ImageVerifierCode 换一换
格式:DOC , 页数:7 ,大小:29.50KB ,
资源ID:2011027      下载积分:10 文钱
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,省得不是一点点
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.wenke99.com/d-2011027.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(安全部署企业WEB服务器 .doc)为本站会员(99****p)主动上传,文客久久仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知文客久久(发送邮件至hr@wenke99.com或直接QQ联系客服),我们立即给予删除!

安全部署企业WEB服务器 .doc

1、安全部署企业 WEB 服务器 摘 要:WEB 服务器是 Intranet(企业内部网)网站的核心,其中的数据资料非常重要,安全部署 WEB 服务器是企业面临的一项重要工作,系统安装、安全策略和 IIS 安全策略对企业 WEB 服务器安全、稳定、高效地运行至关重要。 关键词:Intranet;安全策略;组策略WEB 服务器是企业网 Intranet 网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好 WEB 服务器中的资源,是一项至关重要的工作。本文主要介绍 WEB 服务器安全策略方面的相关知识。 1 系统安装、系统安全策略配置使用 NTFS 格

2、式分区、设置不同的用户访问服务器的不同权限是搭建一台安全 WEB 服务器的最低要求。Windows 2003 安装策略:系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如 DNS、DHCP,不需要的服务和协议一律不安装;只保留 TCP/IP 一项并禁用 NETBOIS;安装 Windows2003 最新补丁和防病毒软件。关闭 windows2003 不必要的服务。关闭 Computer Browser 、Task scheduler 、Routing and Remote Access、Removable storage

3、 、Remote Registry Service、Print Spooler、IPSEC Policy Agent 、Distributed Link Tracking Client、Com+ Event System 、Alerter 、Error Reporting Service 、Messenger 、Telnet 服务。设置磁盘访问权限。系统磁盘只赋予 administrators 和 system 权限,系统所在目录(默认时为 Windows)要加上 users 的默认权限,以保障 ASP 和 ASPX等应用程序正常运行。其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时

4、,需加 system 用户权限,否则启动不成功。注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORD 值 RestrictAnonymous 的键值改为 1,禁止 Windows 系统进行空连接。关闭不需要的端口、更改远程连接端口。本地连接属性Internet 协议(TCP/IP)高级选项TCP/IP 筛选属性把勾打上,添加需要的端口(如: 21、80)。 更改远程连接端口:开始运行输入 regedit 查找3389:将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl

5、Terminal ServerWdsrdpwdTdstcp 和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 下的 PortNumber=3389 改为自宝义的端口号并重新启动服务器。编写批处理文件 delshare.bat 并在组策略中应用,以关闭默认共享的空连接。 (以服务器有 4 个逻辑驱动器为例)net share C$ /deletenet share D$ /deletenet share E$ /deletenet share F$ /deletenet share

6、 admin$ /delete 将以上内容写入 delshare.bat 并保存到系统所在文件夹下的system32GroupPolicyUserScriptsLogon 目录下。运行 gpedit.msc组策略编辑器,用户配置Windows 设置脚本(登录/注销)登录“登录 属性”“添加”“添加脚本”对话框的“脚本名”栏中输入 delshare.bat“确定”按钮重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。限制匿名访问本机用户。 “开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“对匿名连接的额外限制”在下拉菜单中选择“不允许枚举 SAM 帐

7、号和共享”“确定” 。 限制远程用户对光驱或软驱的访问 。 “开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“只有本地登录用户才能访问软盘”在单选按钮中选择“已启用(E)” “确定” 。 限制远程用户对 NetMeeting 的共享,禁用 NetMeeting 远程桌面共享功能。 运行“gpedit.msc” “计算机配置”“管理模板”“Windows 组件” “NetMeeting” “禁用远程桌面共享”右键在单选按钮中选择“启用(E)”“确定” 。 限制用户执行 Windows 安装程序,防止用户在系统上安装软件。方法同(9) 。 11 删除 C:WINDOWSWE

8、Bprinters 目录,避免溢出攻击(此目录的存在会造成 IIS 里加入一个.printers 的扩展名,可溢出攻击) 。12 删除 C:WINDOWSsystem32inetsrviisadmpwd,此目录在管理 IIS 密码时使用(如因密码不同步造成 500 错误时使用 OWA 或Iisadmpwd 修改同步密码) ,当把账户策略 密码策略 密码最短使用期限 设为 0 天即密码不过期时,可避免 IIS 密码不同步问题。这里就可删掉此目录。13 修改注册表防止小规模 DDOS 攻击。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip

9、Parameters 新建 “DWORD 值“名为 “SynAttackProtect“ 数值为“1“14 本地策略安全选项:将清除虚拟内存页面文件 、不显示上次的用户名、不需要按CTRL+ALT+DEL、不允许 SAM 账户的匿名枚举、不允许 SAM 账户和共享的匿名枚举、均更改为“已启用“ ;重命名来宾账户 更改成一个复杂的账户名;重命名系统管理员账号,更改一个自己用的账号,同时建立一个无用户组的 Administrat 账户。 2IIS 安全策略应用 不使用默认的 WEB 站点,将 IIS 目录与系统磁盘分开。将网站内容移动到非系统驱动器,不使用默认的 InetpubWwwroot 目录

10、,以减轻目录遍历攻击(这种攻击试图浏览 WEB 服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器) 。删除 IIS 默认创建的 Inetpub 目录(在系统磁盘上)并配置网站访问权限。为 WEB 服务器配置站点、目录和文件的访问权限。删除系统盘下的虚拟目录:vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。删除不必要的 IIS 扩展名映射。右键单击“默认 WEB 站点属性主目录配置” ,打开应用程序窗口,去掉不必要的应用程序映射,主要为 shtml、shtm、stm。更改 IIS 日志的路径。右键单击“

11、默认 WEB 站点属性网站在启用日志记录下点击属性更改设置。只选择网站和 WEB 应用程序正确运行所必需的服务和子组件。开始控制面板 添加或删除程序添加/删除 Windows 组件应用程序服务器详细信息 Internet 信息服务 (IIS) 详细信息然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 IIS 组件和服务。 IIS 子组件和服务的推荐设置:禁用:后台智能传输服务 (BITS) 服务器扩展、FTP 服务、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服务。启用:公用文件、Internet 信息服务管理器、万维网服务。

12、删除未使用的帐户,设置强密码,使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。 限制对服务器的匿名连接,确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。重命名 IUSR 帐户。在 IIS 元数据库中更改 IUSR 帐户的值: “管理工具”“Internet 信息服务 (IIS) 管理器” 右键单击“本地计算机”“属性”选中“允许直接编辑配置数据库”复选框“确定” 浏览至 MetaBase.xml 文件的位置,默认情况下为 C:Windowssystem32inetsrv 右键单击 MetaBase.xml 文件“编辑” 搜索“Anonym

13、ousUserName”属性,键入 IUSR 帐户的新名称在“文件”菜单上单击“退出”单击“是” 。使用应用程序池来隔离应用程序,提高 WEB 服务器的可靠性和安全性。创建应用程序池: “管理工具”“Internet 信息服务 (IIS) 管理器” 本地计算机右键单击“应用程序池”“新建”“应用程序池”在“应用程序池 ID”框中,为应用程序池键入一个新 ID“应用程序池设置” “Use default settings for the new application pool”(使用新应用程序池的默认设置)“确定” 。将网站或应用程序分配到应用程序池: “管理工具”“Internet 信息服务

14、 (IIS) 管理器” 右键单击您想要分配到应用程序池的网站或应用程序“属性”“主目录” 、 “虚拟目录”或“目录”选项卡,如果将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称, (如果在“应用程序名”框中没有名称,则单击“创建” ,然后键入网站或应用程序的名称)“应用程序池”列表框单击您想要分配网站或应用程序的应用程序池的名称“确定” 。 经过以上设置, IIS 安全性有了很大的提升,但一些不法攻击者会不断寻找新漏洞来攻击 WEB 服务系统,所以我们一定要养成及时修补系统漏洞的习惯,并不断提高管理人员的网络技术水平,确保企业 WEB服务器有一个安全、稳定、高效的运行环境。参考文献:1王淑江,刘晓辉,张奎亭. WindowsServer2003 系统安全管理M.北京:电子工业出版社, 2009.2托洛斯.iis6 管理指南M.北京:清华大学出版社,2005.3李新,李成友.基于 Windows 系统的 Web 服务器安全研究与实践J.教育信息化,2006,(4).4马琰.如何提高个人 Web 服务器的安全性J.职业圈,2007,(9).5王远哲.细说高校 WEB 服务器安全J.电脑知识与技术,2008,(9).6田巍.四川航空股份有限公司网络安全方案可行性分析和规划M.北京:电子科技大学,2005

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。