IIS Web服务器安全加固步骤:
步骤 安装和配置 Windows Server 2003 。
注意:
1. 将 \System32\cmd.exe 转移到其他目录或更名;
2. 系统帐号尽量少,更改默认帐户名(如 Administrator )和描述,密码尽量复杂;
3. 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户; Support_388945a0 ; Guest ;所有非操作系统服务帐户)
4. 建议对一般用户只给予读取权限,而只给管理员和 System 以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在 测试 机器上作 测试 ,然后慎重更改。
5.NTFS 文件权限设定(注意文件的权限优先级别比文件夹的权限高):
6. 禁止 C$ 、 D$ 一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer 、 REG_DWORD 、 0x0
7. 禁止 ADMIN$ 缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks 、 REG_DWORD 、 0x0
8. 限制 IPC$ 缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机 IPC$ 共享
说明 : 不建议使用 2
步骤 安装和配置 Windows Server 2003 。
注意:
1. 将 \System32\cmd.exe 转移到其他目录或更名;
2. 系统帐号尽量少,更改默认帐户名(如 Administrator )和描述,密码尽量复杂;
3. 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户; Support_388945a0 ; Guest ;所有非操作系统服务帐户)
4. 建议对一般用户只给予读取权限,而只给管理员和 System 以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在 测试 机器上作 测试 ,然后慎重更改。
5.NTFS 文件权限设定(注意文件的权限优先级别比文件夹的权限高):
6. 禁止 C$ 、 D$ 一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer 、 REG_DWORD 、 0x0
7. 禁止 ADMIN$ 缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks 、 REG_DWORD 、 0x0
8. 限制 IPC$ 缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机 IPC$ 共享
说明 : 不建议使用 2