Windows2003服務(wù)器安全加固方案(三)
通過(guò)擴(kuò)展名為 .idc 的文件提供動(dòng)態(tài)內(nèi)容支持。如果 iis 服務(wù)器中的 web 站點(diǎn)和應(yīng)用程序都不包括 .idc 擴(kuò)展文件,請(qǐng)禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用它。
遠(yuǎn)程管理 (html)
禁用
提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易,并減少了 iis 服務(wù)器的攻擊面。專用 iis 服務(wù)器不需要該功能。
遠(yuǎn)程桌面 web 連接
禁用
包括了管理終端服務(wù)客戶端連接的 microsoft activex? 控件和范例頁(yè)面。改用 iis 管理器可使管理更容易,并減少了 iis 服務(wù)器的攻擊面。專用 iis 服務(wù)器不需要該組件。
服務(wù)器端包括
禁用
提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服務(wù)器中運(yùn)行的 web 站點(diǎn)和應(yīng)用程序都不使用上述擴(kuò)展的包括文件,請(qǐng)禁用該組件。
webdav
禁用
webdav 擴(kuò)展了 http/1.1 協(xié)議,允許客戶端發(fā)布、鎖定和管理 web 中的資源。專用 iis 服務(wù)器禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用該組件。
萬(wàn)維網(wǎng)服務(wù)
啟用
為客戶端提供 web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 iis 服務(wù)器需要該組件
3. 將iis目錄&數(shù)據(jù)與系統(tǒng)磁盤分開,保存在專用磁盤空間內(nèi)。
4. 在iis管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)
5. 在iis中將http404 object not found出錯(cuò)頁(yè)面通過(guò)url重定向到一個(gè)定制htm文件
6. web站點(diǎn)權(quán)限設(shè)定(建議)
web 站點(diǎn)權(quán)限:
授予的權(quán)限:
讀 允許
寫 不允許
腳本源訪問(wèn) 不允許
目錄瀏覽 建議關(guān)閉
日志訪問(wèn) 建議關(guān)閉
索引資源 建議關(guān)閉
執(zhí)行 推薦選擇 '僅限于腳本'
7. 建議使用w3c擴(kuò)充日志文件格式,每天記錄客戶ip地址,用戶名,服務(wù)器端口,方法,uri字根,http狀態(tài),用戶代理,而且每天均要審查日志。(最好不要使用缺省的目錄,建議更換一個(gè)記日志的路徑,同時(shí)設(shè)置日志的訪問(wèn)權(quán)限,只允許管理員和system為full control)。
8. 程序安全:
1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少的在asp文件里出現(xiàn),涉及到與數(shù)據(jù)庫(kù)連接地用戶名與口令應(yīng)給予最小的權(quán)限; 2) 需要經(jīng)過(guò)驗(yàn)證的asp頁(yè)面,可跟蹤上一個(gè)頁(yè)面的文件名,只有從上一頁(yè)面轉(zhuǎn)進(jìn)來(lái)的會(huì)話才能讀取這個(gè)頁(yè)面。
防止asp主頁(yè).inc文件泄露問(wèn)題;
4) 防止ue等編輯器生成some.asp.bak文件泄露問(wèn)題。
安全更新
應(yīng)用所需的所有 service pack 和定期手動(dòng)更新補(bǔ)丁。
安裝和配置防病毒保護(hù)
推薦nav 8.1以上版本病毒防火墻(配置為至少每周自動(dòng)升級(jí)一次)。
安裝和配置防火墻保護(hù)
推薦最新版blackice server protection防火墻(配置簡(jiǎn)單,比較實(shí)用)
監(jiān)視解決方案
根據(jù)要求安裝和配置 mom代理或類似的監(jiān)視解決方案。
加強(qiáng)數(shù)據(jù)備份
web數(shù)據(jù)定時(shí)做備份,保證在出現(xiàn)問(wèn)題后可以恢復(fù)到最近的狀態(tài)。
9. 刪除不必要的應(yīng)用程序映射
ISS中默認(rèn)存在很多種應(yīng)用程序映射,除了ASP的這個(gè)程序映射,其他的文件在網(wǎng)站上都很少用到。
在“Internet 服務(wù)管理器”中,右擊網(wǎng)站目錄,選擇“屬性”,在網(wǎng)站目錄屬性對(duì)話框的“主目錄”頁(yè)面中,點(diǎn)擊[配置]按鈕,彈出“應(yīng)用程序配置”對(duì)話框,在“應(yīng)用程序映射”頁(yè)面,刪除無(wú)用的程序映射。如果需要這一類文件時(shí),必須安裝最新的系統(tǒng)修補(bǔ)補(bǔ)丁,并且選中相應(yīng)的程序映射,再點(diǎn)擊[編輯]按鈕,在“添加/編輯應(yīng)用程序擴(kuò)展名映射”對(duì)話框中勾選“檢查文件是否存在”選項(xiàng)。這樣當(dāng)客戶請(qǐng)求這類文件時(shí),IIS會(huì)先檢查文件是否存在,文件存在后才會(huì)去調(diào)用程序映射中定義的動(dòng)態(tài)鏈接庫(kù)來(lái)解析。
保護(hù)日志安全
日志是系統(tǒng)安全策略的一個(gè)重要環(huán)節(jié),確保日志的安全能有效提高系統(tǒng)整體安全性。
修改IIS日志的存放路徑
默認(rèn)情況下,IIS的日志存放在%WinDir%/System32/LogFiles,黑客當(dāng)然非常清楚,所以最好修改一下其存放路徑。在 “Internet服務(wù)管理器”中,右擊網(wǎng)站目錄,選擇“屬性”,在網(wǎng)站目錄屬性對(duì)話框的“Web站點(diǎn)”頁(yè)面中,在選中“啟用日志記錄”的情況下,點(diǎn)擊旁邊的[屬性]按鈕,在“常規(guī)屬性”頁(yè)面,點(diǎn)擊[瀏覽]按鈕或者直接在輸入框中輸入日志存放路徑即可。
相關(guān)文章:
1. Win7系統(tǒng)電腦如何搭建Web服務(wù)器?Win7搭建Web iis服務(wù)器的方法2. Win7下搭建web服務(wù)器的簡(jiǎn)單步驟3. Win2003 64位Web服務(wù)器安裝配置注意事項(xiàng)(圖)4. win10系統(tǒng)怎么搭建web服務(wù)器?win10系統(tǒng)搭建web服務(wù)器的方法5. Linux下Web服務(wù)器環(huán)境搭建LNMP一鍵安裝包 v2.6[20141224更新]6. Win7系統(tǒng)電腦如何配置Web服務(wù)器?7. 針對(duì)Windows 2000優(yōu)化Web服務(wù)器性能8. Windows2003服務(wù)器安全加固方案(一)9. Windows Internet服務(wù)器安全配置10. 基于Unix系統(tǒng)的Web服務(wù)器安全指南
