Windows 的服务器安全加固方案

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的`第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

我们通过以下几个方面对您的系统进行安全加固：

1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

系统的安全加固：

1.目录权限的配置：

1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。

1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

1.5 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。

1.6审核MetBase.bin，C:WINNTsystem32inetsrv目录只有administrator只允许Administrator用户读写。

2.组策略配置:

在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators

启用不允许匿名访问SAM帐号和共享

启用不允许为网络验证存储凭据或Passport

从文件共享中删除允许匿名登录的DFS$和COMCFG

启用交互登录：不显示上次的用户名

启用在下一次密码变更时不存储LANMAN哈希值

禁止IIS匿名用户在本地登录

3.本地安全策略设置:

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问失败

审核过程跟踪 无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

配置WEB安全

WEB安全是系统提供的最常见的服务之一，WEB安全服务器主要存在的漏洞包括：

物理路径泄露

CGI源代码泄露

目录遍历

执行任意命令

缓冲区溢出

拒绝服务

跨站乳酸执行

Windows平台上使用的WEB服务器软件是IIS，无论哪种操作系统平台，只要对外提供WEB服务，就会面临着来自外部的攻击可能，所以需要对WEB服务器进行有效的安全防护。

针对WEB服务器采取的一些有效措施包括：

a. 打补丁

针对IIS存在的系统漏洞，应该定期下载安全补丁，及时发现和堵上漏洞。

b. 只开放WEB服务端口

如果不需要其它的服务，在安装服务的时候选择只安装WEB服务，并使用80端口，禁用其他的不必要的服务，例如FTP和SMTP服务

c. WEB服务器应该放在一个专门的区域中，利用防火墙保护WEB服务器。

这个专门的区域使WEB服务器与外网相对隔%C

---