windows20xx服务器安全策略总结

windows20xx服务器安全策略总结内容摘要：

Accounts Manager 存储本地用户帐户的安全信息 Server 提供 RPC 支持、文件、打印以及命名管道共享（这个服务关闭后就象我和刘贺看到的那样，资源管理器里面的用户名看不到了） Windows Management Instrumentation Driver Extensions 与驱动程序间交换系统管理信息 一般 webshell 都提供查看服务的相关信息， 这是可以禁用 workstation 服务就看不到了。 3. 2020 服务与运行进程详解 为保持文章连贯性，详见后面附录 1。 五 IIS 服务安全 (附录 2 安全特性 ) (运行里命令 “”打开添加删除程序 windows程序 )确实需要的服务即可。 这里特别提醒注意的是： “Indexing Service”、 “FrontPage 2020 Server Extensions”、 “ Internet Service Manager”这几个危险服务 双击 Inter 信息服务 (iis)，勾选以下选项： Inter 信息服务管理器； 公用文件； 后台智能传输服务 (BITS) 服务器扩展； 万维网服务。 如果您使用 FrontPage 扩展的 Web 站点再勾选： FrontPage 2020 Server Extensions （注释： Microsoft FrontPage 2020 服务器扩展是一组在站点服务器的程序，它可以支持管理、创作和浏览一个用 FrontPage 扩展的站点。 FrontPage 服务器扩展使用公共网关接口 (CGI) 或 Inter 服务器应用程序接口 (ISAPI)，这些接口几乎是站点服务器扩展机制所通用的。 他们可以与所有的标准站点服务器共同工作，包含商业站点服务器如 Microsoft 、Netscape、 Stronghold 和 O39。 Reilly 与 Associates 以及例如 Apache 和 NCSA 等的免费和共享软件服务器。 服务器扩展为易于移植到所有流行的硬件和软件平台而设计，以提供跨平台的兼容性。 客户端计算机和包含有服务器扩展的站点服务器之间使用开放的 HTTP 协议进行通讯，这个协议与 客户端计算机上的 Web 浏览器和站点服务器互操作时所用的相同。 站点服务器机器上不需要文件共享，也不需要 FTP 和 tel。 使用 FrontPage 服务器扩展不需要专门的文件系统共享调用。 当站点服务器上安装 FrontPage 服务器扩展之后，不论在 Inter 还是在 intra 上，每个有 FrontPage 客户端的计算机都有对 FrontPage 站点进行创作和管理的功能。 任何 Web 浏览器都有服务器扩展的浏览阶段功能。 ）。 首先，删除 C 盘下的 Ipub 目录，在 D 盘建一个 Ipub，在 IIS 管理器中将主目录指向 D:\Ipub。 其次，把 IIS 安装时默认的： _vti_bin、 IISSamples(\Ipub\iissamples)、 Scripts、 IIShelp(\winnt\help\iishelp)、 IISAdmin、 IIShelp、 MSADC(\program Files\mon files\system\msadc)等虚拟目录也一概删除，如果您需要什么权限的目录可以以后再建（特别注意写权限和执 行程序的权限）。 设置虚拟目录的方法这里就不写了。 但注意其中的几个地方，首先虚拟目录的名字设置的要 BT，如一个叫 gadgadfgadg，而另个叫 dfasdfadfdf,自己做好记录。 这样可以防止别人轻易的跳出他所在的目录。 而且一个虚拟目录对应一个用户。 在属性的虚拟目录那页执行权限一般选择纯脚本，应用程序保护选中，尤其要注意的是上面的执行权限和读的权限设置。 目录浏览一定不要选上 ,选上的话会出现比如找不到 而把您的站的目录全列出来的情况 .脚本资源访问 (对网 站的脚本可以读取原文件 )和写权限要慎重的分配。 然后是应用程序的配置。 在 IIS 管理器中把无用映射都统统删除（当然必须保留如 ASP，象 cer,asa 等还是删除吧。 自己再添加个任意执行文件，后缀名是 .mdb 的应用程序扩展名映射，这样可以防止 mdb 文件被下载）。 在 IIS 管理器中 “主机 → 属性 →WWW 服务编辑 →主目录配置 → 应用程序映射 ”，然后开始一个个删吧。 比如： htw 与 的映射删除 接着再在应用程序调试书签内，将 “脚本错误消息 ”改为 “发送文本 ”。 点击 “确定 ”退出时别忘了让虚拟站点继承刚 才设定好的属性。 并且可以考虑把错误的返回页面的内容重写或是重定向到自己做的一个页面，这样可以使一些根据返回错误页面来判断的扫描器失去作用。 web 文件放到一块，要分开放。 同时象 images 这样存放图片的目录一定不要有写的权限和脚本运行的权限（上传图片的地方可以写但不能有运行的权限）。 数据库目录可以写。 其他的 (象包含文件可以放到 inc目录下， asp 这样的脚本文件可以放到一个目录下，静态的网页放到一个目录下 )您都要注意了。 同时，最好把主页这样的关键文件设置成只有 system 和 administrators 组的用户可 以改，别人就不要有写的权限了。 而且要把主页单独放到一个文件夹里 . 同时，对重要的（比如数据库连接文件，用户登陆的判断文件 )进行加密处理 ,可以把 access 数据库放到深成次目录比如 12/154/8654/目录下。 也可以设置密码：使用 ACCESS 来为数据库文件编码及加密。 首先在选取 工具 安全 加密 /解密数据库，选取数据库（如： ），然后接确定，接着会出现 数据库加密后另存为 的窗口，存为：。 接着 就会被编码，然后存为.. 要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。 接下来我们为数据库加密，首先以打开经过编码了的 ， 在打开时，选择 独占 方式。 然后选取功能表的 工具 安全 设置数据库密码 ， 接着 输入密码即可。 这样即使他人得到了 文件，没有密码他是无法看到 的。 不过要在 ASP 程序中的 connection 对象的 open 方法中增加 PWD 的参数即可，例如： param=driver={Microsoft Access Driver (*.mdb)}wd=yfdsfs param=paramamp。 dbq=amp。 () param 这样即使他人得到了 文件，没有密码他是无法看到 的 . 对于可能存在注入漏洞的目录使用防注入工具。 同时您的管理员后台登 陆地址要改的让人猜不到（登陆界面上的标题拦什么的就不要出现 login，管理等关键字） .数据库文件要做防下载处理典型的是 mdb 改成 asp 结尾的 access库，前面加个 如。 (%231 是个更好的选择。 )或是在 access 文件里新建个表写进 %这样的数据 .当您检查如 asp 这样的文件时，用打开普通文件的方法打开，不要浏览。 主目录设置读取就可以了。 windows2020 默认是不支持 ASP 脚本运行的，我们可以如下做是它重新支持 ASP： 1)inter 信息服务管理器 2）属性 web 服务器扩展 3）双击 Actives server pages,然后将 任务栏 设置项处 “允许 ”按钮单击一下。 ，如果您的机器上还要支持 php，我最好您不要这样做。 最好是单一脚本的服务器。 但如果您坚持这样做，我建议去看看 php的安全设置。 我个人认为还是在 linux上玩 php 比较好。 在 windows 上默认的 php具有很高的权限，权限不设置，上传个 php木马的话那就死定了。 同时注意 2020 默认系统有个 的用户，原来它是 USERS 组的，把它设置成 GUEST 组的用户，免的被提权。 另外，同时使用 apache 和 IIS 的一个解决方案 转自： CSDN 在这种情况下，将 apache 设为使用 80端口， IIS 使用其它端口，比如 81，然后将 apache 作为 IIS 的代理。 在 里面，取消下面四行的注释： LoadModule proxy_module modules/ LoadModule proxy_connect_module modules/ LoadModule proxy__module modules/ LoadModule proxy_ftp_module modules/ 然后建立一个虚拟主机，将该域名的所有访问转向 81 端口。 VirtualHost ServerName ProxyPass / ProxyPassReverse / /VirtualHost 这样，对外就可以只需要一个端口，即可同时使用 apache 和 IIS 的功能了。 如果使用的是 2020可以使用 iislockdown( ... easeID=33961=33961)来保护 IIS，在 2020 运行的 的版本不需要 使用 UrlScan UrlScan 是一个 ISAPI 筛选器，它对传入的 HTTP 数据包进行分析并可以拒绝任何 可疑的通信量。 目前最新的版本是 ，如果是 2020Server 需要先安装 或 本。 下载地址见页未的链接 帖子来源布衣天下联盟 如果没有特殊的要求采用 UrlScan 默认配置就可以了。 但如果您在服务器运行 程序，并要进行调试您需打开要 %WINDIR%\System32\Isrv\URLscan 文件夹中的 文件，然后在 UserAllowVerbs 节添加 debug 谓词，注意此节是区分大小写的。 如果您的网页是 .asp 网页您需要在 DenyExtensions 删除 .asp 相关的内容。 如果您的网页使用了非 ASCII 代码，您需要在 Option 节中将 AllowHighBitCharacters的值设为 1 在对 文件做了更改后，您需要重启 IIS 服务才能生效，快速方法运行中输入 iisreset 如果您在配置后出现什么问题，您可以通过添加 /删除程序删除 UrlScan。 可以使用 IIS 的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复 IIS 的安全配置。 还有，如果您怕 IIS 负荷过高导致 服务器满负荷死机，也可以在性能中打开 CPU 限制，例如将 IIS 的最大 CPU 使用率限制在 70%。 六、 目录和文件权限 为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。 NT 的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。 在默认的情况下，大多数的文件夹对所有用户（ Everyone 这个组）是 完全敞开的（ Full Control），您需要根据应用的需要进行权限重设。 ，请记住以下几个原则： a. 权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。 b. 拒绝的权限要比允许的权限高（拒绝策略会先执行）。 如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。 c. 文件权限比文件夹权限高。 d. 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。 e. 只给用户真正需要的权限，权限的最小化原则是安全的重要保障。 (这个部分还存在问题，需要核实 ,这也 是叫我最头痛的地方，看了很多资料，没什么统一的答案，比如附录四 ) 首先假设有 C 盘（系统盘） D 盘（ IIS 服务盘） E 盘（ FTP 服务盘）。 我们把 D， E 盘的权限只有 System组和 administartors组的用户才有完全控制（ everyone 那个组千万要删掉）。 然后按照虚拟目录的设置进行设置（请看文章其他部分）。 至于 C 盘才是我们的重点。 这里有我们容易忽视的可写的目录。 将 C 盘的所有子目录和子文件继承 C 盘的 administrator(组或用户 )和 SYSTEM 所有权限的两个权限 然后做如下修改 Documents and settings 以及 Program files，只给 Administrator 完全控制权，或者干脆直接把 Program files 给删除掉。