IIS與SQL服務器安全加固

步驟
注意：

安裝和配置 Windows Server 2003。
1.　　　　將\System32\cmd.exe轉移到其他目錄或更名；

2.　　　　系統帳號盡量少，更改默認帳戶名（如Administrator）和描述，密碼盡量復雜；

3.　　　　拒絕通過網絡訪問該計算機（匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶）

4.　　　　建議對一般用戶只給予讀取權限，而只給管理員和System以完全控制權限，但這樣做有可能使某些正常的腳本程序不能執行，或者某些需要寫的操作不能完成，這時需要對這些文件所在的文件夾權限進行更改，建議在做更改前先在測試機器上作測試，然後慎重更改。

5.　　　　NTFS文件權限設定（注意文件的權限優先級別比文件夾的權限高）：

文件類型
建議的 NTFS 權限

CGI 文件（.exe、.dll、.cmd、.pl）
腳本文件 (.ASP)
包含文件（.inc、.shtm、.sHTML）
靜態內容（.txt、.gif、.jpg、.htm、.html）
Everyone（執行）
Administrators（完全控制）
System（完全控制）

6.　　　　禁止C$、D$一類的缺省共享
HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_Dword、0x0

7.　　　　禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0

8.　　　　限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如sql server

9.　　　　僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障

10.　　在本地安全策略->審核策略中打開相應的審核，推薦的審核是：
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義。 與之相關的是：
在賬戶策略->密碼策略中設定：
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定：
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復位鎖定計數 20分鐘

11.　　在Terminal Service Configration（遠程服務配置）-權限-高級中配置安全審核，一般來說只要記錄登錄、注銷事件就可以了。

12.　　解除NetBios與TCP/IP協議的綁定
控制面版——網絡——綁定——NetBios接口——禁用 2000：控制面版——網絡和撥號連接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS

13.　　在網絡連接的協議裡啟用TCP/IP篩選，僅開放必要的端口（如80）

14.　　通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空連接

15.　　修改數據包的生存時間(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)

16.　　防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默認值為0x0)

17.　　禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默認值為0x2)

18.　　防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默認值為0x1)

19.　　不支持IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默認值為0x2)

20.　　設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為600)

21.　　禁止死網關監測技術
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1)

22.　　不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默認值為0x0)

安裝和配置 IIS 服務：

1.　　　　僅安裝必要的 IIS 組件。（禁用不需要的如FTP 和 SMTP 服務）

2.　　　　僅啟用必要的服務和 Web Service 擴展，推薦配置:

UI 中的組件名稱
設置
設置邏輯

後台智能傳輸服務 (BITS) 服務器擴展
啟用
BITS 是 Windows Updates 和“自動更新”所使用的後台文件傳輸機制。如果使用 Windows Updates 或“自動更新”在 IIS 服務器中自動應用 Service Pack 和熱修補程序，則必須有該組件。

公用文件
啟用
IIS 需要這些文件，一定要在 IIS 服務器中啟用它們。

文件傳輸協議 (FTP) 服務
禁用
允許 IIS 服務器提供 FTP 服務。專用 IIS 服務器不需要該服務。

FrontPage 2002 Server Extensions
禁用
為管理和發布 Web 站點提供 FrontPage 支持。如果沒有使用 FrontPage 擴展的 Web 站點，請在專用 IIS 服務器中禁用該組件。

Internet 信息服務管理器
啟用
IIS 的管理界面。

Internet 打印
禁用
提供基於 Web 的打印機管理，允許通過 HTTP 共享打印機。專用 IIS 服務器不需要該組件。

NNTP 服務
禁用
在 Internet 中分發、查詢、檢索和投遞 Usenet 新聞文章。專用 IIS 服務器不需要該組件。

SMTP 服務
禁用
支持傳輸電子郵件。專用 IIS 服務器不需要該組件。

萬維網服務
啟用
為客戶端提供 Web 服務、靜態和動態內容。專用 IIS 服務器需要該組件。

萬維網服務子組件

UI 中的組件名稱
安裝選項
設置邏輯

Active Server Page
啟用
提供 ASP 支持。如果 IIS 服務器中的 Web 站點和應用程序都不使用 ASP，請禁用該組件；或使用 Web 服務擴展禁用它。

Internet

數據連接器
禁用
通過擴展名為 .idc 的文件提供動態內容支持。如果 IIS 服務器中的 Web 站點和應用程序都不包括 .idc 擴展文件，請禁用該組件；或使用 Web 服務擴展禁用它。

遠程管理 (HTML)
禁用
提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易，並減少了 IIS 服務器的攻擊面。專用 IIS 服務器不需要該功能。

遠程桌面 Web 連接
禁用
包括了管理終端服務客戶端連接的 Microsoft ActiveX® 控件和范例頁面。改用 IIS 管理器可使管理更容易，並減少了 IIS 服務器的攻擊面。專用 IIS 服務器不需要該組件。

服務器端包括
禁用
提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服務器中運行的 Web 站點和應用程序都不使用上述擴展的包括文件，請禁用該組件。

WebDAV
禁用
WebDAV 擴展了 HTTP/1.1 協議，允許客戶端發布、鎖定和管理 Web 中的資源。專用 IIS 服務器禁用該組件；或使用 Web 服務擴展禁用該組件。

萬維網服務
啟用
為客戶端提供 Web 服務、靜態和動態內容。專用 IIS 服務器需要該組件

3.　　　　將IIS目錄＆數據與系統磁盤分開，保存在專用磁盤空間內。

4.　　　　在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）

5.　　　　在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件

6.　　　　Web站點權限設定（建議）

關鍵詞：IIS 

• 1
• 2
• 下一頁