云南龙网

  1. 首页 > 云知道 > >

Windows2003网络服务器安全攻略 server2003本地安全策略( 二 )

云知道下一步


推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
五、其它安全相关设置
1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL” , 鼠标右击“CheckedValue” , 选择修改 , 把数值由1改为0
2、启动系统自带的Internet连接防火墙 , 在设置服务选项中勾选Web服务器 。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值 , 名为SynAttackProtect , 值为2
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters /Interfaces/interface
新建DWORD值 , 名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值 , 名为IGMPLevel 值为0
7、禁用DCOM:
运行中输入 Dcomcnfg.exe 。回车 ,  单击“控制台根节点”下的“组件服务” 。打开“计算机”子文件夹 。
对于本地计算机 , 请以右键单击“我的电脑” , 然后选择“属性” 。选择“默认属性”选项卡 。
清除“在这台计算机上启用分布式 COM”复选框 。
注:3-6项内容我采用的是Server2000设置 , 没有测试过对2003是否起作用 。但有一点可以肯定我用了一段的时间没有发现其它副面的影响 。
六、配置 IIS 服务:
1、不使用默认的Web站点 , 如果使用也要将 将IIS目录与系统磁盘分开 。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上) 。
3、删除系统盘下的虚拟目录 , 如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC 。
4、删除不必要的IIS扩展名映射 。
右键单击“默认Web站点→属性→主目录→配置” , 打开应用程序窗口 , 去掉不必要的应用程序映射 。主要为.shtml, .shtm, .stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS , 在2003运行的ie6.0的版本不需要 。
7、使用UrlScan
UrlScan是一个ISAPI筛选器 , 它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量 。目前最新的版本是2.5 , 如果是2000Server需要先安装1.0或2.0的版本 。下载地址见页未的链接
如果没有特殊的要求采用UrlScan默认配置就可以了 。
但如果你在服务器运行ASP.NET程序 , 并要进行调试你需打开要%WINDIR%/System32/Inetsrv/URLscan
文件夹中的URLScan.ini 文件 , 然后在UserAllowVerbs节添加debug谓词 , 注意此节是区分大小写的 。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容 。
如果你的网页使用了非ASCII代码 , 你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini 文件做了更改后 , 你需要重启IIS服务才能生效 , 快速方法运行中输入iisreset
如果你在配置后出现什么问题 , 你可以通过添加/删除程序删除UrlScan 。
8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

推荐阅读


上一篇:windows2003server密钥 windows2003

下一篇:怎样修改windows2003系统密码的图文教程