Win2000+IIS5.0安全配置规范

赤色烙印

来源:http://www.enet.com.cn　　一、 Windows 2000安全配置
　　■． 确保所有磁盘分区为NTFS分区
　　■． 操作系统、Web主目录、日志分别安装在不同的分区
　　■． 不要安装不需要的协议，比如IPX/SPX, NetBIOS?
　　■． 不要安装其它任何操作系统
　　■． 安装Service Pack
　　■． 安装hotfix，一般需要安装如下补丁
　　* Q260347_W2K_sp2_x86_cn(IISCrosssite)
　　* Q262694_W2K_SP2_x86_CN(resetBrowseForm)
　　* Q269049_W2K_SP2_x86_CN(shellpath)
　　* Q269862_W2K_SP2_x86_CN(unicode)
　　* Q270676_W2K_SP2_x86_CN(shurufa)
　　* Q272743_W2K_SP2_x86_CN(NTLM)
　　* Q277873_W2K_sp2_x86_CN(filerequest)
　　* Q278499_W2K_sp2_x86_CN(indexserv)
　　* Q280322_W2K_sp2_x86_CN(malwebform)
　　* q285851_w2k_sp3_x86_cn(netdde)
　　具体可参考微软网站：http://www.microsoft.com/Windows2000/downloads
　　■． 关闭所有不需要的服务
　　* Alerter (disable)
　　* ClipBook Server (disable)
　　* Computer Browser (disable)
　　* DHCP Client (disable)
　　* Directory Replicator (disable)
　　* FTP publishing service (disable)
　　* License Logging Service (disable)
　　* Messenger (disable)
　　* Netlogon (disable)
　　* Network DDE (disable)
　　* Network DDE DSDM (disable)
　　* Network Monitor (disable)
　　* Plug and Play (disable after all hardware configuration)
　　* Remote Access Server (disable)
　　* Remote Procedure Call (RPC) locater (disable)
　　* Schedule (disable)
　　* Server (disable)
　　* Simple Services (disable)
　　* Spooler (disable)
　　* TCP/IP Netbios Helper (disable)
　　* Telephone Service (disable)
　　在必要时禁止如下服务：
　　* SNMP service (optional)
　　* SNMP trap (optional)
　　* UPS (optional
　　设置如下服务为自动启动：
　　* Eventlog ( required )
　　* NT LM Security Provider (required)
　　* RPC service (required)
　　* WWW (required)
　　* Workstation (leave service on:will be disabled later in the document)
　　* MSDTC (required)
　　* Protected Storage (required)
　　■. 删除 OS/2 和 POSIX 子系统:
　　删除如下目录的任何键：
　　HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT
　　删除如下的键：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Environment\Os2LibPath
　　删除如下的键：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2
　　删除如下目录：
　　c:\winnt\system32\os2
　　■. 帐号和密码策略
　　1） 保证禁止guest帐号
　　2） 将administrator改名为比较难猜的帐号
　　3） 密码唯一性：记录上次的 6 个密码
　　4） 最短密码期限：2
　　5） 密码最长期限：42
　　6） 最短密码长度：8
　　7） 密码复杂化(passfilt.dll)：启用
　　8） 用户必须登录方能更改密码：启用
　　9） 帐号失败登录锁定的门限：6
　　10）锁定后重新启用的时间间隔：720分钟
　　■．保护文件和目录
　　将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限
　　■．注册表一些条目的修改
　　1） 去除logon对话框中的shutdown按钮
　　将HKEY_LOCAL_MACHINE\SOFTWARE
　　\Microsoft\Windows NT\Current Version\Winlogon\中
　　ShutdownWithoutLogon REG_SZ 值设为0
　　2） 去除logon信息的cashing功能
　　将HKEY_LOCAL_MACHINE\SOFTWARE
　　\Microsoft\Windows NT\Current Version\Winlogon\中
　　CachedLogonsCount REG_SZ 值设为0
　　3） 隐藏上次登陆的用户名
　　将HKEY_LOCAL_MACHINE\SOFTWARE
　　\Microsoft\Windows NT\Current Version\Winlogon\中
　　DontDisplayLastUserName REG_SZ 值设为1
　　4）限制LSA匿名访问
　　将HKEY_LOCAL_MACHINE\SYSTEM
　　\CurrentControlSet\Control\LSA中
　　RestricAnonymous REG_DWORD 值设为1
　　5） 去除所有网络共享
　　将HKEY_LOCAL_MACHINE\SYSTEM
　　\CurrentControlSet\Services\LanManServer\Parameters\中
　　AutoShareServer REG_DWORD 值设为0
　　■. 启用TCP/IP过滤
　　只允许TCP端口80和443（如果使用SSL）
　　不允许UDP端口
　　只允许IP Protocol 6 (TCP)
　　■. 移动部分重要文件并加访问控制：
　　创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录：
　　xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
　　edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
　　qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe,
　　secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,
　　edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe
　　■．安装防病毒软件Norton 2000
　　■. 可以下载Hisecweb.inf安全模板来配置
　　Http://download.microsoft.com/downl...US/hisecweb.exe
　　该模板配置基本的 Windows 2000 系统安全策略。
　　将该模板复制到 %windir%\security\templates 目录。
　　打开“安全模板”工具，查看这些设置。
　　打开“安全配置和分析”工具，然后装载该模板。
　　右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。
　　等候操作完成。
　　查看结果，如有必要就更新该模板。
　　右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。
　　二、IIS的安全配置
　　■． 关闭并删除默认站点：
　　默认FTP站点
　　默认Web站点
　　管理Web站点
　　■． 建立自己的站点，与系统不在一个分区，如
　　D:\wwwroot3． 建立 E:\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）
　　■． 删除IIS的部分目录：
　　IISHelp C:\winnt\help\iishelp
　　IISAdmin C:\system32\inetsrv\iisadmin
　　MSADC C:\Program Files\Common Files\System\msadc\
　　删除 C:\\inetpub
　　■. 删除不必要的IIS映射和扩展：
　　IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该
　　映射，步骤如下：
　　打开 Internet 服务管理器：
　　选择计算机名，点鼠标右键，选择属性：
　　然后选择编辑
　　然后选择主目录， 点击配置
　　选择扩展名 \".htw\",\".htr\",\".idc\",\".ida\",\".idq\"和\".printer\"，点击删除
　　如果不使用server side include，则删除\".shtm\" \".stm\" 和 \".shtml\"
　　■. 禁用父路径 :
　　“父路径”选项允许您在对诸如 MapPath 函数调用中使用“..”。在默认情况下，该选项
　　处于启用状态，应该禁用它。
　　禁用该选项的步骤如下：
　　右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。
　　单击“主目录”选项卡。
　　单击“配置”。
　　单击“应用程序选项”选项卡。
　　取消选择“启用父路径”复选框。
　　■. 在虚拟目录上设置访问控制权限
　　主页使用的文件按照文件类型应使用不同的访问控制列表：
　　CGI (.exe, .dll, .cmd, .pl)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　脚本文件 (.asp)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　include 文件 (.inc, .shtm, .shtml)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　静态内容 (.txt, .gif, .jpg, .html)
　　Everyone (R)
　　Administrators（完全控制）
　　System（完全控制）
　　在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。
　　例如，目录结构可为以下形式：
　　D:\wwwroot\myserver\static (.html)
　　D:\wwwroot\myserver\include (.inc)
　　D:\wwwroot\myserver \script (.asp)
　　D:\wwwroot\myserver \executable (.dll)
　　D:\wwwroot\myserver\images (.gif, .jpeg)
　　■. 启用日志记录
　　确定服务器是否被***时，日志记录是极其重要的。
　　应使用 W3C 扩展日志记录格式，步骤如下：
　　打开 Internet 服务管理器：
　　右键单击站点，然后从上下文菜单中选择“属性”。
　　单击“Web 站点”选项卡。
　　选中“启用日志记录”复选框。
　　从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。
　　单击“属性”。
　　单击“扩展属性”选项卡，然后设置以下属性：
　　* 客户 IP 地址
　　* 用户名
　　* 方法
　　* URI 资源
　　* HTTP 状态
　　* Win32 状态
　　* 用户代理
　　* 服务器 IP 地址
　　* 服务器端口