 帐户
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“本地用户和组”,然后单击“用户”文件夹。
3.
右键单击 IUSR_ComputerName 帐户,然后单击“重命名”。
4.
键入新帐户名称,然后按 Enter 键。
? 在 IIS 元数据库中更改 IUSR 帐户的值
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击“本地计算机”,然后单击“属性”。
3.
选中“允许直接编辑配置数据库”复选框,然后单击“确定”。
4.
浏览至 MetaBase.xml 文件的位置,默认情况下为 C:\Windows\system32\inetsrv。
5.
右键单击 MetaBase.xml 文件,然后单击“编辑”。
6.
搜索“AnonymousUserName”属性,然后键入 IUSR 帐户的新名称。
7.
在“文件”菜单上,单击“退出”,然后单击“是”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证帐户是否已禁用
1.
按 Ctrl+Alt+Del,然后单击“注销”以注销 Web 服务器。
2.
在“登录到 Windows”对话框中,在“用户名”框中键入已禁用帐户的名称,键入已禁用帐户的密码,然后单击“确定”。
出现以下消息:
您的帐户已被停用。请向系统管理员咨询。
? 验证帐户是否已重命名
1.
按 Ctrl+Alt+Del,然后单击“注销”以注销 Web 服务器。
2.
在“登录到 Windows”对话框中,在“用户名”框中键入已重命名帐户以前的名称,键入重命名帐户的密码,然后单击“确定”。
出现以下消息:
系统无法让您登录。请确定您的用户名及域无误,然后再次输入密码。密码的字母必须使用正确的大小写。
3.
单击“确定”,然后在“用户名”框中键入重命名帐户的新名称。
4.
键入重命名帐户的密码,然后单击“确定”。
您应该能够用重命名的帐户登录到计算机。
使用应用程序池来隔离应用程序
使用 IIS 6.0,可以将应用程序隔离到应用程序池。应用程序池是包含一个或多个 URL 的一个组,一个工作进程或者一组工作进程对应用程序池提供服务。因为每个应用程序都独立于其他应用程序运行,因此,使用应用程序池可以提高 Web 服务器的可靠性和安全性。
在 Windows 操作系统上运行进程的每个应用程序都有一个进程标识,以确定此进程如何访问系统资源。每个应用程序池也有一个进程标识,此标识是一个以应用程序需要的最低权限运行的帐户。可以使用此进程标识来允许匿名访问您的网站或应用程序。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑。
? 创建应用程序池
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
双击本地计算机,右键单击“应用程序池”,单击“新建”,然后单击“应用程序池”。
3.
在“应用程序池 ID”框中,为应用程序池键入一个新 ID(例如,ContosoAppPool)。
4.
在“应用程序池设置”下,单击“Use default settings for the new application pool”(使用新应用程序池的默认设置),然后单击“确定”。
? 将网站或应用程序分配到应用程序池
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要分配到应用程序池的网站或应用程序,然后单击“属性”。
3.
根据您选择的应用程序类型,单击“主目录”、“虚拟目录”或“目录”选项卡。
4.
如果您将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称。
-或者-
如果在“应用程序名”框中没有名称,则单击“创建”,然后键入网站或应用程序的名称。
5.
在“应用程序池”列表框中,单击您想要分配网站或应用程序的应用程序池的名称,然后单击“确定”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否创建了应用程序池
1.
使用管理员帐户登录到 Web 服务器。
2.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
3.
双击本地计算机,双击“应用程序池”,然后验证是否在应用程序池节点下出现您所创建的应用程序池。
4.
右键单击您所创建的程序池,然后单击“属性”。
5.
单击“标识”选项卡,验证此应用程序池是否设置为称作“网络服务”的预定义的安全帐户,然后单击“确定”。
? 验证网站或应用程序是否分配到特定的应用程序池
1.
使用管理员帐户登录到 Web 服务器。
2.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
3.
双击本地计算机,双击“网站”,右键单击您想要验证应用程序池设置的网站,然后单击“属性”。
4.
根据您选择的应用程序类型,单击“主目录”、“虚拟目录”或“目录”选项卡。
5.
在“应用程序池”列表框中,验证是否列出您想要将网站分配到的应用程序池的名称,然后单击“取消”。
返回页首
配置文件和目录的安全
使用强访问控制来帮助保护敏感的文件和目录。在多数情况下,允许对特定帐户的访问比拒绝对特定帐户的访问更加有效。如有可能,请将访问设置在目录级。当文件添加到文件夹时,它们继承文件夹的权限,因此您不需要采取进一步的措施。
本节对配置文件和目录提供以下逐步说明:
? 重定位和设置 IIS 日志文件的权限
? 配置 IIS 元数据库权限
? 禁用 FileSystemObject 组件
重新定位和设置 IIS 日志文件的权限
为了增强 IIS 日志文件的安全,您应该将文件重新定位到非系统驱动器,此驱动器格式化为使用 NTFS 文件系统。此位置应该与网站内容的位置不同。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑和 Internet 信息服务 (IIS) 管理器 (Iis.msc)。
? 将 IIS 日志文件的位置移动到非系统分区
1.
单击“开始”,右键单击“我的电脑”,然后单击“资源管理器”。
2.
浏览至您想要重新定位 IIS 日志文件的位置。
3.
右键单击您想要重新定位 IIS 日志文件的上一级目录,单击“新建”,然后单击“文件夹”。
4.
键入文件夹的名称,例如 ContosoIISLogs,然后按 Enter 键。
5.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
6.
右键单击网站,然后单击“属性”。
7.
单击“网站”选项卡,然后单击“启用日志记录”框架中的“属性”。
8.
在“常规属性”选项卡中,单击“浏览”,然后导航到您刚才创建的文件夹以存储 IIS 日志文件。
9.
单击“确定”三次。
注意:如果您在原来的位置 Windows\System32\Logfiles 上有 IIS 日志文件,则必须将这些文件手动移动到新位置。IIS 不为您移动这些文件。
? 设置 IIS 日志文件的 ACL
1.
单击“开始”,右键单击“我的电脑”,然后单击“资源管理器”。
2.
浏览至日志文件所在的文件夹。
3.
右键单击此文件夹,单击“属性”,然后单击“安全”选项卡。
4.
在顶部窗格中,单击“Administrators”(管理员),确保底部窗格中的权限设置为“完全控制”。
5.
在顶部窗格中,单击“System”(系统),确保底部窗格中的权限设置为“完全控制”,然后单击“确定”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否移动了日志文件并设置了权限
1.
单击“开始”,单击“搜索”,然后单击“文件或文件夹”。
2.
在“要搜索的文件名”框中键入部分或完整的文件名(例如 LogFiles),在“搜索范围”框中选择一个位置,然后单击“立即搜索”。
搜索返回日志文件的新位置。
3.
按 Ctrl+Alt+Del,然后单击“注销”。
4.
使用没有日志文件访问权的帐户来登录到 Web 服务器。
5.
单击“开始”,右键单击“我的电脑”,单击“资源管理器”,然后浏览至 LogFiles 目录。
6.
右键单击 LogFiles 目录,然后单击“打开”。
出现以下消息:
? 拒绝访问。
配置 IIS 元数据库权限
IIS 元数据库是包含大部分 IIS 配置信息的 XML 文件。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑和 MetaBase.xml 文件。
? 限制 MetaBase.xml 文件的访问权
1.
单击“开始”,右键单击“我的电脑”,然后单击“资源管理器”。
2.
浏览至 Windows\System32\Inetsrv\MetaBase.xml 文件,右键单击此文件,然后单击“属性”。
3.
单击“安全”选项卡,确认只有 Administrators 组的成员和 LocalSystem 帐户拥有对元数据库的完全控制访问权,删除所有其他文件权限,然后单击“确定”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证对 MetaBase.xml 文件受限制的访问
1.
按 Ctrl+Alt+Del,然后单击“注销”。
2.
使用没有 MetaBase.xml 文件访问权的帐户来登录到 Web 服务器。
3.
单击“开始”,右键单击“我的电脑”,单击“资源管理器”,然后浏览至 MetaBase.xml 的位置。
4.
右键单击 MetaBase.xml 文件,然后单击“打开”。
出现以下消息:
? 拒绝访问。
禁用 FileSystemObject 组件
ASP、Windows 脚本主机和其他编写脚本的应用程序使用 FileSystemObject (FSO) 组件来创建、删除、获取信息以及操纵驱动器、文件夹和文件。可考虑禁用 FSO 组件,但要注意,这也将删除字典对象。另外,验证是否没有其他程序需要这个组件。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:命令提示符。
? 禁用 FileSystemObject 组件
1.
单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
2.
切换到 C:\Windows\system32 目录。
3.
在命令提示符处,键入 regsvr32 scrrun.dll /u ,然后按 Enter 键。
出现以下消息:
DllUnregisterServer in scrrun.dll succeeded。
4.
单击“确定”。
5.
在命令提示符处,键入 exit 关闭命令提示窗口。
返回页首
保护网站和虚拟目录
将 Web 根目录和虚拟目录重新定位到非系统分区,以帮助防御目录遍历攻击。这些攻击允许攻击者执行操作系统程序和工具。由于这种攻击不能遍历所有驱动器,因此,将网站内容重新定位到另一个驱动器可以增强对这些攻击的防护。
本节对保护网站和虚拟目录提供以下逐步说明:
? 将网站内容移动到非系统驱动器
? 配置网站权限
将网站内容移动到非系统驱动器
不要使用默认的 \Inetpub\Wwwroot 目录作为网站内容的位置。例如,如果系统安装在 C: 驱动器,则将内容目录移动到 D: 驱动器,以减轻目录遍历攻击(这种攻击试图浏览 Web 服务器的目录结构)带来的危险。一定要验证是否所有的虚拟目录都指向新驱动器。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:Internet 信息服务 (IIS) 管理器 (Iis.msc) 和命令提示。
? 将网站内容移动到非系统驱动器
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要移动其内容的网站,然后单击“停止”。
3.
单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
4.
在命令提示符处键入以下命令:
xcopy c:\inetpub\wwwroot\SiteName Drive:\wwwroot\SiteName /s /i /o
在上述命令中,
? SiteName 由您的网站名代替。
? Drive 由新驱动器名代替,例如 D。
5.
返回到 Internet 信息服务 (IIS) 管理器管理单元。
6.
右键单击网站,然后单击“属性”。
7.
根据您选择的应用程序类型,单击“主目录”、“虚拟目录”或“目录”选项卡,在“本地路径”框中键入新目录位置,然后单击“确定”。
-或者-
浏览至您刚才复制了文件的目录位置,然后单击“确定”。
8.
右键单击网站,然后单击“开始”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证网站内容是否已经移动到非系统驱动器
1.
单击“开始”,单击“搜索”,然后单击“文件或文件夹”。
2.
在“要搜索的文件名”框中键入部分或完整的文件名,在“搜索范围”中选择位置,然后单击“立即搜索”。
搜索结果列出您移动到新位置的文件以及原有位置的文件。
? 删除系统驱动器上的网站内容
? 导航到 C:\Inetpub\Wwwroot\SiteName 目录,然后删除移动到非系统驱动器的文件。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证网站内容是否已经从系统驱动器上删除
1.
单击“开始”,单击“搜索”,然后单击“文件或文件夹”。
2.
在“要搜索的文件名”文本框中键入部分或完整的文件名,在“搜索范围”中选择一个位置,然后单击“立即搜索”。
搜索结果只列出您移动到新位置的文件。
配置网站权限
可以为您的 Web 服务器配置特定站点、目录和文件的访问权。这些权限可以应用于所有用户,无论用户有何特定的访问权。
配置文件系统目录的权限
IIS 6.0 依靠 NTFS 权限来帮助保护单个文件和目录不会受到未经授权的访问。网站权限应用于试图访问网站的任何人,与此不同的是,您可以使用 NTFS 权限来定义哪些用户可以访问您的内容,以及如何允许这些用户操作这些内容。为了增强安全性,同时使用网站权限和 NTFS 权限。
访问控制列表 (ACL) 指示哪些用户或组有访问或修改特定文件的权限。不是在每个文件上设置 ACL,而是为每种文件类型创建新目录,在每个目录上设置 ACL,然后允许文件从它们所在的目录中继承这些权限。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑和 Internet 信息服务 (IIS) 管理器 (Iis.msc)。
? 将网站内容移动到单独的文件夹
1.
单击“开始”,右键单击“我的电脑”,然后单击“资源管理器”。
2.
浏览至包含网站内容的文件,然后单击网站内容的最上层的文件夹。
3.
在“文件”菜单中,单击“新建”,然后单击“文件夹”,以便在网站的内容目录中创建一个新文件夹。
4.
为文件夹命名,然后按 Enter 键。
5.
按 Ctrl 键,然后选择您想要保护的每个网页。
6.
右键单击这些网页,然后单击“复制”。
7.
右键单击新文件夹,然后单击“粘贴”。
注意: 如果您已经创建了到这些网页的链接,则必须更新这些链接以便反映站点内容的新位置。
? 设置 Web 内容的权限
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要配置的网站的文件夹、网站、目录、虚拟目录或文件,然后单击“属性”。
3.
根据您想要授权或拒绝访问的类型,选择或清除下列任何复选框(如果可用):
? 脚本源文件访问。用户可以访问源文件。如果选择“读”,则可以读源文件;如果选择“写”,则可以写源文件。脚本源访问包括脚本的源代码。如果“读”或“写”均未选择,则此选项不可用。
? 读(默认情况下选择)。用户可以查看目录或文件的内容和属性。
? 写。用户可以更改目录或文件的内容和属性。
? 目录浏览。用户可以查看文件列表和集合。
? 日志访问。对网站的每次访问创建日志项。
? 检索资源。允许检索服务检索此资源。这允许用户搜索资源。
4.
在“执行权限”列表框中,选择脚本执行的相应级别:
? 无。不在服务器上运行脚本和可执行文件(例如,文件类型为 .exe 的文件)。
? 仅脚本。只在服务器上运行脚本。
? 脚本和可执行文件。在服务器运行脚本和可执行文件。
5.
单击“确定”。如果目录的子节点配置了不同的网站权限,则出现“继承覆盖”框。
6.
如果出现“继承覆盖”框,在“子节点”列表中选择您想要应用目录的 Web 权限的子节点。
-或者-
单击“全选”来设置属性,以便将 Web 权限应用到所有子节点。
7.
如果您不只看到一个“继承覆盖”对话框,则从“子节点”列表中选择子节点,或者单击“全选”,然后单击“确定”,以便将此属性的 Web 权限应用到子节点。
如果一个子节点属于您已经更改了网站权限的目录,此节点还为特定选项设置了网站权限,则子节点的权限将覆盖您为目录设置的权限。如果您想要将目录级的 Web 权限应用到子节点,则必须在“继承覆盖”框中选择这些子节点。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否拒绝网站内容目录的写权限
1.
按 Ctrl+Alt+Del,然后单击“注销”。
2.
使用在物理或虚拟目录上具有“读”和“执行”权限的帐户来登录到 Web 服务器。
3.
单击“开始”,右键单击“我的电脑”,单击“资源管理器”,浏览至一个文件位置,您想要将此位置的文件复制到物理或虚拟目录。
4.
右键单击此文件,然后单击“复制”。
5.
浏览至物理或虚拟目录的位置,然后右键单击此目录。“粘贴”选项在上下文菜单上不可用,这意味着您没有此目录的写权限。
返回页首
在 Web 服务器上配置安全套接字层
在 Web 服务器上配置安全套接字层 (SSL) 安全功能,以便验证内容的完整性,验证用户身份并对网络传输加密。SSL 安全依靠服务器证书,此证书允许用户在传输个人信息(例如信用卡帐号)之前验证 Web 网站的身份。每个网站只能有一个服务器证书。
获取并安装服务器证书
证书由称作证书颁发机构 (CA) 的非 Microsoft 组织颁发。服务器证书通常与 Web 服务器有关,尤其与配置了 SSL 的网站有关。您必须生成证书请求,将此请求发送到 CA,然后在接收到 CA 的证书之后安装此证书。
证书依靠一对加密密钥(一个公钥和一个私钥)来确保安全。当您生成服务器证书请求时,您实际上正在生成私钥。从 CA 接收到的服务器证书包含公钥。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:Internet 信息服务 (IIS) 管理器 (Iis.msc) 和 Web 服务器证书向导。
? 生成服务器证书请求
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“服务和应用程序”部分, 然后双击“Internet 信息服务”。
3.
右键单击您想要安装服务器证书的网站,然后单击“属性”。
4.
单击“目录安全”选项卡。在“安全通信”部分中,单击“服务器证书”,以启动“Web 服务器证书向导”,然后单击“下一步”。
5.
单击“创建一个新证书”,然后单击“下一步”。
6.
单击“立即准备请求,但稍后发送”,然后单击“下一步”。
7.
在“名称”框中,键入容易记住的名称。(默认的名称是您正在生成证书请求的网站名,例如 http://www.contoso.com。)
8.
指定位长度,然后单击“下一步”。
加密密钥的位长度确定了加密的强度。大多数非 Microsoft CA 都希望您最少选择 1024 位。
9.
在“组织”部分,键入您的组织和组织单位信息。确保此信息的准确性,并且“组织”字段中不包含逗号,然后单击“下一步”。
10.
在“站点的公用名称”部分,键入含域名的宿主计算机的名称,然后单击“下一步”。
11.
键入您的地理信息,然后单击“下一步”。
12.
将此文件保存为 .txt 文件。(默认的文件名和位置是 C:\certreq.txt。)
以下示例显示证书请求文件的特征。
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
13.
确认请求的详细信息,单击“下一步”,然后单击“完成”。
? 提交服务器证书请求
1.
联系 CA,查找提交请求的要求。
2.
将上述过程中创建的 .txt 文件的内容复制成 CA 要求的请求格式。
3.
将请求发送给您的 CA。
接收到 CA 的证书后,准备在您的 Web 服务器上安装此证书。
? 安装服务器证书
1.
将证书 (.cer) 文件复制到 C:\Windows\System32\CertLog 文件夹。
2.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
3.
右键单击您想要安装服务器证书的网站,然后单击“属性”。
4.
单击“目录安全”选项卡。在“安全通信”部分中,单击“服务器证书”,以启动“Web 服务器证书向导”,然后单击“下一步”。
5.
单击“处理挂起的请求并安装证书”,然后单击“下一步”。
6.
浏览至您接收到的 CA 证书。单击“下一步”两次,然后单击“完成”。
验证新的设置
验证正确设置是否已经应用于您的本地计算机。
? 验证是否在 Web 服务器上安装了证书
1.
单击“开始”,单击“控制面板”,单击“管理工具”,然后单击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要查看证书的网站,然后单击“属性”。
3.
在“目录安全”选项卡上的“安全通信”区域内,单击“查看证书”,查看证书之后,单击“确定”两次。
在 Web 服务器上强制和启用 SSL 连接
安装服务器证书之后,必须在 Web 服务器上强制 SSL 连接。然后,必须启用 SSL 连接。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:Internet 信息服务 (IIS) 管理器 (Iis.msc)。
? 强制 SSL 连接
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要强制 SSL 连接的网站,然后单击“属性”。
3.
单击“目录安全”选项卡。在“安全通信”部分,单击“编辑”。
4.
单击“要求安全通道 (SSL)”,选择加密长度,然后单击“确定”。
注意:如果您指定 128 位加密,使用 40 位或 56 位长度浏览的客户端计算机不能与您的站点通信,除非将其浏览器升级到支持 128 位加密的版本。
? 在 Web 服务器上启用 SSL 连接
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要启用 SSL 连接的网站,然后单击“属性”。
3.
单击“网站”选项卡。在“网站标识”部分,验证“SSL 端口”是否填充了数值 443。
4.
然后单击“高级”。通常出现两个对话框,在“此网站的多个标识”框中列出此网站 IP 地址和端口。在“此网站的多个 SSL 标识”字段下,如果还没有列出端口 443,则单击“添加”。选择服务器的 IP 地址,在“SSL 端口”框中键入数值“443”,然后单击“确定”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证 Web 服务器上的 SSL 连接
1.
打开浏览器,然后尝试通过标准的 http:// 协议来连接到 Web 服务器。例如,在“地址”框中,键入 http://localhost。
如果 SSL 被强制,则出现以下错误消息:
网页必须通过安全通道查看。您试图访问的网页受到安全套接字层 (SSL) 保护。
2.
通过键入 https://localhost,再次尝试连接到您想要查看的网页。
通常出现 Web 服务器的默认网页。
服务器采用的windows 2000 advanced server ,遵循以下安装步骤:
1. 安装前注意事项:
服务器的安装过程中一定要把服务器从网络上断开,因为Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。
2. 安装中分区的设置:
安装过程中只需要分出一个8G的分区作为系统分区,其余的等操作系统安装完后再进行分区及相关设置,分区采用NTFS格式
3. 安装中组件的定制:
服务器安装过程中不要采用典型安装,而是要自己定制需要安装的软件包,由于本系统的要求,选择安装的组件一个都不要选择,这样我们会得到一个干净的纯净的最小化的系统(安装成独立的工作组(Stand Alone),选择工作组成员,不选择域;)
4. 操作系统安装完成之后的分区及硬盘设置:
安装完成后首先到磁盘管理里面把两块硬盘都升级为动态磁盘,并对系统区做软件的RAID 1也就是添加镜像(因为本服务器无硬件RAID功能),然后再用剩余的磁盘创建一个镜像卷用来存放数据及应用程序
5.基本的安全配置
a .) 端口控制:
由于本系统的特点,端口控制可以通过本地安全策略实现,在管理工具的本地安全策略里面右击IP安全策略新建一个安全策略取名为filter-〉默认激活-〉默认值-〉是-〉finishà 添加-〉选此规则不指定隧道-〉选所有的网络连接-〉选windows默认值-〉是-〉添加-〉名称改为port filter à 依次逐项添加对以下端口的过滤,135-从任意到我的IP地址tcp 目标端口135 同样的方法过滤135 的UDP 端口,445的TCP和UDP端口,1025 ,1027,1028 ,3372的TCP端口,1026,1434的UDP端口,然后选关闭,之后选中刚添加的port filter-〉下一步增加一个filter action,取名为deny-〉采取的动作选block-〉完成-〉选中新建的deny规则-〉完成-〉右击新建的ip 安全策略-〉指派
b. ) 帐号策略:
帐号尽可能少,且尽可能少用来登录;本系统只预留两个administrator组的账号admintelecom (由administrator改名得来)和admineasteq(新添加)为这两个账号设置两个不同的复杂的密码,长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。 ,同时将guest用户改名为nobody并设置一个复杂的密码,然后将其隶属组里面的guest删掉,然后将该账号禁用,将其余的用户全部从系统里面删除,口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令);在帐号属性中设立锁定次数,比如改帐号失败登录次数超过.3次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。
c.) 安全日志:
Win2000的默认安装是不开任何安全审核的!
请到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟
同时还要在本地安全策略的安全选项里面将lan manager 身份验证级别改为发送LM&NTLM相应-若协商使用NTLM V2会话安全,对匿名连接的额外限制改为没有显式匿名权限就无法访问,启用登陆屏幕上不显示上次登陆的用户名,根据自己的要求定制用户试图登陆时的消息标题和消息文字
d. ) 目录和文件权限:
删除C盘的everyony 的权限,添加两个管理员的完全控制权,administrator组的完全控制权Authenticated Users; NETWORK;的读取运行,列目录,读的权限, SERVICE的读取运行,列目录,读,写的权限,system的完全控制权限
e.) 有关IPC的一些设置
只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议;
解除NetBios与TCP/IP协议的绑定,同时要在tcp/ip的高级属性里面取消掉enable LMHOSTS lookup
方法:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
删除所有的网络共享资源,在网络连接的设置中删除文件和打印共享,只留下TCP/I
P协议
修改注册表:
运行Regedit,然后修改注册表在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键
Name: AutoShareServer
Type: REG_DWORD
Value: 0
同样增加以下键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
f. ) 通过修改注册表修改一些系统的指纹和系统tcp\ip的参数:
预防DoS:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2
TcpMaxHalfOpen REG_DWORD 500 TcpMaxHalfOpenRetried REG_DWORD 400EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0
改变windows系统的一些默认值(例如:数据包的生存时间(TTL)值,不同系统有不同的值,有经验的人可以根据TTL的不同的值判断对方使用的是何种操作系统。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)本系统改为十进制56
不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600
不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
g.) 系统服务的调整与管理
将以下服务停止并禁用:clipbook, Application Management ,computer browser , DHCP client , Distributed filesystem , Distributed Link Tracking client ,Distributedlink tracking server , DNS client , FAX services , File Replication , indexing service , internet connection sharing , netmeeting Remote Desktop Sharing , print spooler , Remote Registry service , Task scheduler , TCP/IP NetBIOS Helper services , Telnet , Terminal Services ,Workstation ,License Logging ,Messenger,NetMeeting Remote Desktop Sharing,Network DDE,Network DDE DSDM ,Net Logon,Network News Transport Protocol ,IPSEC Policy Agent,QoS RSVP 其余的服务采用默认设置
h.) 启动管理,内存管理,和内存转储管理
在我的电脑的属性里面的高级选项,将性能选项里面开为后台服务,并加大虚拟内存为800-1600M ,启动和故障恢复选项里面取消自动重新启动,将完全内存转储选项改为无
I .)做完以上设置后将电脑接入网络,安装杀毒软件并更新病毒数据库,打开文件系统实时监控功能,同时安装SP3,重新启动后将IE升级到6.0,再重新启动,之后再安装IE 6.0 SP1之后重新启动后通过开始菜单的windows update 组件扫描并更新全部的安全更新与hotfix,并打开自动升级功能,系统自动探测网络上有无可用更新,并自动更新
附录1:建议调整的TCP/IP参数
除了上述所列出的设置之外,可以修改下列项以辅助系统更有效地抵御攻击。请注
意,这些推荐值决不是使系统不受攻击,而只在于调整 TCP/IP 栈防范攻击。这些
项的设置并不涉及系统上的许多其它组件(可能被用于攻击系统)。对于注册表的
任何更改,管理员必须充分了解这些更改对系统默认功能的影响以及在他们的环境
中是否适当。
SynAttackProtect
项: TcpipParameters
数值类型:REG_DWORD
有效范围:0、1、2
0(没有 SYN 攻击保护)
1(如果满足 TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 设置,减少重传重试次
数与延迟的 RCE(路由缓存项)创建。)
2(除 1 之外的另一个 Winsock 延迟指示。)
备注 当系统发现自己受到攻击时,任何套接字上的下列选项不再启用:可缩放窗
口 (RFC 1323) 与每个适配器上已配置 TCP 参数(初始 RTT、窗口大小)。这是
因为当保护生效时,在发送 SYN-ACK 之前不再查询路由缓存项,并且连接过程中
Winsock 选项不可用。
默认值: 0 (false)
推荐值: 2
说明:SYN 攻击保护包括减少 SYN-ACK 重传次数,以减少分配资源所保留的时间
。路由缓存项资源分配延迟,直到建立连接为止。如果 synattackprotect = 2,
则 AFD 的连接指示一直延迟到三路握手完成为止。注意,仅在 TcpMaxHalfOpen
和 TcpMaxHalfOpenRetried 设置超出范围时,保护机制才会采取措施。
TcpMaxHalfOpen
项: TcpipParameters
数值类型: REG_DWORD - 数字
有效范围: 100-0xFFFF
默认值: 100 (Professional、Server)、500 (Advanced Server)
说明:该参数控制 SYN 攻击保护启动前允许处于 SYN-RCVD 状态的连接数量。如
果将 SynAttackProtect 设为 1,确保该数值低于要保护的端口上 AFD 侦听预备
的值(有关详细信息,参见附录 C 中的预备参数)。有关详细信息,请参见
SynAttackProtect 参数。
TcpMaxHalfOpenRetried
项: TcpipParameters
数值类型: REG_DWORD - 数字
有效范围: 80-0xFFFF
默认值: 80 (Professional、Server)、400 (Advanced Server)
说明:该参数控制在 SYN 攻击保护启动前处于 SYN-RCVD 状态的连接数量,对于
该连接至少有一个 SYN 重传已经发送。有关详细信息,参见 SynAttackProtect
参数。
EnablePMTUDiscovery
项: TcpipParameters
数值类型:REG_DWORD - 布尔值
有效范围:0、1(false、true)
默认值: 1 (true)
推荐值: 0
说明:将该参数设置为 1 (true) 时,TCP 将查找到达远程主机路径上的最大传输
单位(MTU 或最大的数据包大小)。通过发现路径 MTU 并将 TCP 字段限制到这个
大小,TCP 可以限制在连结到不同的 MTU 网络的路由器上的碎片。碎片会影响
TCP 吞吐量和网络堵塞。将这个参数设置成 0,会导致为所有不在本地子网上主机
连接使用 576 字节的 MTU。
NoNameReleaseOnDemand
项: NetbtParameters
数值类型: REG_DWORD - 布尔值
有效范围:0、1(false、true)
默认值: 0 (false)
推荐值: 1
说明:该参数确定当收到网络的名称释放请求时,计算机是否释放其 NetBIOS 名
称。添加该参数,管理员就可以保护机器免遭恶意名称释放攻击。
EnableDeadGWDetect
项: TcpipParameters
数值类型: REG_DWORD - 布尔值
有效范围:0、1(false、true)
默认值: 1 (true)
推荐值: 0
说明:当该参数设为 1 时,允许 TCP 执行间隔网关检测。启用该功能时,如果处
理多个连接有困难时,TCP 可以请求 IP 改到备份网关。备份网关可以在“网络控
制面板”中“TCP/IP 配置”对话框的“高级”部分进行定义。有关详细信息,请
参见本文“间隔网关检测”一节。
KeepAliveTime
项: TcpipParameters
数值类型:REG_DWORD - 时间(毫秒)
有效范围: 1-0xFFFFFFFF
默认值: 7,200,000(两个小时)
推荐值:300,000
说明:通过发送保留的数据包,该参数可确定 TCP 要隔多长时间验证一次闲置连
接仍仍未断开。如果远程系统仍可以连接并正在运行,它就会确认保留传输。默认
情况下,不发送保留数据包。应用程序可以在连接上启用这一功能。
PerformRouterDiscovery
项: TcpipParametersInterfacesinterface
数值类型:REG_DWORD
有效范围:0、1、2
0(禁用)
1(启用)
2(仅当 DHCP 发送路由器发现选项时启用)
默认值: 2,DHCP 控制,但默认情况下为关闭。
推荐值: 0
说明:该参数控制 Windows 2000 是否根据每个接口上的 RFC 1256 执行路由器发
现
附录2:windows 2000的系统服务与建议
1:Alerter
服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息.
可执行文件: %systemRoot%\system32\services.exe
风险: 潜在可能导致社会工程攻击
建议: 将Alerter服务发出的警告限定为只由管理员接收.
2:Application Management
服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序.
可执行文件: winnt\system32\services.exe
风险: 无
建议: 非组策略使用应用程序,最好禁用该服务.
3:Boot Information Negotiation Layer
服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行.
可执行文件: winnt\system32\services.exe
风险: 无
4:Brower
服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序
可执行文件: winnt\system32\services.exe
风险: 暴露有关网络的信息
建议: 禁止
5:Indexing
服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们.
可执行文件: winnt\system32\services.exe
风险: 其为IISweb服务器上诸多安全弱点的根源
建议: 除非特别需要,否则禁止.
6:ClipBook
服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形.
可执行文件: winnt\system32\Clipsrv.exe
风险: 潜在被非法用于远程访问ClipBook剪贴页面
建议: 禁止
7:Distributed File System
服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.
可执行文件: winnt\system32\Dfssrc.exe
风险: 暂无已知风险
建议: 禁止
8:DHCP client
服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议:为服务器分配一个静态IP
9:Logical Disk Manager Administrative
服务方向: 用于管理逻辑盘
可执行文件: winnt\system32\dmadmin.exe
风险: 暂无已知风险
建议:将服务的启动类型设为手动(Manual)
10:Logical Disk Manager
服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 系统运行时需要,保持默认得自动启动
11:DNS Server
服务方向: 负责解答DNS域名查询
可执行文件: winnt\system32\dns.exe
风险: 无已知风险
建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.
12:DNS Client
服务方向: 用于缓存DNS查询来进行记录.可用于某个入侵检测系统的DNS查询,可加速DNS查询的速度.
可执行文件: winnt\system32\services.exe
风险: 无已知风险,但攻击者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns)
建议:可停可不停
13:Event Log
服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检测和系统监视.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 该服务应该被启动,尤其实在独立服务器上.
14:COM+Eent System
服务方向: 提供自动事件分布功能来订阅COM组件.
可执行文件: winnt\system32\svchost.exe -k nesvcs
风险: 无已知风险
建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务.
15:Fax
服务方向: 它负责管理传真的发送和接收.
可执行文件: winnt\system32\faxsvc.exe
风险: 无已知风险
建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器.
16: Single Instance Storage Groveler
服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间.
风险: 无已知风险
建议: 除非你需要使用 Remote Installation 服务,否则请停止它.
17:Internet Authentication Service
服务方向: 用于认证拨号和VPN用户.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 无已知风险
建议: 显然除了在拨号和VPN服务器上,该服务不应该使用.禁止.
18:IIS Admin
服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 无已知风险
建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载.
19: Intersite Messaging
服务方向: Intersite Messaging服务和Active Directory replication一起使用.
可执行文件: winnt\system32\ismserv.exe
风险: 无已知风险
建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.
20:Kerberos Key Distribution Center
服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)
可执行文件: winnt\system32\lsass.exe
风险: 没有已知风险
建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行.
21: Server
服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求.
可执行文件: winnt\system32\services.exe
风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源
建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务.
(附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!)
22:Workstation
服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源.
可执行文件: winnt\system32\services.exe
风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中
建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务.
23: TCP/IP打印服务器
服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机.
可执行文件: winnt\system32\tcpsvcs.exe
风险: 具有一些安全性弱点,并打开一个监听端口
建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.
24:License Logging
服务方向: 该服务负责管理某个站点的许可协议信息.
可执行文件: winnt\system32\llssrv.exe
风险: 没有已知风险
建议: 除了在域控制器上,其他计算机不应当使用该服务.
25:TCP/IP NETBIOS Helper
服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.
可执行文件: winnt\system32\services.exe
风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证
建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务.
26:Messenger
服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 该服务不需要而且应当被禁用.
27:NetMeeting Remote Desktop Sharing
服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.
可执行文件: winnt\system32\mnmsrvc.exe
风险: 是一个具有潜在不安全性的服务
建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问.
28: Distributed Transaction Coordinator
服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务.
可执行文件: winnt\system32\msdtc.exe
风险: 没有已知风险
建议: 无需禁止
29: FTP Publishing
服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务.
建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视.
30: Windows Installer
服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时很有用的.
可执行文件: winnt\system32\msiexec.exe/V
风险:无已知风险
建议: 保留
31:Network DDE
服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性.
可执行文件: winnt\system32\netdde.exe
风险: 通过网络接受DDE请求
建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动.
32: Network DDE DSDM
服务方向: 该服务保存一个共享对话(shared conversation)
数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问.
可执行文件: winnt\system32\netdde.exe
风险: 没有已知风险
建议: 该服务应当设置为手工启动
33:Net Logon
服务方向: 支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication).
可执行文件: winnt\system32\lsass.exe
风险: 可以用于对强力密码攻击进行传递
建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止.
34: Network Connections
服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中的对象,该文件夹中你可以看到局域网和远程连接.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动.
35: Network News Transport Protocol(NNTP)
服务方向: 用于提供一个新闻服务器服务,例如USENET.
可执行文件: winntsystem32\inetsrv\inetinfo.exe
风险: 没有已知风险
建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务.
36: File Replication
服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据.
可执行文件: winnt\system32\ntfrs.exe
风险:没有已知风险
建议:它在多个服务之间维护文件目录内容的文件同步,保持原状.
本页内容
简介
准备工作
减少 Web 服务器的攻击面
配置帐户
配置文件和目录的安全
保护网站和虚拟目录
在 Web 服务器上配置安全套接字层
相关信息
简介
Web 服务器通常是各种安全攻击的目标。其中一些攻击非常严重,足以对企业资产、工作效率和客户关系造成相当的破坏—所有攻击都会带来不便和麻烦。Web 服务器的安全是企业成功的关键。
本文档说明如何开始保护 Web 服务器的过程。此 Web 服务器在 Microsoft? Windows Server? 2003 Standard Edition 操作系统上运行 Internet Information Services (IIS) 6.0。首先,本节描述影响 Web 服务器安全的一些最常见威胁。然后,本文档提供说明性指导,使您的 Web 服务器更安全地防御这些攻击。
通过对 IIS 早期版本做以下更改,IIS 6.0 以更加主动的姿态来防御恶意用户和攻击者:
? 安装 Windows Server 2003 Standard Edition 时,默认情况下没有安装 IIS 6.0。
? 初次安装 IIS 6.0 时,Web 服务器仅服务于或显示静态网页 (HTML),这降低了服务于动态网页或可执行文件、内容而带来的风险。
? 万维网发布服务(WWW 服务)是 IIS 6.0 初次安装时在默认情况下支持的唯一服务。您可以在需要时启用所需要的特定服务。
? IIS 6.0 初次安装时,默认情况下禁用 ASP 和 ASP.NET。
? 对于其他保护,IIS 6.0 中所有默认的安全配置设置都符合或超过由 IIS Lockdown Tool 提供的安全配置设置。IIS Lockdown Tool 在 IIS 的早期版本上运行,旨在通过禁用不必要的特性来减少 Web 服务器的攻击面。有关 IIS Lockdown Tool 的详细信息,请参阅 Security Guidance Kit 中的“确保 Internet 信息服务 5.0 和 5.1 的安全”。
由于 IIS 6.0 的默认设置禁用了 Web 服务通常使用的许多功能,因此,本文档说明如何在降低服务器暴露给潜在攻击者程度的同时配置 Web 服务器的其他功能。
本文档就增强 Web 服务器的安全提供以下指导:
? 减少 Web 服务器的攻击面,或者降低服务器暴露给潜在攻击者的程度。
? 配置匿名访问的用户和组帐户
? 保护文件和目录不接受未经授权的访问
? 保护网站和虚拟目录不接受未经授权的访问
? 配置 Web 服务器上安全套接字层 (SSL)
要点:本文档包括的所有逐步说明都是使用“开始”菜单形成的,此菜单在安装操作系统时默认显示。如果修改过“开始”菜单,则这些步骤可能稍有不同。
在您完成本文档中的步骤之后,Web 服务器将能够服务于以 .asp 页面形式提供的动态内容,而且仍然能够对以下类型的攻击提供强有力的保护,这些攻击有时威胁到面向 Internet 的服务器:
? 配置文件攻击,此攻击搜集网站的有关信息;可通过禁止不需要的端口和禁用不需要的协议来减少这种攻击。
? 拒绝服务攻击,此攻击使 Web 服务器充满各种请求;可通过应用安全修补程序和软件更新来最大限度地减少这种攻击。
? 没有正确权限的用户未经授权的访问;通常通过配置 Web 和 NTFS 权限来阻止这种访问。
? 恶意代码在 Web 服务器上任意执行;可通过防止对系统工具和命令的访问来最大限度地减少这种攻击。
? 特权提升,使恶意用户能够使用具有较高特权的帐户来运行程序;可通过使用最低特权的服务和用户帐户来最大限度地减少这种攻击。
? 来自病毒、蠕虫和特洛伊木马的破坏;可通过禁用不需要的功能、使用最低特权的帐户以及及时应用最新安全修补程序来遏制这种攻击。
注意:由于保护 Web 服务器是一个复杂而长期的过程,完全的安全性很难保证。
返回页首
准备工作
本节说明本文档中描述的 Web 服务器的系统要求和特征。
系统要求
本文档中用作示例的 Web 服务器有以下系统要求:
? 此服务器运行 Windows Server 2003 Standard Edition。
? 操作系统安装在 NTFS 分区上。有关 NTFS 的信息,请在 Windows Server 2003 中的帮助和支持中心搜索“NTFS”。
? Windows Server 2003 所有必需的修补程序和更新都已经应用到此服务器。为了验证 Web 服务器上是否安装了最新的安全更新,请转到位于 Microsoft 网站 http://go.microsoft.com/fwlink/?LinkId=22630 上的 Windows Update 网页,利用 Windows Update 来扫描服务器是否有可用的更新。
? Windows Server 2003 安全保护已经应用到服务器。
本文档提供介绍性信息,帮助您设置最初的几个步骤,以配置一台更安全的 Web 服务器。不过,为了使 Web 服务器尽可能安全,您必须了解服务器上运行的应用程序的操作。本文档不包括应用程序特定安全配置的有关信息。
Web 服务器特征
本文档中用作示例的 Web 服务器有以下特征要求:
? Web 服务器正在工作进程隔离模式下运行 IIS 6.0 。
? Web 服务器托管一个面向 Internet 的网站。
? Web 服务器配有防火墙,仅支持 HTTP 端口 80 和 HTTPS 端口 443 上的流量。
? 此 Web 服务器是专用 Web 服务器,这种服务器只能用作 Web 服务器而不能用于其他目的,例如文件服务器、打印服务器或运行 Microsoft SQL Server? 的数据库服务器。
? 允许匿名访问网站。
? Web 服务器服务于 HTML 和 ASP 网页。
? 没有在 Web 服务器上配置 Microsoft 的 FrontPage? 2002 Server Extensions。
? Web 服务器上的应用程序不需要数据库连接。
? Web 服务器不支持 FTP(文件上传和下载)、SMTP(电子邮件)或 NNTP(新闻组)协议。
? Web 服务器不使用 Internet Security and Acceleration Server。
? 管理员必须本地登录以管理 Web 服务器。
返回页首
减少 Web 服务器的攻击面
通过减少 Web 服务器的攻击面,或者降低服务器暴露给潜在攻击者的程度,来开始保护 Web 服务器的过程。例如,仅启用 Web 服务器正常运行所必需的组件、服务和端口。
禁用 SMB 和 NetBIOS
主机枚举攻击扫描网络,以便确定潜在目标的 IP 地址。要降低主机枚举成功攻击 Web 服务器上面向 Internet 的端口的可能性,应禁用除传输控制协议 (TCP) 以外的所有网络协议。Web 服务器中的面向 Internet 的网络适配器上不需要服务器消息块 (SMB) 和 NetBIOS。
本节提供以下逐步说明,以降低 Web 服务器的攻击面:
? 禁用面向 Internet 连接上的 SMB
? 禁用基于 TCP/IP 的 NetBIOS
注意:禁用 SMB 和 NetBIOS 之后,此服务器不能用作文件服务器或打印服务器,不可以浏览网络,而且不能远程管理此 Web 服务器。如果您的服务器是需要管理员本地登录的专用 Web 服务器,这些限制则不会影响服务器的运行。
SMB 使用下列端口:
? TCP 端口 139
? TCP 和 UDP 端口 445 (SMB Direct Host)
NetBIOS 使用下列端口:
? TCP 和 UDP 端口 137(NetBIOS 命名服务)
? TCP 和 UDP 端口 138(NetBIOS 数据报服务)
? TCP 和 UDP 端口 139(NetBIOS 会话服务)
仅禁用 NetBIOS 将不会防止 SMB 通信,因为如果标准 NetBIOS 端口不可用,SMB 则使用 TCP 端口 445(也称为 SMB Direct Host)。您必须分别禁用 NetBIOS 和 SMB。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑、系统工具和设备管理器。
? 禁用面向 Internet 连接上的 SMB
1.
单击“开始”,单击“设置”,再单击“控制面板”,然后双击“网络连接”。
2.
右键单击您的面向 Internet 的连接,然后单击“属性”。
3.
清除“Microsoft 网络客户端”复选框。
4.
清除“Microsoft 网络的文件和打印机共享”复选框,然后单击“确定”。
? 禁用基于 TCP/IP 的 NetBIOS
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“系统工具”,然后选择“设备管理器”。
3.
右键单击“设备管理器”,单击“查看”,然后单击“显示隐藏的设备”。
4.
双击“非即插即用驱动程序”。
5.
右键单击“NetBios over Tcpip”,单击“停用”,然后单击“是”。
注意:本文档中的屏幕快照反映的是测试环境,其信息可能与您的屏幕所显示的信息有所不同。
上述过程不仅禁用 TCP 端口 445 和 UDP 端口 445 上的 SMB 直接宿主侦听者,而且禁用 Nbt.sys 驱动程序,并需要重新启动系统。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证 SMB 是否已禁用
1.
单击“开始”,单击“设置”,然后单击“网络和拨号连接”。
2.
右键单击您的面向 Internet 的连接,然后单击“属性”。
3.
验证是否清除了“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”复选框,然后单击“确定”。
? 验证 NetBIOS 是否已禁用
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“系统工具”,然后选择“设备管理器”。
3.
右键单击“设备管理器”,单击“查看”,然后单击“显示隐藏的设备”。
4.
双击“非即插即用驱动程序”,然后单击“NetBios over Tcpip”。
上下文菜单中现在出现“启用”选择,这表示 NetBIOS over TCP/IP 目前已禁用。
5.
单击“确定”关闭“设备管理器”。
只选择基本的 IIS 组件和服务
IIS 6.0 除了包括 WWW 服务之外,还包括一些子组件和服务,例如 FTP 服务和 SMTP 服务。为了最大限度地降低针对特定服务和子组件的攻击风险,建议您只选择网站和 Web 应用程序正确运行所必需的服务和子组件。
下表显示用作本文档示例的 Web 服务器上 IIS 子组件和服务在“添加或删除程序”中的推荐设置。
IIS 子组件和服务的推荐设置
子组件或服务 默认设置 Web 服务器设置
后台智能传输服务 (BITS) 服务器扩展
禁用
不更改
公用文件
启用
不更改
FTP 服务
禁用
不更改
FrontPage 2002 Server Extensions
禁用
不更改
Internet 信息服务管理器
启用
不更改
Internet 打印
禁用
不更改
NNTP 服务
禁用
不更改
SMTP 服务
启用
禁用
万维网服务
启用
不更改
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:添加或删除程序。
? 配置 IIS 组件和服务
1.
单击“开始”,单击“控制面板”,然后单击“添加或删除程序”。
2.
单击“添加/删除 Windows 组件”。
3.
在“Windows 组件向导”页面中的“组件”下,单击“应用程序服务器”,然后单击“详细信息”。
4.
单击“Internet 信息服务 (IIS)”,然后单击“详细信息”。
5.
参考上表,然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 IIS 组件和服务。
6.
按照“Windows 组件向导”中的以下说明来完成此向导。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否选择了 IIS 组件和服务
? 单击“开始”,单击“控制面板”,然后单击“管理工具”。
在“管理工具”菜单中出现“Internet 信息服务 (IIS) 管理器”。
只启用基本的 Web 服务扩展
服务于动态内容的 Web 服务器需要 Web 服务扩展。每种动态内容都响应特定的 Web 服务扩展。由于安全原因,IIS 6.0 允许您启用和禁用单独的 Web 服务扩展,因此,只启用您的内容所需要的扩展。
警告:不要启用所有的 Web 服务扩展。尽管启用所有的 Web 服务扩展可确保最大限度地兼容现有的网站和应用程序,但却大幅增加了 Web 服务器的攻击面。您可能需要分别测试您的网站和应用程序,以确保只启用必需的 Web 服务和扩展。
假设配置 Web 服务器来服务于作为默认网页的 Default.asp 文件。尽管配置了默认网页,但您必须启用 Active Server Pages Web 服务扩展才能查看 .asp 网页。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:Internet 信息服务 (IIS) 管理器 (Iis.msc)。
? 启用 Active Server Pages Web 服务扩展
1.
单击“开始”,单击“控制面板”,单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
双击“本地计算机”,然后单击“Web 服务扩展”。
3.
单击“Active Server Pages”,然后单击“允许”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否启用了 Active Server Pages Web 服务扩展
1.
打开“文本编辑器”,键入文本,然后将文件作为 Default.asp 保存到 C:\inetpub\wwwroot 目录。
2.
在 Internet Explorer 地址栏中,键入以下 URL,然后按 Enter 键: http://localhost。
浏览器中出现 Default.asp 文件。
返回页首
配置帐户
建议您删除未使用的帐户,因为攻击者可能发现这些帐户,然后利用这些帐户来获取您服务器上的数据和应用程序的访问权。始终使用强密码,因为弱密码增加了成功进行强力攻击或字典攻击(即攻击者竭尽全力地猜密码)的可能性。使用以最低特权运行的帐户。否则,攻击者可以通过使用以高级特权运行的帐户来获取未经授权的资源的访问权。
本节对配置帐户提供以下逐步说明:
? 禁用未使用的帐户
? 使用应用程序池来隔离应用程序
禁用未使用的帐户
未使用的帐户及其特权可以被攻击者用来获取服务器的访问权。您应该定期审核服务器上的本地帐户,并禁用未使用的任何帐户。在生产服务器上禁用这些帐户之前,先在测试服务器上禁用帐户,以确保禁用帐户不会对应用程序的操作方式带来不利影响。如果在测试服务器上禁用帐户没有出现任何问题,则在生产服务器上禁用帐户。
注意:如果您选择删除而不是禁用未使用的帐户,则一定要知道您不能恢复已删除的帐户,因而不能删除管理员帐户和来宾帐户。而且,一定要在生产服务器上删除帐户之前,先在测试服务器上删除此帐户。
本节对删除或禁用未使用的帐户提供以下逐步说明:
? 禁用来宾帐户
? 重命名管理员帐户
? 重命名 IUSR_ComputerName 帐户
禁用来宾帐户
采用匿名连接来访问 Web 服务器时,使用来宾帐户。在默认安装 Windows Server 2003 时,禁用来宾帐户。 要限制对服务器的匿名连接,请确保禁用来宾帐户。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:计算机管理
? 禁用来宾帐户
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“本地用户和组”,然后单击“用户”文件夹。来宾帐户应该以红色的 X 图标显示,以指示此帐户已禁用。如果来宾帐户未禁用,则继续步骤 3 来禁用此帐户。
3.
右键单击“Guest”(来宾)帐户,然后单击“属性”。
4.
在“常规”选项卡上,选中“帐户已停用”复选框,然后单击“确定”。
来宾帐户现在应该以红色 X 图标显示。
重命名管理员帐户
默认的本地管理员帐户因其在计算机上的更高特权而成为恶意用户的目标。要增强安全性,请重命名默认的管理员帐户并分配一个强密码。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑。
? 重命名默认的管理员帐户并分配一个强密码
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“本地用户和组”,然后单击“用户”文件夹。
3.
右键单击“Administrator”(管理员)帐户,然后单击“重命名”。
4.
在框中键入名称,然后按 Enter 键。
5.
在桌面上,按 Ctrl+Alt+Del,然后单击“更改密码”。
6.
在“用户名”框中键入管理员帐户的新名称。
7.
在“旧密码”框中键入当前密码,在“新密码”框中键入新密码,在“确认新密码”框中重新键入新密码,然后单击“确定”。
警告:不要使用上下文菜单中的“设置密码”菜单项来更改密码,除非您忘记了密码并且没有可用的密码重置磁盘。使用这种方法来更改管理员密码可能导致受此密码保护的信息永久丢失。
重命名 IUSR 帐户
默认的匿名 Internet 用户帐户 IUSR_ComputerName 是在 IIS 安装期间创建的。ComputerName 的值是安装 IIS 时服务器的 NetBIOS 名称。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑。
? 重命名 IUSR 帐户
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“本地用户和组”,然后单击“用户”文件夹。
3.
右键单击 IUSR_ComputerName 帐户,然后单击“重命名”。
4.
键入新帐户名称,然后按 Enter 键。
? 在 IIS 元数据库中更改 IUSR 帐户的值
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击“本地计算机”,然后单击“属性”。
3.
选中“允许直接编辑配置数据库”复选框,然后单击“确定”。
4.
浏览至 MetaBase.xml 文件的位置,默认情况下为 C:\Windows\system32\inetsrv。
5.
右键单击 MetaBase.xml 文件,然后单击“编辑”。
6.
搜索“AnonymousUserName”属性,然后键入 IUSR 帐户的新名称。
7.
在“文件”菜单上,单击“退出”,然后单击“是”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证帐户是否已禁用
1.
按 Ctrl+Alt+Del,然后单击“注销”以注销 Web 服务器。
2.
在“登录到 Windows”对话框中,在“用户名”框中键入已禁用帐户的名称,键入已禁用帐户的密码,然后单击“确定”。
出现以下消息:
您的帐户已被停用。请向系统管理员咨询。
? 验证帐户是否已重命名
1.
按 Ctrl+Alt+Del,然后单击“注销”以注销 Web 服务器。
2.
在“登录到 Windows”对话框中,在“用户名”框中键入已重命名帐户以前的名称,键入重命名帐户的密码,然后单击“确定”。
出现以下消息:
系统无法让您登录。请确定您的用户名及域无误,然后再次输入密码。密码的字母必须使用正确的大小写。
3.
单击“确定”,然后在“用户名”框中键入重命名帐户的新名称。
4.
键入重命名帐户的密码,然后单击“确定”。
您应该能够用重命名的帐户登录到计算机。
使用应用程序池来隔离应用程序
使用 IIS 6.0,可以将应用程序隔离到应用程序池。应用程序池是包含一个或多个 URL 的一个组,一个工作进程或者一组工作进程对应用程序池提供服务。因为每个应用程序都独立于其他应用程序运行,因此,使用应用程序池可以提高 Web 服务器的可靠性和安全性。
在 Windows 操作系统上运行进程的每个应用程序都有一个进程标识,以确定此进程如何访问系统资源。每个应用程序池也有一个进程标识,此标识是一个以应用程序需要的最低权限运行的帐户。可以使用此进程标识来允许匿名访问您的网站或应用程序。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑。
? 创建应用程序池
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
双击本地计算机,右键单击“应用程序池”,单击“新建”,然后单击“应用程序池”。
3.
在“应用程序池 ID”框中,为应用程序池键入一个新 ID(例如,ContosoAppPool)。
4.
在“应用程序池设置”下,单击“Use default settings for the new application pool”(使用新应用程序池的默认设置),然后单击“确定”。
? 将网站或应用程序分配到应用程序池
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要分配到应用程序池的网站或应用程序,然后单击“属性”。
3.
根据您选择的应用程序类型,单击“主目录”、“虚拟目录”或“目录”选项卡。
4.
如果您将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称。
-或者-
如果在“应用程序名”框中没有名称,则单击“创建”,然后键入网站或应用程序的名称。
5.
在“应用程序池”列表框中,单击您想要分配网站或应用程序的应用程序池的名称,然后单击“确定”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否创建了应用程序池
1.
使用管理员帐户登录到 Web 服务器。
2.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
3.
双击本地计算机,双击“应用程序池”,然后验证是否在应用程序池节点下出现您所创建的应用程序池。
4.
右键单击您所创建的程序池,然后单击“属性”。
5.
单击“标识”选项卡,验证此应用程序池是否设置为称作“网络服务”的预定义的安全帐户,然后单击“确定”。
? 验证网站或应用程序是否分配到特定的应用程序池
1.
使用管理员帐户登录到 Web 服务器。
2.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
3.
双击本地计算机,双击“网站”,右键单击您想要验证应用程序池设置的网站,然后单击“属性”。
4.
根据您选择的应用程序类型,单击“主目录”、“虚拟目录”或“目录”选项卡。
5.
在“应用程序池”列表框中,验证是否列出您想要将网站分配到的应用程序池的名称,然后单击“取消”。
返回页首
配置文件和目录的安全
使用强访问控制来帮助保护敏感的文件和目录。在多数情况下,允许对特定帐户的访问比拒绝对特定帐户的访问更加有效。如有可能,请将访问设置在目录级。当文件添加到文件夹时,它们继承文件夹的权限,因此您不需要采取进一步的措施。
本节对配置文件和目录提供以下逐步说明:
? 重定位和设置 IIS 日志文件的权限
? 配置 IIS 元数据库权限
? 禁用 FileSystemObject 组件
重新定位和设置 IIS 日志文件的权限
为了增强 IIS 日志文件的安全,您应该将文件重新定位到非系统驱动器,此驱动器格式化为使用 NTFS 文件系统。此位置应该与网站内容的位置不同。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑和 Internet 信息服务 (IIS) 管理器 (Iis.msc)。
? 将 IIS 日志文件的位置移动到非系统分区
1.
单击“开始”,右键单击“我的电脑”,然后单击“资源管理器”。
2.
浏览至您想要重新定位 IIS 日志文件的位置。
3.
右键单击您想要重新定位 IIS 日志文件的上一级目录,单击“新建”,然后单击“文件夹”。
4.
键入文件夹的名称,例如 ContosoIISLogs,然后按 Enter 键。
5.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
6.
右键单击网站,然后单击“属性”。
7.
单击“网站”选项卡,然后单击“启用日志记录”框架中的“属性”。
8.
在“常规属性”选项卡中,单击“浏览”,然后导航到您刚才创建的文件夹以存储 IIS 日志文件。
9.
单击“确定”三次。
注意:如果您在原来的位置 Windows\System32\Logfiles 上有 IIS 日志文件,则必须将这些文件手动移动到新位置。IIS 不为您移动这些文件。
? 设置 IIS 日志文件的 ACL
1.
单击“开始”,右键单击“我的电脑”,然后单击“资源管理器”。
2.
浏览至日志文件所在的文件夹。
3.
右键单击此文件夹,单击“属性”,然后单击“安全”选项卡。
4.
在顶部窗格中,单击“Administrators”(管理员),确保底部窗格中的权限设置为“完全控制”。
5.
在顶部窗格中,单击“System”(系统),确保底部窗格中的权限设置为“完全控制”,然后单击“确定”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否移动了日志文件并设置了权限
1.
单击“开始”,单击“搜索”,然后单击“文件或文件夹”。
2.
在“要搜索的文件名”框中键入部分或完整的文件名(例如 LogFiles),在“搜索范围”框中选择一个位置,然后单击“立即搜索”。
搜索返回日志文件的新位置。
3.
按 Ctrl+Alt+Del,然后单击“注销”。
4.
使用没有日志文件访问权的帐户来登录到 Web 服务器。
5.
单击“开始”,右键单击“我的电脑”,单击“资源管理器”,然后浏览至 LogFiles 目录。
6.
右键单击 LogFiles 目录,然后单击“打开”。
出现以下消息:
? 拒绝访问。
配置 IIS 元数据库权限
IIS 元数据库是包含大部分 IIS 配置信息的 XML 文件。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑和 MetaBase.xml 文件。
? 限制 MetaBase.xml 文件的访问权
1.
单击“开始”,右键单击“我的电脑”,然后单击“资源管理器”。
2.
浏览至 Windows\System32\Inetsrv\MetaBase.xml 文件,右键单击此文件,然后单击“属性”。
3.
单击“安全”选项卡,确认只有 Administrators 组的成员和 LocalSystem 帐户拥有对元数据库的完全控制访问权,删除所有其他文件权限,然后单击“确定”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证对 MetaBase.xml 文件受限制的访问
1.
按 Ctrl+Alt+Del,然后单击“注销”。
2.
使用没有 MetaBase.xml 文件访问权的帐户来登录到 Web 服务器。
3.
单击“开始”,右键单击“我的电脑”,单击“资源管理器”,然后浏览至 MetaBase.xml 的位置。
4.
右键单击 MetaBase.xml 文件,然后单击“打开”。
出现以下消息:
? 拒绝访问。
禁用 FileSystemObject 组件
ASP、Windows 脚本主机和其他编写脚本的应用程序使用 FileSystemObject (FSO) 组件来创建、删除、获取信息以及操纵驱动器、文件夹和文件。可考虑禁用 FSO 组件,但要注意,这也将删除字典对象。另外,验证是否没有其他程序需要这个组件。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:命令提示符。
? 禁用 FileSystemObject 组件
1.
单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
2.
切换到 C:\Windows\system32 目录。
3.
在命令提示符处,键入 regsvr32 scrrun.dll /u ,然后按 Enter 键。
出现以下消息:
DllUnregisterServer in scrrun.dll succeeded。
4.
单击“确定”。
5.
在命令提示符处,键入 exit 关闭命令提示窗口。
返回页首
保护网站和虚拟目录
将 Web 根目录和虚拟目录重新定位到非系统分区,以帮助防御目录遍历攻击。这些攻击允许攻击者执行操作系统程序和工具。由于这种攻击不能遍历所有驱动器,因此,将网站内容重新定位到另一个驱动器可以增强对这些攻击的防护。
本节对保护网站和虚拟目录提供以下逐步说明:
? 将网站内容移动到非系统驱动器
? 配置网站权限
将网站内容移动到非系统驱动器
不要使用默认的 \Inetpub\Wwwroot 目录作为网站内容的位置。例如,如果系统安装在 C: 驱动器,则将内容目录移动到 D: 驱动器,以减轻目录遍历攻击(这种攻击试图浏览 Web 服务器的目录结构)带来的危险。一定要验证是否所有的虚拟目录都指向新驱动器。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:Internet 信息服务 (IIS) 管理器 (Iis.msc) 和命令提示。
? 将网站内容移动到非系统驱动器
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要移动其内容的网站,然后单击“停止”。
3.
单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
4.
在命令提示符处键入以下命令:
xcopy c:\inetpub\wwwroot\SiteName Drive:\wwwroot\SiteName /s /i /o
在上述命令中,
? SiteName 由您的网站名代替。
? Drive 由新驱动器名代替,例如 D。
5.
返回到 Internet 信息服务 (IIS) 管理器管理单元。
6.
右键单击网站,然后单击“属性”。
7.
根据您选择的应用程序类型,单击“主目录”、“虚拟目录”或“目录”选项卡,在“本地路径”框中键入新目录位置,然后单击“确定”。
-或者-
浏览至您刚才复制了文件的目录位置,然后单击“确定”。
8.
右键单击网站,然后单击“开始”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证网站内容是否已经移动到非系统驱动器
1.
单击“开始”,单击“搜索”,然后单击“文件或文件夹”。
2.
在“要搜索的文件名”框中键入部分或完整的文件名,在“搜索范围”中选择位置,然后单击“立即搜索”。
搜索结果列出您移动到新位置的文件以及原有位置的文件。
? 删除系统驱动器上的网站内容
? 导航到 C:\Inetpub\Wwwroot\SiteName 目录,然后删除移动到非系统驱动器的文件。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证网站内容是否已经从系统驱动器上删除
1.
单击“开始”,单击“搜索”,然后单击“文件或文件夹”。
2.
在“要搜索的文件名”文本框中键入部分或完整的文件名,在“搜索范围”中选择一个位置,然后单击“立即搜索”。
搜索结果只列出您移动到新位置的文件。
配置网站权限
可以为您的 Web 服务器配置特定站点、目录和文件的访问权。这些权限可以应用于所有用户,无论用户有何特定的访问权。
配置文件系统目录的权限
IIS 6.0 依靠 NTFS 权限来帮助保护单个文件和目录不会受到未经授权的访问。网站权限应用于试图访问网站的任何人,与此不同的是,您可以使用 NTFS 权限来定义哪些用户可以访问您的内容,以及如何允许这些用户操作这些内容。为了增强安全性,同时使用网站权限和 NTFS 权限。
访问控制列表 (ACL) 指示哪些用户或组有访问或修改特定文件的权限。不是在每个文件上设置 ACL,而是为每种文件类型创建新目录,在每个目录上设置 ACL,然后允许文件从它们所在的目录中继承这些权限。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:我的电脑和 Internet 信息服务 (IIS) 管理器 (Iis.msc)。
? 将网站内容移动到单独的文件夹
1.
单击“开始”,右键单击“我的电脑”,然后单击“资源管理器”。
2.
浏览至包含网站内容的文件,然后单击网站内容的最上层的文件夹。
3.
在“文件”菜单中,单击“新建”,然后单击“文件夹”,以便在网站的内容目录中创建一个新文件夹。
4.
为文件夹命名,然后按 Enter 键。
5.
按 Ctrl 键,然后选择您想要保护的每个网页。
6.
右键单击这些网页,然后单击“复制”。
7.
右键单击新文件夹,然后单击“粘贴”。
注意: 如果您已经创建了到这些网页的链接,则必须更新这些链接以便反映站点内容的新位置。
? 设置 Web 内容的权限
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要配置的网站的文件夹、网站、目录、虚拟目录或文件,然后单击“属性”。
3.
根据您想要授权或拒绝访问的类型,选择或清除下列任何复选框(如果可用):
? 脚本源文件访问。用户可以访问源文件。如果选择“读”,则可以读源文件;如果选择“写”,则可以写源文件。脚本源访问包括脚本的源代码。如果“读”或“写”均未选择,则此选项不可用。
? 读(默认情况下选择)。用户可以查看目录或文件的内容和属性。
? 写。用户可以更改目录或文件的内容和属性。
? 目录浏览。用户可以查看文件列表和集合。
? 日志访问。对网站的每次访问创建日志项。
? 检索资源。允许检索服务检索此资源。这允许用户搜索资源。
4.
在“执行权限”列表框中,选择脚本执行的相应级别:
? 无。不在服务器上运行脚本和可执行文件(例如,文件类型为 .exe 的文件)。
? 仅脚本。只在服务器上运行脚本。
? 脚本和可执行文件。在服务器运行脚本和可执行文件。
5.
单击“确定”。如果目录的子节点配置了不同的网站权限,则出现“继承覆盖”框。
6.
如果出现“继承覆盖”框,在“子节点”列表中选择您想要应用目录的 Web 权限的子节点。
-或者-
单击“全选”来设置属性,以便将 Web 权限应用到所有子节点。
7.
如果您不只看到一个“继承覆盖”对话框,则从“子节点”列表中选择子节点,或者单击“全选”,然后单击“确定”,以便将此属性的 Web 权限应用到子节点。
如果一个子节点属于您已经更改了网站权限的目录,此节点还为特定选项设置了网站权限,则子节点的权限将覆盖您为目录设置的权限。如果您想要将目录级的 Web 权限应用到子节点,则必须在“继承覆盖”框中选择这些子节点。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证是否拒绝网站内容目录的写权限
1.
按 Ctrl+Alt+Del,然后单击“注销”。
2.
使用在物理或虚拟目录上具有“读”和“执行”权限的帐户来登录到 Web 服务器。
3.
单击“开始”,右键单击“我的电脑”,单击“资源管理器”,浏览至一个文件位置,您想要将此位置的文件复制到物理或虚拟目录。
4.
右键单击此文件,然后单击“复制”。
5.
浏览至物理或虚拟目录的位置,然后右键单击此目录。“粘贴”选项在上下文菜单上不可用,这意味着您没有此目录的写权限。
返回页首
在 Web 服务器上配置安全套接字层
在 Web 服务器上配置安全套接字层 (SSL) 安全功能,以便验证内容的完整性,验证用户身份并对网络传输加密。SSL 安全依靠服务器证书,此证书允许用户在传输个人信息(例如信用卡帐号)之前验证 Web 网站的身份。每个网站只能有一个服务器证书。
获取并安装服务器证书
证书由称作证书颁发机构 (CA) 的非 Microsoft 组织颁发。服务器证书通常与 Web 服务器有关,尤其与配置了 SSL 的网站有关。您必须生成证书请求,将此请求发送到 CA,然后在接收到 CA 的证书之后安装此证书。
证书依靠一对加密密钥(一个公钥和一个私钥)来确保安全。当您生成服务器证书请求时,您实际上正在生成私钥。从 CA 接收到的服务器证书包含公钥。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:Internet 信息服务 (IIS) 管理器 (Iis.msc) 和 Web 服务器证书向导。
? 生成服务器证书请求
1.
单击“开始”,右键单击“我的电脑”,然后单击“管理”。
2.
双击“服务和应用程序”部分, 然后双击“Internet 信息服务”。
3.
右键单击您想要安装服务器证书的网站,然后单击“属性”。
4.
单击“目录安全”选项卡。在“安全通信”部分中,单击“服务器证书”,以启动“Web 服务器证书向导”,然后单击“下一步”。
5.
单击“创建一个新证书”,然后单击“下一步”。
6.
单击“立即准备请求,但稍后发送”,然后单击“下一步”。
7.
在“名称”框中,键入容易记住的名称。(默认的名称是您正在生成证书请求的网站名,例如 http://www.contoso.com。)
8.
指定位长度,然后单击“下一步”。
加密密钥的位长度确定了加密的强度。大多数非 Microsoft CA 都希望您最少选择 1024 位。
9.
在“组织”部分,键入您的组织和组织单位信息。确保此信息的准确性,并且“组织”字段中不包含逗号,然后单击“下一步”。
10.
在“站点的公用名称”部分,键入含域名的宿主计算机的名称,然后单击“下一步”。
11.
键入您的地理信息,然后单击“下一步”。
12.
将此文件保存为 .txt 文件。(默认的文件名和位置是 C:\certreq.txt。)
以下示例显示证书请求文件的特征。
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
13.
确认请求的详细信息,单击“下一步”,然后单击“完成”。
? 提交服务器证书请求
1.
联系 CA,查找提交请求的要求。
2.
将上述过程中创建的 .txt 文件的内容复制成 CA 要求的请求格式。
3.
将请求发送给您的 CA。
接收到 CA 的证书后,准备在您的 Web 服务器上安装此证书。
? 安装服务器证书
1.
将证书 (.cer) 文件复制到 C:\Windows\System32\CertLog 文件夹。
2.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
3.
右键单击您想要安装服务器证书的网站,然后单击“属性”。
4.
单击“目录安全”选项卡。在“安全通信”部分中,单击“服务器证书”,以启动“Web 服务器证书向导”,然后单击“下一步”。
5.
单击“处理挂起的请求并安装证书”,然后单击“下一步”。
6.
浏览至您接收到的 CA 证书。单击“下一步”两次,然后单击“完成”。
验证新的设置
验证正确设置是否已经应用于您的本地计算机。
? 验证是否在 Web 服务器上安装了证书
1.
单击“开始”,单击“控制面板”,单击“管理工具”,然后单击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要查看证书的网站,然后单击“属性”。
3.
在“目录安全”选项卡上的“安全通信”区域内,单击“查看证书”,查看证书之后,单击“确定”两次。
在 Web 服务器上强制和启用 SSL 连接
安装服务器证书之后,必须在 Web 服务器上强制 SSL 连接。然后,必须启用 SSL 连接。
要求
? 凭据:您必须作为 Web 服务器 Administrators 组成员登录。
? 工具:Internet 信息服务 (IIS) 管理器 (Iis.msc)。
? 强制 SSL 连接
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要强制 SSL 连接的网站,然后单击“属性”。
3.
单击“目录安全”选项卡。在“安全通信”部分,单击“编辑”。
4.
单击“要求安全通道 (SSL)”,选择加密长度,然后单击“确定”。
注意:如果您指定 128 位加密,使用 40 位或 56 位长度浏览的客户端计算机不能与您的站点通信,除非将其浏览器升级到支持 128 位加密的版本。
? 在 Web 服务器上启用 SSL 连接
1.
单击“开始”,单击“控制面板”,再单击“管理工具”,然后双击“Internet 信息服务 (IIS) 管理器”。
2.
右键单击您想要启用 SSL 连接的网站,然后单击“属性”。
3.
单击“网站”选项卡。在“网站标识”部分,验证“SSL 端口”是否填充了数值 443。
4.
然后单击“高级”。通常出现两个对话框,在“此网站的多个标识”框中列出此网站 IP 地址和端口。在“此网站的多个 SSL 标识”字段下,如果还没有列出端口 443,则单击“添加”。选择服务器的 IP 地址,在“SSL 端口”框中键入数值“443”,然后单击“确定”。
验证新的设置
验证正确安全设置是否已经应用于您的 Web 服务器。
? 验证 Web 服务器上的 SSL 连接
1.
打开浏览器,然后尝试通过标准的 http:// 协议来连接到 Web 服务器。例如,在“地址”框中,键入 http://localhost。
如果 SSL 被强制,则出现以下错误消息:
网页必须通过安全通道查看。您试图访问的网页受到安全套接字层 (SSL) 保护。
2.
通过键入 https://localhost,再次尝试连接到您想要查看的网页。
通常出现 Web 服务器的默认网页。
