针对WEB服务器来说说安全策略的问题

环境:Windows 2003 + IIS + ASP.NET   

1、Windows 2003 Server 操作系统本身的安全

(1)系统安装完毕,应该及时给系统打上各种补丁。在内网中安装WSUS服务器,通过WSUS软件自动扫描系统漏洞及安装相应的补丁。也可以对有安全需要的PC机也可以连接WSUS SERVER。

(2)不要安装多余的服务和协议。因为有的服务本身就存在漏洞,多余的协议也会占用系统资源,所以不妨把无用的服务和协议停止或关闭(例如FTPPOP3、STMP 等)。

(3)安装专业的防病毒软件和防火墙软件,事件日志要做好备份等工作。日志是系统安全策略的一个重要坏节,IIS带有日志功能,能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。

2、用户安全设置

(1)禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。

(2)限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是***们***系统的突破口。
(3)把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
(4)创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的***企图。
(5)把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
(6)开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
(7)不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。
 

3、做好优化可靠IIS 的安全配置:

(1)不要把网站安装在默认的C:\Inetpub\wwwroot\目录下。

        主要原因有两个:一是C 盘是系统盘,很多因素都可能破坏系统,导致数据丢失等意外情况发生;二是如果选择默认安装,***很容易就能猜出安装的位置,并对网站实施***。可以安装在除系统盘外的其他分区,并删除默认建立的站点的虚拟目录,停止默认Web 站点,即删除对应的文件目录C:\Inetpub,配置所有站点的公共设置,设置好相关的连接数限制。

(2)在配置网站安全策略时,在IIS 站点配置时如果没有特殊要求,不要勾选“脚本资源访问”、“写入”、“目录浏览”这3 个选项。

不选“脚本资源访问”,能有效阻止客户端运行一些服务器端的程序;不选“写入”,可防止客户上传一些可执行文件;不选“目录浏览”,就能使客户端猜不出网站的路径结构。

同时,还要删除所有不必要的应用程序扩展,只保留如asp、aspx 等有用的应用程序扩展。

(3)对上传文件进行严格的控制,一般不允许可执行文件如exe、bat 等文件的上传。

 

其它对于安全的策略还有许多,但是最安全的策略是管理员的安全意识!!!