一、 Windows 2000安全配置
■. 確保所有磁盤分區(qū)為NTFS分區(qū)
■. 操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū)
■. 不要安裝不需要的協(xié)議,比如IPX/SPX, NetBIOS?
■. 不要安裝其它任何操作系統(tǒng)
■. 安裝Service Pack
■. 安裝hotfix,一般需要安裝如下補丁
* Q260347_W2K_sp2_x86_cn(IISCrosssite)
* Q262694_W2K_SP2_x86_CN(resetBrowseForm)
* Q269049_W2K_SP2_x86_CN(shellpath)
* Q269862_W2K_SP2_x86_CN(unicode)
* Q270676_W2K_SP2_x86_CN(shurufa)
* Q272743_W2K_SP2_x86_CN(NTLM)
* Q277873_W2K_sp2_x86_CN(filerequest)
* Q278499_W2K_sp2_x86_CN(indexserv)
* Q280322_W2K_sp2_x86_CN(malwebform)
* q285851_w2k_sp3_x86_cn(netdde)
具體可參考微軟網(wǎng)站:http://www.microsoft.com/Windows2000/downloads
■. 關(guān)閉所有不需要的服務(wù)
* Alerter (disable)
* ClipBook Server (disable)
* Computer Browser (disable)
* DHCP Client (disable)
* Directory Replicator (disable)
* FTP publishing service (disable)
* License Logging Service (disable)
* Messenger (disable)
* Netlogon (disable)
* Network DDE (disable)
* Network DDE DSDM (disable)
* Network Monitor (disable)
* Plug and Play (disable after all hardware configuration)
* Remote Access Server (disable)
* Remote Procedure Call (RPC) locater (disable)
* Schedule (disable)
* Server (disable)
* Simple Services (disable)
* Spooler (disable)
* TCP/IP Netbios Helper (disable)
* Telephone Service (disable)
在必要時禁止如下服務(wù):
* SNMP service (optional)
* SNMP trap (optional)
* UPS (optional
設(shè)置如下服務(wù)為自動啟動:
* Eventlog ( required )
* NT LM Security Provider (required)
* RPC service (required)
* WWW (required)
* Workstation (leave service on:will be disabled later in the document)
* MSDTC (required)
* Protected Storage (required)
■. 刪除 OS/2 和 POSIX 子系統(tǒng):
刪除如下目錄的任何鍵:
HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2 Subsystem for NT
刪除如下的鍵:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerEnvironmentOs2LibPath
刪除如下的鍵:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptional
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosix
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOs2
刪除如下目錄:
c:winntsystem32os2
■. 帳號和密碼策略
1) 保證禁止guest帳號
2) 將administrator改名為比較難猜的帳號
3) 密碼唯一性:記錄上次的 6 個密碼
4) 最短密碼期限:2
5) 密碼最長期限:42
6) 最短密碼長度:8
7) 密碼復(fù)雜化(passfilt.dll):啟用
8) 用戶必須登錄方能更改密碼:啟用
9) 帳號失敗登錄鎖定的門限:6
10)鎖定后重新啟用的時間間隔:720分鐘
■.保護(hù)文件和目錄
將C:winnt, C:winntconfig, C:winntsystem32, C:winntsystem等目錄的訪問權(quán)限做限制,限制everyone的寫權(quán)限,限制users組的讀寫權(quán)限
■.注冊表一些條目的修改
1) 去除logon對話框中的shutdown按鈕
將HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindows NTCurrent VersionWinlogon中
ShutdownWithoutLogon REG_SZ 值設(shè)為0
2) 去除logon信息的cashing功能
將HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindows NTCurrent VersionWinlogon中
CachedLogonsCount REG_SZ 值設(shè)為0
3) 隱藏上次登陸的用戶名
將HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindows NTCurrent VersionWinlogon中
DontDisplayLastUserName REG_SZ 值設(shè)為1
4)限制LSA匿名訪問
將HKEY_LOCAL_MACHINESYSTEM
CurrentControlSetControlLSA中
RestricAnonymous REG_DWORD 值設(shè)為1
5) 去除所有網(wǎng)絡(luò)共享
將HKEY_LOCAL_MACHINESYSTEM
CurrentControlSetServicesLanManServerParameters中
AutoShareServer REG_DWORD 值設(shè)為0
■. 啟用TCP/IP過濾
只允許TCP端口80和443(如果使用SSL)
不允許UDP端口
只允許IP Protocol 6 (TCP)
■. 移動部分重要文件并加訪問控制:
創(chuàng)建一個只有系統(tǒng)管理員能夠訪問的目錄,將system32目錄下的一些重要文件移動到此目錄:
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe,
secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,
edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe
■.安裝防病毒軟件Norton 2000
■. 可以下載Hisecweb.inf安全模板來配置
Http://download.microsoft.com/downl...US/hisecweb.exe
該模板配置基本的 Windows 2000 系統(tǒng)安全策略。
將該模板復(fù)制到 %windir%security emplates 目錄。
打開“安全模板”工具,查看這些設(shè)置。
打開“安全配置和分析”工具,然后裝載該模板。
右鍵單擊“安全配置和分析”工具,然后從上下文菜單中選擇“立即分析計算機(jī)”。
等候操作完成。
查看結(jié)果,如有必要就更新該模板。
右鍵單擊“安全配置和分析”工具,然后從上下文菜單中選擇“立即配置計算機(jī)”。
二、IIS的安全配置
■. 關(guān)閉并刪除默認(rèn)站點:
默認(rèn)FTP站點
默認(rèn)Web站點
管理Web站點
■. 建立自己的站點,與系統(tǒng)不在一個分區(qū),如
D:wwwroot3. 建立 E:Logfiles 目錄,以后建立站點時的日志文件均位于此目錄,確保此目錄上的訪問控制權(quán)限是: Administrators(完全控制)System(完全控制)
■. 刪除IIS的部分目錄:
IISHelp C:winnthelpiishelp
IISAdmin C:system32inetsrviisadmin
MSADC C:Program FilesCommon FilesSystemmsadc
刪除 C:\inetpub
■. 刪除不必要的IIS映射和擴(kuò)展:
IIS 被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時,該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展或功能,則應(yīng)刪除該
映射,步驟如下:
打開 Internet 服務(wù)管理器:
選擇計算機(jī)名,點鼠標(biāo)右鍵,選擇屬性:
然后選擇編輯
然后選擇主目錄, 點擊配置
選擇擴(kuò)展名 ".htw",".htr",".idc",".ida",".idq"和".printer",點擊刪除
如果不使用server side include,則刪除".shtm" ".stm" 和 ".shtml"
■. 禁用父路徑 :
“父路徑”選項允許您在對諸如 MapPath 函數(shù)調(diào)用中使用“..”。在默認(rèn)情況下,該選項
處于啟用狀態(tài),應(yīng)該禁用它。
禁用該選項的步驟如下:
右鍵單擊該 Web 站點的根,然后從上下文菜單中選擇“屬性”。
單擊“主目錄”選項卡。
單擊“配置”。
單擊“應(yīng)用程序選項”選項卡。
取消選擇“啟用父路徑”復(fù)選框。
■. 在虛擬目錄上設(shè)置訪問控制權(quán)限
主頁使用的文件按照文件類型應(yīng)使用不同的訪問控制列表:
CGI (.exe, .dll, .cmd, .pl)
Everyone (X)
Administrators(完全控制)
System(完全控制)
腳本文件 (.asp)
Everyone (X)
Administrators(完全控制)
System(完全控制)
include 文件 (.inc, .shtm, .shtml)
Everyone (X)
Administrators(完全控制)
System(完全控制)
靜態(tài)內(nèi)容 (.txt, .gif, .jpg, .html)
Everyone (R)
Administrators(完全控制)
System(完全控制)
在創(chuàng)建Web站點時,沒有必要在每個文件上設(shè)置訪問控制權(quán)限,應(yīng)該為每個文件類型創(chuàng)建一個新目錄,然后在每個目錄上設(shè)置訪問控制權(quán)限、允許訪問控制權(quán)限傳給各個文件。
例如,目錄結(jié)構(gòu)可為以下形式:
D:wwwrootmyserverstatic (.html)
D:wwwrootmyserverinclude (.inc)
D:wwwrootmyserver script (.asp)
D:wwwrootmyserver executable (.dll)
D:wwwrootmyserverimages (.gif, .jpeg)
■. 啟用日志記錄
確定服務(wù)器是否被攻擊時,日志記錄是極其重要的。
應(yīng)使用 W3C 擴(kuò)展日志記錄格式,步驟如下:
打開 Internet 服務(wù)管理器:
右鍵單擊站點,然后從上下文菜單中選擇“屬性”。
單擊“Web 站點”選項卡。
選中“啟用日志記錄”復(fù)選框。
從“活動日志格式”下拉列表中選擇“W3C 擴(kuò)展日志文件格式”。
單擊“屬性”。
單擊“擴(kuò)展屬性”選項卡,然后設(shè)置以下屬性:
* 客戶 IP 地址
* 用戶名
* 方法
* URI 資源
* HTTP 狀態(tài)
* Win32 狀態(tài)
* 用戶代理
* 服務(wù)器 IP 地址
* 服務(wù)器端口
