关键词:intranet;安全策略;组策略
web服务器是企业网intranet网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好web服务器中的资源,是一项至关重要的工作。本文主要介绍web服务器安全策略方面的相关知识。
1系统安装、系统安全策略配置
使用ntfs格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全web服务器的最低要求。
windows 2003 安装策略:
①系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如dns、dhcp,不需要的服务和协议一律不安装;只保留tcp/ip 一项并禁用netbois;安装windows2003最新补丁和防病毒软件。
②关闭windows2003不必要的服务。
关闭computer browser 、task scheduler 、routing and remote access、removable storage 、remote registry service、print spooler、ipsec policy agent 、distributed link tracking client、com+ event system 、alerter、error reporting service 、messenger 、telnet服务。
③设置磁盘访问权限。
系统磁盘只赋予administrators和system权限,系统所在目录(默认时为windows)要加上users的默认权限,以保障asp和aspx等应用程序正常运行。其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时,需加system用户权限,否则启动不成功。
④注册表hkey_local_machine/system/currentcontrolset/control/lsa,将dword值restrictanonymous的键值改为1,禁止 windows 系统进行空连接。
⑤关闭不需要的端口、更改远程连接端口。
本地连接→属性→internet协议(tcp/ip)→高级→选项→tcp/ip筛选→属性→把勾打上,添加需要的端口(如: 21、80)。
更改远程连接端口:开始→>运行→>输入regedit 查找3389:将 hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp和hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp下的portnumber=3389改为自宝义的端口号并重新启动服务器。
⑥编写批处理文件并在组策略中应用,以关闭默认共享的空连接。(以服务器有4个逻辑驱动器为例)
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
将以上内容写入并保存到系统所在文件夹下的system32\grouppolicy\user\scripts\logon目录下。运行组策略编辑器,用户配置→windows设置→脚本(登录/注销)→登录→“登录 属性”→“添加”→“添加脚本”对话框的“脚本名”栏中输入→“确定”按钮→重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。
⑦限制匿名访问本机用户。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“对匿名连接的额外限制”→在下拉菜单中选择“不允许枚举sam帐号和共享”→“确定”。
⑧限制远程用户对光驱或软驱的访问 。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“只有本地登录用户才能访问软盘”→在单选按钮中选择“已启用(e)” → “确定”。
⑨限制远程用户对netmeeting的共享,禁用netmeeting远程桌面共享功能。 运行“” →“计算机配置”→“管理模板”→“windows组件” →“netmeeting” →“禁用远程桌面共享”→右键→在单选按钮中选择“启用(e)”→“确定”。
⑩限制用户执行windows安装程序,防止用户在系统上安装软件。方法同(9)。
○11删除c:\windows\web\printers目录,避免溢出攻击(此目录的存在会造成iis里加入一个.printers的扩展名,可溢出攻击)。
○12删除c:\windows\system32\inetsrv\iisadmpwd,此目录在管理iis密码时使用(如因密码不同步造成500 错误时使用owa或iisadmpwd 修改同步密码),当把账户策略 > 密码策略 > 密码最短使用期限 设为0天[即密码不过期时,可避免iis密码不同步问题。这里就可删掉此目录。
○13修改注册表防止小规模ddos攻击。
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters新建 "dword值"名为 "synattackprotect" 数值为"1"
○14本地策略→安全选项:
将清除虚拟内存页面文件 、不显示上次的用户名、不需要按ctrl+alt+del、不允许 sam 账户的匿名枚举、不允许 sam 账户和共享的匿名枚举、均更改为"已启用" ;重命名来宾账户 更改成一个复杂的账户名;重命名系统管理员账号,更改一个自己用的账号,同时建立一个无用户组的administrat账户。
2iis安全策略应用
①不使用默认的web站点,将iis目录与系统磁盘分开。
将网站内容移动到非系统驱动器,不使用默认的 \inetpub\/pc/">计算机”→“属性”→选中“允许直接编辑配置数据库”复选框→“确定”→ 浏览至 文件的位置,默认情况下为 c:\windows\system32\inetsrv →右键单击 文件→“编辑” → 搜索“anonymoususername”属性,→键入 iusr 帐户的新名称→在“文件”菜单上→单击“退出”→单击“是”。
⑧使用应用程序池来隔离应用程序,提高 web 服务器的可靠性和安全性。
创建应用程序池: “管理工具”→“internet 信息服务 (iis) 管理器” →本地计算机→右键单击“应用程序池”→“新建”→“应用程序池”→在“应用程序池 id”框中,为应用程序池键入一个新 id→“应用程序池设置” →“use default settings for the new application pool”(使用新应用程序池的默认设置)→“确定”。
将网站或应用程序分配到应用程序池: “管理工具”→“internet 信息服务 (iis) 管理器” → 右键单击您想要分配到应用程序池的网站或应用程序→“属性”→“主目录”、“虚拟目录”或“目录”选项卡,如果将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称,(如果在“应用程序名”框中没有名称,则单击“创建”,然后键入网站或应用程序的名称)→“应用程序池”列表框→单击您想要分配网站或应用程序的应用程序池的名称→“确定”。
经过以上设置, iis安全性有了很大的提升,但一些不法攻击者会不断寻找新漏洞来攻击web服务系统,所以我们一定要养成及时修补系统漏洞的习惯,并不断提高管理人员的网络技术水平,确保企业web服务器有一个安全、稳定、高效的运行环境。
参考文献:
[1]王淑江,刘晓辉,张奎亭. windowsserver2003系统安全管理[m].北京:电子工业出版社, 2009.
[2]托洛斯.iis6管理指南[m].北京:清华大学出版社,2005.
[3]李新,李成友.基于windows系统的web服务器安全研究与实践[j].教育信息化,2006,(4).
[4]马琰.如何提高个人web服务器的安全性[j].职业圈,2007,(9).
[5]王远哲.细说高校web服务器安全[j].电脑知识与技术,2008,(9).
[6]田巍.四川航空股份有限公司网络安全方案可行性分析和规划[m].北京:电子科技大学,2005
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。