当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 给WIN2003 IIS SQL服务器安全加固

安全防护
2003服务器A级BT安全配置指南(12)
2003服务器A级BT安全配置指南(13)
修改用户控制权限管理自启动文件
IIS6.0下建立FTP“用户隔离”站点
SQL Server数据库安全规划全攻略(1)
从IIS到SQL Server数据库安全
匿名FTP的安全设定(1)
匿名FTP的安全设定(2)
SQL Server防范措施(2)
域名解析优化也会有麻烦
10个步骤保护IIS Web服务器安全
突破SQL错误提示上传webshell
判断Web数据库方式的一个小经验
sqlserver取得网站路径的几种方法以及比较(1)
sqlserver取得网站路径的几种方法以及比较(2)
阿江的WINDOWS服务器安全设置
RAdmin 服务端高级配置(2)
Win2000安全检查清单(1)
Win2000安全检查清单(2)
Win2000安全检查清单(3)

安全防护 中的 给WIN2003 IIS SQL服务器安全加固


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 43 ::
收藏到网摘: n/a

 

    1. 将<systemroot>\System32\cmd.exe转移到其他目录或更名;

    2. 系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;

    3. 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)

    4. 建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。

    5. NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高):

    文件类型

    CGI 文件(.exe、.dll、.cmd、.pl)

    脚本文件 (.asp)

    包含文件(.inc、.shtm、.shtml)

    静态内容(.txt、.gif、.jpg、.htm、.html)

    建议的 NTFS 权限

    Everyone(执行)

    Administrators(完全控制)

    System(完全控制)

    6. 禁止C$、D$一类的缺省共享

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

    AutoShareServer、REG_DWORD、0x0

    7. 禁止ADMIN$缺省共享

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

    AutoShareWks、REG_DWORD、0x0

    8. 限制IPC$缺省共享

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

    restrictanonymous REG_DWORD 0x0 缺省

    0x1 匿名用户无法列举本机用户列表

    0x2 匿名用户无法连接本机IPC$共享

    说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

    9. 仅给用户真正需要的权限,权限的最小化原则是安全的重要保障

    10. 在本地安全策略->审核策略中打开相应的审核,推荐的审核是:

    账户管理 成功 失败

    登录事件 成功 失败

    对象访问 失败

    策略更改 成功 失败

    特权使用 失败

    系统事件 成功 失败

    目录服务访问 失败

    账户登录事件 成功 失败

    审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:

    在账户策略->密码策略中设定:

    密码复杂性要求 启用

    密码长度最小值 6位

    强制密码历史 5次

    最长存留期 30天

    在账户策略->账户锁定策略中设定:

    账户锁定 3次错误登录

    锁定时间 20分钟

    复位锁定计数 20分钟

    11. 在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。

    12. 解除NetBios与TCP/IP协议的绑定

    控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

    13. 在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)

    14. 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接

    15. 修改数据包的生存时间(TTL)值

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

    DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

    16. 防止SYN洪水攻击

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters