安全部署企业WEB服务器

1、 安全部署企业WEB服务器摘 要：web服务器是intranet网站的核心，其中的数据资料非常重要，安全部署web服务器是企业面临的一项重要工作，系统安装、安全策略和iis安全策略对企业web服务器安全、稳定、高效地运行至关重要。 关键词：intranet；安全策略；组策略 web服务器是企业网intranet网站的核心，其中的数据资料非常重要，一旦遭到破坏将会给企业造成不可弥补的损失，管理好、使用好、保护好web服务器中的资源，是一项至关重要的工作。本文主要介绍web服务器安全策略方面的相关知识。 1系统安装、系统安全策略配置 使用ntfs格式分区、设置不同的用户访问服务器的不同权限是搭建一

2、台安全web服务器的最低要求。 windows 2003 安装策略： 系统安装在单独的逻辑驱动器并自定义安装目录；以“最小的权限+最少的服务=最大的安全”为基本理念，只安装所必需的服务和协议，如dns、dhcp，不需要的服务和协议一律不安装；只保留tcp/ip 一项并禁用netbois；安装windows2003最新补丁和防病毒软件。 关闭windows2003不必要的服务。 关闭computer browser 、task scheduler 、routing and remote access、removable storage 、remote registry service、print

3、 spooler、ipsec policy agent 、distributed link tracking client、com+ event system 、alerter、error reporting service 、messenger 、telnet服务。LOCAlhOST 设置磁盘访问权限。 系统磁盘只赋予administrators和system权限，系统所在目录要加上users的默认权限，以保障asp和aspx等应用程序正常运行。其他磁盘可以此为参照，当某些第三方应用程序以服务形式启动时，需加system用户权限，否则启动不成功。 注册表hkey_local_machine/

4、system/currentcontrolset/control/lsa，将dword值restrictanonymous的键值改为1，禁止 windows 系统进行空连接。 关闭不需要的端口、更改远程连接端口。 本地连接属性internet协议(tcp/ip)高级选项tcp/ip筛选属性把勾打上，添加需要的端口(如: 21、80)。 更改远程连接端口：开始运行输入regedit 查找3389：将 hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwdsrdpwdtdstcp和hkey_local_machinesys

5、temcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp下的portnumber=3389改为自宝义的端口号并重新启动服务器。 编写批处理文件并在组策略中应用，以关闭默认共享的空连接。 net share c$ /delete net share d$ /delete net share e$ /delete net share f$ /delete net share admin$ /delete 将以上内容写入并保存到系统所在文件夹下的system32grouppolicyuserscriptslogon目录下。运行组策略编辑

6、器，用户配置windows设置脚本(登录/注销)登录“登录 属性”“添加”“添加脚本”对话框的“脚本名”栏中输入“确定”按钮重新启动服务器，即可自动关闭系统的默认隐藏共享，将系统安全隐患降至最低。 限制匿名访问本机用户。 “开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“对匿名连接的额外限制”在下拉菜单中选择“不允许枚举sam帐号和共享”“确定”。 限制远程用户对光驱或软驱的访问 。 “开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“只有本地登录用户才能访问软盘”在单选按钮中选择“已启用(e)” “确定”。 限制远程用户对netmeeting的共

7、享，禁用netmeeting远程桌面共享功能。 运行“” “计算机配置”“管理模板”“windows组件” “netmeeting” “禁用远程桌面共享”右键在单选按钮中选择“启用(e)”“确定”。 限制用户执行windows安装程序，防止用户在系统上安装软件。方法同。 11删除c:windowswebprinters目录，避免溢出攻击。 12删除c:windowssyst123下一页 em32inetsrviisadmpwd，此目录在管理iis密码时使用，当把账户策略 密码策略 密码最短使用期限 设为0天即密码不过期时，可避免iis密码不同步问题。这里就可删掉此目录。 13修改注册表防止小规

8、模ddos攻击。hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters新建 “dword值”名为 “synattackprotect” 数值为”1” 14本地策略安全选项： 将清除虚拟内存页面文件 、不显示上次的用户名、不需要按ctrl+alt+del、不允许 sam 账户的匿名枚举、不允许 sam 账户和共享的匿名枚举、均更改为”已启用” ；重命名来宾账户 更改成一个复杂的账户名；重命名系统管理员账号，更改一个自己用的账号，同时建立一个无用户组的administrat账户。 2iis安全策略应用 不使用默认的web站点

9、，将iis目录与系统磁盘分开。 将网站内容移动到非系统驱动器，不使用默认的 inetpubwwwroot 目录，以减轻目录遍历攻击带来的危险。 删除iis默认创建的inetpub目录(在系统磁盘上)并配置网站访问权限。为web 服务器配置站点、目录和文件的访问权限。 删除系统盘下的虚拟目录：vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。 删除不必要的iis扩展名映射。 右键单击“默认web站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射，主要为shtml、shtm、stm。 更改iis日志的路径。 右键单击“

10、默认web站点属性网站在启用日志记录下点击属性更改设置。 只选择网站和 web 应用程序正确运行所必需的服务和子组件。开始控制面板 添加或删除程序添加/删除 windows 组件应用程序服务器详细信息 internet 信息服务 (iis) 详细信息然后通过选择或清除相应组件或服务的复选框，来选择或取消相应的 iis 组件和服务。 iis 子组件和服务的推荐设置：禁用：后台智能传输服务 (bits) 服务器扩展、ftp 服务、frontpage 2002 server extensions、internet 打印、nntp 服务。启用：公用文件、internet 信息服务管理器、万维网服务。

11、删除未使用的帐户，设置强密码，使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。 限制对服务器的匿名连接，确保禁用来宾帐户；重命名管理员帐户并分配一个强密码以增强安全性。重命名 iusr 帐户。 在 iis 元数据库中更改 iusr 帐户的值： “管理工具”“internet 信息服务 (iis) 管理器” 右键单击“本地计算机”“属性”选中“允许直接编辑配置数据库”复选框“确定” 浏览至 文件的位置，默认情况下为 c:windowssystem32inetsrv 右键单击 文件“编辑” 搜索“anonymoususername”属性，键入 iusr 帐户

12、的新名称在“文件”菜单上单击“退出”单击“是”。 使用应用程序池来隔离应用程序，提高 web 服务器的可靠性和安全性。 创建应用程序池： “管理工具”“internet 信息服务 (iis) 管理器” 本地计算机右键单击“应用程序池”“新建”“应用程序池”在“应用程序池 id”框中，为应用程序池键入一个新 id“应用程序池设置” “use default settings for the new application pool”“确定”。将网站或应用程序分配到应用程序池： “管理工具”“internet 信息服务 (iis) 管理器” 右键单击您想要分配到应用程序池的网站或应用程序“属性”“主目录”、“虚拟目录”或“目录”选项卡，如果将目录或虚拟目录分配到应用程序池，则验证“应用程序名”框是否包含正确的网站或应用程序名称，“应用程序池”列表框单击您想要分配网站或应用程序的应用程序池的名称“确定”。 经过以上设置， iis安全性有了很大的提升，但一些不法攻击者会不断寻找新漏洞来攻击web服务系统，所以我们一定要养成及时修补系统漏洞的习惯，并不断提高管理人员的网络技术水平，确保企业web服务器有一个安全、稳定、高效的运行环境。参考文献：1王淑江,刘晓辉,张奎亭. windowsserver2003系统安全管理m.北京:电子工业出版