给WIN2003 IIS SQL服务器安全加固

1. 将

  1<systemroot>\System32\cmd.exe转移到其他目录或更名; 
  2
  32\. 系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂; 
  4
  53\. 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户) 
  6
  74\. 建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。 
  8
  95\. NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高): 
 10
 11文件类型 
 12
 13CGI 文件(.exe、.dll、.cmd、.pl) 
 14
 15脚本文件 (.asp) 
 16
 17包含文件(.inc、.shtm、.shtml) 
 18
 19静态内容(.txt、.gif、.jpg、.htm、.html) 
 20
 21建议的 NTFS 权限 
 22
 23Everyone(执行) 
 24
 25Administrators(完全控制) 
 26
 27System(完全控制) 
 28
 296\. 禁止C$、D$一类的缺省共享 
 30
 31HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 
 32
 33AutoShareServer、REG_DWORD、0x0 
 34
 357\. 禁止ADMIN$缺省共享 
 36
 37HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 
 38
 39AutoShareWks、REG_DWORD、0x0 
 40
 418\. 限制IPC$缺省共享 
 42
 43HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 
 44
 45restrictanonymous REG_DWORD 0x0 缺省 
 46
 470x1 匿名用户无法列举本机用户列表 
 48
 490x2 匿名用户无法连接本机IPC$共享 
 50
 51说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server 
 52
 539\. 仅给用户真正需要的权限,权限的最小化原则是安全的重要保障 
 54
 5510\. 在本地安全策略-&gt;审核策略中打开相应的审核,推荐的审核是: 
 56
 57账户管理 成功 失败 
 58
 59登录事件 成功 失败 
 60
 61对象访问 失败 
 62
 63策略更改 成功 失败 
 64
 65特权使用 失败 
 66
 67系统事件 成功 失败 
 68
 69目录服务访问 失败 
 70
 71账户登录事件 成功 失败 
 72
 73审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是: 
 74
 75在账户策略-&gt;密码策略中设定: 
 76
 77密码复杂性要求 启用 
 78
 79密码长度最小值 6位 
 80
 81强制密码历史 5次 
 82
 83最长存留期 30天 
 84
 85在账户策略-&gt;账户锁定策略中设定: 
 86
 87账户锁定 3次错误登录 
 88
 89锁定时间 20分钟 
 90
 91复位锁定计数 20分钟 
 92
 9311\. 在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。 
 94
 9512\. 解除NetBios与TCP/IP协议的绑定 
 96
 97控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS 
 98
 9913\. 在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80) 
100
10114\. 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接 
102
10315\. 修改数据包的生存时间(TTL)值 
104
105HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
106
107DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) 
108
10916\. 防止SYN洪水攻击 
110
111HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
112
113SynAttackProtect REG_DWORD 0x2(默认值为0x0) 
114
11517\. 禁止响应ICMP路由通告报文 
116
117HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 
118
119PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2) 
120
12118\. 防止ICMP重定向报文的攻击 
122
123HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
124
125EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 
126
12719\. 不支持IGMP协议 
128
129HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 
130
131IGMPLevel REG_DWORD 0x0(默认值为0x2) 
132
13320\. 设置arp缓存老化时间设置 
134
135HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters 
136
137ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒) 
138
139ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) 
140
14121\. 禁止死网关监测技术 
142
143HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters 
144
145EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) 
146
14722\. 不支持路由功能 
148
149HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters 
150
151IPEnableRouter REG_DWORD 0x0(默认值为0x0) 
152
153安装和配置 IIS 服务: 
154
1551\. 仅安装必要的 IIS 组件。(禁用不需要的如FTP 和 SMTP 服务) 
156
1572\. 仅启用必要的服务和 Web Service 扩展,推荐配置: 
158
159UI 中的组件名称 
160
161设置 
162
163设置逻辑 
164
165后台智能传输服务 (BITS) 服务器扩展 
166
167启用 
168
169BITS 是 Windows updates 和"自动更新"所使用的后台文件传输机制。如果使用 Windows updates 或"自动更新"在 IIS 服务器中自动应用 Service Pack 和热修补程序,则必须有该组件。 
170
171公用文件 
172
173启用 
174
175IIS 需要这些文件,一定要在 IIS 服务器中启用它们。 
176
177文件传输协议 (FTP) 服务 
178
179禁用 
180
181允许 IIS 服务器提供 FTP 服务。专用 IIS 服务器不需要该服务。 
182
183FrontPage 2002 Server Extensions 
184
185禁用 
186
187为管理和发布 Web 站点提供 FrontPage 支持。如果没有使用 FrontPage 扩展的 Web 站点,请在专用 IIS 服务器中禁用该组件。 
188
189Internet 信息服务管理器 
190
191启用 
192
193IIS 的管理界面。 
194
195Internet 打印 
196
197禁用 
198
199提供基于 Web 的打印机管理,允许通过 HTTP 共享打印机。专用 IIS 服务器不需要该组件。 
200
201NNTP 服务 
202
203禁用 
204
205在 Internet 中分发、查询、检索和投递 Usenet 新闻文章。专用 IIS 服务器不需要该组件。 
206
207SMTP 服务 
208
209禁用 
210
211支持传输电子邮件。专用 IIS 服务器不需要该组件。 
212
213万维网服务 
214
215启用 
216
217为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件。 
218
219万维网服务子组件 
220
221UI 中的组件名称 
222
223安装选项 
224
225设置逻辑 
226
227Active Server Page 
228
229启用 
230
231提供 ASP 支持。如果 IIS 服务器中的 Web 站点和应用程序都不使用 ASP,请禁用该组件;或使用 Web 服务扩展禁用它。 
232
233Internet 数据连接器 
234
235禁用 
236
237通过扩展名为 .idc 的文件提供动态内容支持。如果 IIS 服务器中的 Web 站点和应用程序都不包括 .idc 扩展文件,请禁用该组件;或使用 Web 服务扩展禁用它。 
238
239远程管理 (HTML) 
240
241禁用 
242
243提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该功能。 
244
245远程桌面 Web 连接 
246
247禁用 
248
249包括了管理终端服务客户端连接的 Microsoft ActiveX? 控件和范例页面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该组件。 
250
251服务器端包括 
252
253禁用 
254
255提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服务器中运行的 Web 站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。 
256
257WebDAV 
258
259禁用 
260
261WebDAV 扩展了 HTTP/1.1 协议,允许客户端发布、锁定和管理 Web 中的资源。专用 IIS 服务器禁用该组件;或使用 Web 服务扩展禁用该组件。 
262
263万维网服务 
264
265启用 
266
267为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件 
268
2693\. 将IIS目录&amp;数据与系统磁盘分开,保存在专用磁盘空间内。 
270
2714\. 在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可) 
272
2735\. 在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件 
274
2756\. Web站点权限设定(建议) 
276
277Web 站点权限: 
278
279授予的权限: 
280
281282
283允许 
284
285286
287不允许 
288
289脚本源访问 
290
291不允许 
292
293目录浏览 
294
295建议关闭 
296
297日志访问 
298
299建议关闭 
300
301索引资源 
302
303建议关闭 
304
305执行 
306
307推荐选择 "仅限于脚本" 
308
3097\. 建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。 
310
3118\. 程序安全: 
312
3131) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限; 
314
3152) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。 
316
3173) 防止ASP主页.inc文件泄露问题; 
318
3194) 防止UE等编辑器生成some.asp.bak文件泄露问题。 
320
321安全更新 
322
323应用所需的所有 Service Pack 和 定期手动更新补丁。 
324
325安装和配置防病毒保护 
326
327推荐NAV 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。 
328
329安装和配置防火墙保护 
330
331推荐最新版BlackICE Server Protection防火墙(配置简单,比较实用) 
332
333监视解决方案 
334
335根据要求安装和配置 MOM代理或类似的监视解决方案。 
336
337加强数据备份 
338
339Web数据定时做备份,保证在出现问题后可以恢复到最近的状态。 
340
341考虑实施 IPSec 筛选器 
342
343用 IPSec 过滤器阻断端口 
344
345Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。 
346
347有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。 
348
349下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。 
350
351服务 
352
353协议 
354
355源端口 
356
357目标端口 
358
359源地址 
360
361目标地址 
362
363操作 
364
365镜像 
366
367Terminal Services 
368
369TCP 
370
371所有 
372
3733389 
374
375所有 
376
377ME 
378
379允许 
380
381382
383HTTP Server 
384
385TCP 
386
387所有 
388
38980 
390
391所有 
392
393ME 
394
395允许 
396
397398
399HTTPS Server 
400
401TCP 
402
403所有 
404
405443 
406
407所有 
408
409ME 
410
411允许 
412
413414
415在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。 
416
417SQL服务器安全加固 
418
419步骤 
420
421说明 
422
423MDAC 升级 
424
425安装最新的MDAC( http://www.microsoft.com/data/download.htm ) 
426
427密码策略 
428
429由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号。新建立一个拥有与sa一样权限的超级用户来管理数据库。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句: 
430
431Use master 
432
433select name,Password from syslogins where password is null 
434
435数据库日志的记录 
436
437核数据库登录事件的"失败和成功",在实例属性中选择"安全性",将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。 
438
439管理扩展存储过程 
440
441xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句: 
442
443use master 
444
445sp_dropextendedproc ’xp_cmdshell’ 
446
447如果你需要这个存储过程,请用这个语句也可以恢复过来。 
448
449sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’ 
450
451OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉: 
452
453Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty 
454
455Sp_OAMethod Sp_OASetProperty Sp_OAStop 
456
457去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下: 
458
459Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues 
460
461Xp_regread Xp_regremovemultistring Xp_regwrite 
462
463防TCP/IP端口探测 
464
465在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。 
466
467请在上一步配置的基础上,更改原默认的1433端口。 
468
469在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。 
470
471对网络连接进行IP限制 
472
473使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,保证只有自己的IP能够访问,拒绝其他IP进行的端口连接。 
474
475附:Win2003系统建议禁用服务列表 
476
477名 称 
478
479服务名 
480
481建议设置 
482
483自动更新 
484
485wuauserv 
486
487禁用 
488
489Background Intelligent Transfer Service 
490
491BITS 
492
493禁用 
494
495Computer Browser 
496
497Browser 
498
499禁用 
500
501DHCP Client Dhcp 
502
503禁用 
504
505NTLM Security Support Provider NtLmSsp 
506
507禁用 
508
509Network Location Awareness 
510
511NLA 
512
513禁用 
514
515Performance Logs and Alerts SysmonLog 
516
517禁用 
518
519Remote Administration Service SrvcSurg 
520
521禁用 
522
523Remote Registry Service RemoteRegistry 
524
525禁用 
526
527Server lanmanserver 
528
529禁用 
530
531TCP/IP NetBIOS Helper Service LmHosts 
532
533禁用 
534
535DHCP Client Dhcp 
536
537禁用 
538
539NTLM Security Support Provider NtLmSsp 
540
541禁用 
542
543Terminal Services 
544
545TermService 
546
547禁用 
548
549Windows Installer MSIServer 
550
551禁用 
552
553Windows Management Instrumentation Driver Extensions Wmi 
554
555禁用 
556
557WMI Performance Adapter WMIApSrv 
558
559禁用 
560
561Error Reporting 
562
563ErrRep 
564
565禁用</systemroot>
Published At
Categories with 网络技术
comments powered by Disqus