IIS与SQL服务器安全加固 - 中国建站之家

IIS Web服务器安全加固步骤：

步骤

注意：

安装和配置 Windows
Server
2003。

\System32\cmd.exe转移到其他目录或更名；

文件类型	建议的 NTFS 权限
脚本文件 (.asp) 包含文件（.inc、.shtm、.shtml）静态内容（.txt、.gif、.jpg、.htm、.html）	Administrators（完全控制） System（完全控制）

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。与之相关的是：
在账户策略->密码策略中设定：
密码复杂性要求启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定：
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟

控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

14. 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)

安装和配置 IIS 服务：

UI 中的组件名称	设置	设置逻辑



FrontPage 2002 Server Extensions

UI 中的组件名称	安装选项	设置逻辑
Active Server Page
Internet 数据连接器

Web 站点权限：	授予的权限：

1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。

安全更新。

安装和配置防病毒保护。

安装和配置防火墙保护。

监视解决方案。

加强数据备份。

考虑实施 IPSec 筛选器。

用 IPSec 过滤器阻断端口

服务	协议	源端口	目标端口	源地址	目标地址	操作	镜像

SQL服务器安全加固

步骤	说明
MDAC 升级	http://www.microsoft.com/data/download.htm）
密码策略	Use master Select name,Password from syslogins where password is null
数据库日志的记录
管理扩展存储过程	use master sp_dropextendedproc 'xp_cmdshell' 如果你需要这个存储过程，请用这个语句也可以恢复过来。 sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下： Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite
防TCP/IP端口探测	请在上一步配置的基础上，更改原默认的1433端口。在IPSec过滤拒绝掉1434端口的UDP通讯，可以尽可能地隐藏你的SQL Server。
对网络连接进行IP限制

附：Win2003系统建议禁用服务列表

名称	服务名	建议设置



DHCP Client
NTLM Security Support Provider

Performance Logs and Alerts
Remote Administration Service
Remote Registry Service
Server
TCP/IP NetBIOS Helper Service
DHCP Client
NTLM Security Support Provider

Windows Installer
Windows Management Instrumentation Driver Extensions
WMI Performance Adapter

	资讯中心	软件分类	最新软件	推荐下载	热门软件
	免费资源	热门文章	推荐文章	最近更新	控制面板

下载：
资讯：

附：Win2003系统建议禁用服务列表

DHCP Client

NTLM Security Support Provider

Performance Logs and Alerts

Remote Administration Service

Remote Registry Service

Server

TCP/IP NetBIOS Helper Service

DHCP Client

NTLM Security Support Provider

Windows Installer

Windows Management Instrumentation Driver Extensions

WMI Performance Adapter