WEB服务器安全自查报告

1、WEB服务器安全自查报告一、操作系统安全配置报告1、停掉 Guest 帐号在计算机管理的用户里面把 guest 帐号停用掉，任何时候都不允许 guest 帐号登 陆系统。2、限制不必要的用户数量 去掉所有的测试用帐户、 共享帐号、普通部门帐号等等不必要账号。用户组策 略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。3、创建 2 个管理员用帐号 创建一个一般权限帐号用来处理一些日常事物， 另一个拥有 Administrators 权 限的帐户只在需要的时候使用。4、把系统 administrator 帐号改名Windows 2003 的 administrator 帐号是不能被停用

2、的，这意味着别人可以一遍 又一遍的尝试这个帐户的密码。 把 Administrator 帐户改名可以有效的防止这一 点。5、把共享文件的权限从” everyone ”组改成“授权用户”“ everyone ” 在 Win 2003中任何有权进入你的网络的用户都能够获得这些共享 资料。任何时候都不要把共享文件的用户设置成“ everyone ”组。6、使用安全密码 应该要求用户首次登陆的时候更改成复杂的密码，还要注意经常更改密码。7、使用NTFS格式分区把服务器的所有分区都改成 NTFS格式。NTFS文件系统要比FAT FAT32的文件 系统安全得多。8 、保障备份盘的安全 系统资料被破坏，备份

3、盘将是你恢复资料的唯一途径。备份完资料确认无误后， 把备份盘放在安全的地方。9、关闭不必要的服务Windows 2003的Terminal Services （终端服务）、和RAS都可能系统带来安 全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的， 如果需要开此服务， 一定要确认已经正确的配置了终端服务。 有些恶意的程序也 能以服务方式悄悄的运行。10、关闭不必要的端口关闭端口意味着减少功能， 因此在安全和功能上面需要作一点决策。 如果服务器 安装在防火墙的后面， 冒险就会少些， 但是，永远不要认为可以就此高枕无忧了。11、打开审核策略开启安全审核是 Win 2003 最基

4、本的入侵检测方法。当有人尝试对你的系统进行 某些方式（如尝试用户密码 , 改变帐户策略，未经许可的文件访问等等）入侵的 时候，都会被安全审核记录下来。12、设定安全记录的访问权限安全记录在默认情况下是没有保护的， 把他设置成只有 Administrator 和系统帐 户才有权访问。13、不让系统显示上次登陆的用户名 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名。14、到微软网站下载最新的补丁程序 经常访问微软和一些安全站点，下载最新的 service pack 和漏洞补丁，是保障 服务器长久安全的唯一方法。15、关闭默认共享Win 2003 安装好以后，系统会创建一些隐

5、藏的共享，要禁止这些共享，打开管理工具计算机管理共享文件夹 共享 在相应的共享文件夹上按右键， 点停止共 享即可。16、清除 temp 文件夹 一些应用程序在安装和升级的时候，会把一些东西拷贝到 temp 文件夹，但是当 程序升级完毕或关闭的时候，它们并不会自己清除 temp 文件夹的内容。17、关机时清除掉页面文件页面文件就是调度文件，是 Win 2003 用来存储没有装入内存的程序和数据文件 部分的隐藏文件。 一些第三方的程序可以把一些没有加密的密码存在内存中， 页 面文件中也可能含有另外一些敏感的资料。二、IIS安全配置报告1、仅安装必要的IIS 组件。(禁用不需要的如FTP和SMTP服

6、务)2、仅启用必要的服务和 Web Service扩展，推荐配置：UI中的组件名 称设置设置逻辑后台智能传输服务 (BITS) 服务器扩展启用BITS 是 Windows Updates 和自动更新”所使用 的后台文件传输机制。如果使用Windows Updates 或 自动更新”在IIS服务器中自动应用ServicePack和热修补程序，则必须有该组件。公用文件启用IIS需要这些文件，一定要在IIS服务器中启用它们。文件传输协议(FTP)服务禁用允许IIS服务器提供FTP服务。专用IIS服务器 不需要该服务。Fron tPage2002 ServerExte nsions禁用为管理和发布We

7、b站点提供FrontPage 支持。如 果没有使用FrontPage 扩展的Web站点，请在专 用IIS服务器中禁用该组件。In ternet 信息服务管理器启用IIS的管理界面。In ternet打印禁用提供基于Web的打印机管理，允许通过 HTTP共 享打印机。专用IIS服务器不需要该组件。NNTP服务禁用在In ternet中分发、查询、检索和投递 Use net新闻文章。专用IIS服务器不需要该组件。SMTP服务禁用支持传输电子邮件。专用iis服务器不需要该组件。:万维网服务启用为客户端提供 Web服务、静态和动态内容。专用IIS服务器需要该组件。3、万维网服务子组件UI中的组件名称安

8、装选项设置逻辑ActiveServer启用提供ASP支持。如果IIS服务器中的 Web站点Page和应用程序都不使用 ASP，请禁用该组件；或使用Web服务扩展禁用它。In ternet数据连接器禁用 禁用通过扩展名为.ide的文件提供动态内容支持。如果IIS服务器中的Web站点和应用程序都不包 括.ide扩展文件，请禁用该组件；或使用 Web服 务扩展禁用它。远程管理(HTML)禁用 禁用提供管理IIS的HTML界面。改用IIS管理器可 使管理更容易，并减少了 IIS服务器的攻击面。专用 IIS服务器不需要该功能。远程桌面 Web连接禁用 禁用包括了管理终端服务客户端连接的Microsoft

9、 ActiveX?控件和范例页面。改用IIS管理器可使管理更容易，并减少了IIS服务器的攻击面。专用IIS服务器不需要该组件。服务器端包括禁用 禁用提供.shtm、.shtml 和.stm 文件的支持。如果在IIS服务器中运行的 Web站点和应用程序都不使 用上述扩展的包括文件，请禁用该组件。WebDAV禁用 禁用WebDAV 扩展了 HTTP/1.1 协议，允许客户端发 布、锁定和管理 Web中的资源。专用IIS服务器 禁用该组件；或使用 Web服务扩展禁用该组件。万维网服务启用为客户端提供 Web服务、静态和动态内容。专用IIS服务器需要该组件4、将IIS目录&数据与系统磁盘分开，保存在专

10、用磁盘空间内。5、 在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射 即可)。6 Web站点权限设定Web 站点权限：授予的权限：读允许写不允许脚本源访问不允许目录浏览关闭日志访问关闭索引资源关闭执行推荐选择仅限于脚本”7、使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口， 方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使 用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许 管理员和 system 为 Full Control ）。三、SQI2005安全配置报告1、使用安全的密码策略MS Sql Serv

11、er在安装完毕的时候，其sa的密码默认为空。立即为sa帐号设置 一个强壮的密码；严禁把sa帐号和密码写于应用程序或者脚本中。2、安全的帐号策略给运行SQL服务的用户尽可能小的权限，最好不是LocalSystem 或者Administrators ； SQL Server采用混合身份认证方式可一定程度上避免操作系 统管理员来通过操作系统登陆来接触数据库；最好不要在数据库应用中使用sa帐号，建议数据库管理员新建一个拥有与 sa 一样权限的超级用户来管理数据库， 并防止有管理员权限的帐号泛滥；根据实际需要分配帐号角色，并赋予仅仅能够 满足应用要求和需要的权限。很多主机使用数据库应用只是用来做查询、修

12、改等 简单功能的，如只要查询功能的，那么就使用一个简单的public帐号能够select 就可以了。从数据库中删除所有 guest用户（master,tempdb除外），以及其他 未授权用户。3、权限控制设定确切的扩展存储进程权限；设定 master 中的 Extented Stored Procedure的权限；设定 statement 权限；设定合适的组权限；设定合适的用户权限。4、在实例属性中选择“安全性”，将审核级别选定为全部，这样在数据库系统和 操作系统日志里面，就详细记录了所有帐号的登录事件。定期查看SQLServer日志检查是否有可疑的登录事件发生，或者使用DOS命令。5、控制 TCP/IP 端口a、修改默认端口可以通过修改默认 TCP/1433 端口一定程度上逃避了端口探测，但是，通过 1434 端口的UDF探测可以很容易知道SQL Server使用的什么TCP/IP端口。b、隐藏服务器通过在实例属性中选择TCP/IP协议的属性，选择隐藏SQL Server实例。c、启用IP安全策略在IPSec过滤拒绝掉1434端口的UDR1讯，达到隐藏SQL Server服务器。6、数据库备