1、安全部署企业 WEB 服务器 摘 要:WEB 服务器是 Intranet(企业内部网)网站的核心,其中的数据资料非常重要,安全部署 WEB 服务器是企业面临的一项重要工作,系统安装、安全策略和 IIS 安全策略对企业 WEB 服务器安全、稳定、高效地运行至关重要。 关键词:Intranet;安全策略;组策略WEB 服务器是企业网 Intranet 网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好 WEB 服务器中的资源,是一项至关重要的工作。本文主要介绍 WEB 服务器安全策略方面的相关知识。 1 系统安装、系统安全策略配置使用 NTFS 格
2、式分区、设置不同的用户访问服务器的不同权限是搭建一台安全 WEB 服务器的最低要求。Windows 2003 安装策略:系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如 DNS、DHCP,不需要的服务和协议一律不安装;只保留 TCP/IP 一项并禁用 NETBOIS;安装 Windows2003 最新补丁和防病毒软件。关闭 windows2003 不必要的服务。关闭 Computer Browser 、Task scheduler 、Routing and Remote Access、Removable storage
3、 、Remote Registry Service、Print Spooler、IPSEC Policy Agent 、Distributed Link Tracking Client、Com+ Event System 、Alerter 、Error Reporting Service 、Messenger 、Telnet 服务。设置磁盘访问权限。系统磁盘只赋予 administrators 和 system 权限,系统所在目录(默认时为 Windows)要加上 users 的默认权限,以保障 ASP 和 ASPX等应用程序正常运行。其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时
4、,需加 system 用户权限,否则启动不成功。注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORD 值 RestrictAnonymous 的键值改为 1,禁止 Windows 系统进行空连接。关闭不需要的端口、更改远程连接端口。本地连接属性Internet 协议(TCP/IP)高级选项TCP/IP 筛选属性把勾打上,添加需要的端口(如: 21、80)。 更改远程连接端口:开始运行输入 regedit 查找3389:将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl
5、Terminal ServerWdsrdpwdTdstcp 和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 下的 PortNumber=3389 改为自宝义的端口号并重新启动服务器。编写批处理文件 delshare.bat 并在组策略中应用,以关闭默认共享的空连接。 (以服务器有 4 个逻辑驱动器为例)net share C$ /deletenet share D$ /deletenet share E$ /deletenet share F$ /deletenet share
6、 admin$ /delete 将以上内容写入 delshare.bat 并保存到系统所在文件夹下的system32GroupPolicyUserScriptsLogon 目录下。运行 gpedit.msc组策略编辑器,用户配置Windows 设置脚本(登录/注销)登录“登录 属性”“添加”“添加脚本”对话框的“脚本名”栏中输入 delshare.bat“确定”按钮重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。限制匿名访问本机用户。 “开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“对匿名连接的额外限制”在下拉菜单中选择“不允许枚举 SAM 帐
7、号和共享”“确定” 。 限制远程用户对光驱或软驱的访问 。 “开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“只有本地登录用户才能访问软盘”在单选按钮中选择“已启用(E)” “确定” 。 限制远程用户对 NetMeeting 的共享,禁用 NetMeeting 远程桌面共享功能。 运行“gpedit.msc” “计算机配置”“管理模板”“Windows 组件” “NetMeeting” “禁用远程桌面共享”右键在单选按钮中选择“启用(E)”“确定” 。 限制用户执行 Windows 安装程序,防止用户在系统上安装软件。方法同(9) 。 11 删除 C:WINDOWSWE
8、Bprinters 目录,避免溢出攻击(此目录的存在会造成 IIS 里加入一个.printers 的扩展名,可溢出攻击) 。12 删除 C:WINDOWSsystem32inetsrviisadmpwd,此目录在管理 IIS 密码时使用(如因密码不同步造成 500 错误时使用 OWA 或Iisadmpwd 修改同步密码) ,当把账户策略 密码策略 密码最短使用期限 设为 0 天即密码不过期时,可避免 IIS 密码不同步问题。这里就可删掉此目录。13 修改注册表防止小规模 DDOS 攻击。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip
9、Parameters 新建 “DWORD 值“名为 “SynAttackProtect“ 数值为“1“14 本地策略安全选项:将清除虚拟内存页面文件 、不显示上次的用户名、不需要按CTRL+ALT+DEL、不允许 SAM 账户的匿名枚举、不允许 SAM 账户和共享的匿名枚举、均更改为“已启用“ ;重命名来宾账户 更改成一个复杂的账户名;重命名系统管理员账号,更改一个自己用的账号,同时建立一个无用户组的 Administrat 账户。 2IIS 安全策略应用 不使用默认的 WEB 站点,将 IIS 目录与系统磁盘分开。将网站内容移动到非系统驱动器,不使用默认的 InetpubWwwroot 目录
10、,以减轻目录遍历攻击(这种攻击试图浏览 WEB 服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器) 。删除 IIS 默认创建的 Inetpub 目录(在系统磁盘上)并配置网站访问权限。为 WEB 服务器配置站点、目录和文件的访问权限。删除系统盘下的虚拟目录:vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。删除不必要的 IIS 扩展名映射。右键单击“默认 WEB 站点属性主目录配置” ,打开应用程序窗口,去掉不必要的应用程序映射,主要为 shtml、shtm、stm。更改 IIS 日志的路径。右键单击“
11、默认 WEB 站点属性网站在启用日志记录下点击属性更改设置。只选择网站和 WEB 应用程序正确运行所必需的服务和子组件。开始控制面板 添加或删除程序添加/删除 Windows 组件应用程序服务器详细信息 Internet 信息服务 (IIS) 详细信息然后通过选择或清除相应组件或服务的复选框,来选择或取消相应的 IIS 组件和服务。 IIS 子组件和服务的推荐设置:禁用:后台智能传输服务 (BITS) 服务器扩展、FTP 服务、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服务。启用:公用文件、Internet 信息服务管理器、万维网服务。
12、删除未使用的帐户,设置强密码,使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。 限制对服务器的匿名连接,确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。重命名 IUSR 帐户。在 IIS 元数据库中更改 IUSR 帐户的值: “管理工具”“Internet 信息服务 (IIS) 管理器” 右键单击“本地计算机”“属性”选中“允许直接编辑配置数据库”复选框“确定” 浏览至 MetaBase.xml 文件的位置,默认情况下为 C:Windowssystem32inetsrv 右键单击 MetaBase.xml 文件“编辑” 搜索“Anonym
13、ousUserName”属性,键入 IUSR 帐户的新名称在“文件”菜单上单击“退出”单击“是” 。使用应用程序池来隔离应用程序,提高 WEB 服务器的可靠性和安全性。创建应用程序池: “管理工具”“Internet 信息服务 (IIS) 管理器” 本地计算机右键单击“应用程序池”“新建”“应用程序池”在“应用程序池 ID”框中,为应用程序池键入一个新 ID“应用程序池设置” “Use default settings for the new application pool”(使用新应用程序池的默认设置)“确定” 。将网站或应用程序分配到应用程序池: “管理工具”“Internet 信息服务
14、 (IIS) 管理器” 右键单击您想要分配到应用程序池的网站或应用程序“属性”“主目录” 、 “虚拟目录”或“目录”选项卡,如果将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称, (如果在“应用程序名”框中没有名称,则单击“创建” ,然后键入网站或应用程序的名称)“应用程序池”列表框单击您想要分配网站或应用程序的应用程序池的名称“确定” 。 经过以上设置, IIS 安全性有了很大的提升,但一些不法攻击者会不断寻找新漏洞来攻击 WEB 服务系统,所以我们一定要养成及时修补系统漏洞的习惯,并不断提高管理人员的网络技术水平,确保企业 WEB服务器有一个安全、稳定、高效的运行环境。参考文献:1王淑江,刘晓辉,张奎亭. WindowsServer2003 系统安全管理M.北京:电子工业出版社, 2009.2托洛斯.iis6 管理指南M.北京:清华大学出版社,2005.3李新,李成友.基于 Windows 系统的 Web 服务器安全研究与实践J.教育信息化,2006,(4).4马琰.如何提高个人 Web 服务器的安全性J.职业圈,2007,(9).5王远哲.细说高校 WEB 服务器安全J.电脑知识与技术,2008,(9).6田巍.四川航空股份有限公司网络安全方案可行性分析和规划M.北京:电子科技大学,2005
