Windows 的服務(wù)器安全加固方案

因?yàn)镮IS(即Internet Information Server)的方便性和易用性，使它成為最受歡迎的Web服務(wù)器軟件之一。但是，IIS的安全性卻一直令人擔(dān)憂。如何利用IIS建立一個(gè)安全的Web服務(wù)器，是很多人關(guān)心的話題。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2003和IIS的雙重安全，因?yàn)镮IS的用戶同時(shí)也是Windows 2003的用戶，并且IIS目錄的權(quán)限依賴(lài)Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的`第一步就是確保Windows 2000操作系統(tǒng)的安全，所以要對(duì)服務(wù)器進(jìn)行安全加固，以免遭到黑客的攻擊，造成嚴(yán)重的后果。

企業(yè)建站必須是能夠以充分展現(xiàn)企業(yè)形象為主要目的，是企業(yè)文化與產(chǎn)品對(duì)外擴(kuò)展宣傳的重要窗口，一個(gè)合格的網(wǎng)站不僅僅能為公司帶來(lái)巨大的互聯(lián)網(wǎng)上的收集和信息發(fā)布平臺(tái)，創(chuàng)新互聯(lián)面向各種領(lǐng)域：成都邊坡防護(hù)網(wǎng)等成都網(wǎng)站設(shè)計(jì)、成都全網(wǎng)營(yíng)銷(xiāo)推廣解決方案、網(wǎng)站設(shè)計(jì)等建站排名服務(wù)。

我們通過(guò)以下幾個(gè)方面對(duì)您的系統(tǒng)進(jìn)行安全加固：

1. 系統(tǒng)的安全加固：我們通過(guò)配置目錄權(quán)限，系統(tǒng)安全策略，協(xié)議棧加強(qiáng)，系統(tǒng)服務(wù)和訪問(wèn)控制加固您的系統(tǒng)，整體提高服務(wù)器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。

3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。

系統(tǒng)的安全加固：

1.目錄權(quán)限的配置：

1.1 除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對(duì)其下的子目錄作單獨(dú)的目錄權(quán)限，如果WEB站點(diǎn)目錄，你要為其目錄權(quán)限分配一個(gè)與之對(duì)應(yīng)的匿名訪問(wèn)帳號(hào)并賦予它有修改權(quán)限，如果想使網(wǎng)站更加堅(jiān)固，可以分配只讀權(quán)限并對(duì)特殊的目錄作可寫(xiě)權(quán)限。

1.2 系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限，之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。

1.3 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。另外還有一個(gè)隱藏目錄也需要同樣操作。因?yàn)槿绻惆惭b有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以輕松的調(diào)取這個(gè)配置文件。

1.4 配置Program files目錄，為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)。

1.5 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過(guò)還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 cmd.exe、、net.exe、scrrun.dll、shell.dll這些殺手锏程序賦予匿名帳號(hào)拒絕訪問(wèn)。

1.6審核MetBase.bin，C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫(xiě)。

2.組策略配置:

在用戶權(quán)利指派下，從通過(guò)網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)中刪除Power Users和Backup Operators;

啟用不允許匿名訪問(wèn)SAM帳號(hào)和共享;

啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport;

從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

啟用交互登錄：不顯示上次的用戶名;

啟用在下一次密碼變更時(shí)不存儲(chǔ)LANMAN哈希值;

禁止IIS匿名用戶在本地登錄;

3.本地安全策略設(shè)置:

開(kāi)始菜單—管理工具—本地安全策略

A、本地策略——審核策略

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對(duì)象訪問(wèn)失敗

審核過(guò)程跟蹤 無(wú)審核

審核目錄服務(wù)訪問(wèn)失敗

審核特權(quán)使用失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

注：在設(shè)置審核登陸事件時(shí)選擇記失敗，這樣在事件查看器里的安全日志就會(huì)記錄登陸失敗的信息。

如何使用Bastille加固Linux服務(wù)器安全

Bastille加固軟件可以“牢牢鎖定”操作系統(tǒng)，積極主動(dòng)地配置系統(tǒng)，以提高安全性，并且降低容易出現(xiàn)中招和停運(yùn)的幾率。Bastille還能評(píng)估系統(tǒng)的當(dāng)前加固狀態(tài)，精細(xì)化地報(bào)告它所處理的每一個(gè)安全設(shè)置。目前它支持紅帽(Fedora、Enterprise和Numbered/Classic)、SUSE、Ubuntu、Debian、Gentoo、Mandrake、Mac OS X和HP-UX等操作系統(tǒng)。

Bastille致力于讓系統(tǒng)的用戶/管理員可以選擇到底如何加固操作系統(tǒng)。在其默認(rèn)的加固模式下，它以互動(dòng)方式向用戶提出問(wèn)題，解釋那些問(wèn)題的主題，并且根據(jù)用戶的回答來(lái)制定策略。然后，它將該策略運(yùn)用到系統(tǒng)。在評(píng)估模式下，它建立一份報(bào)告，旨在教用戶注意可用的安全設(shè)置，并且告知用戶哪些設(shè)置已經(jīng)加強(qiáng)。

將Bastille安裝到Ubuntu/Debian上

使用下列命令，在Ubuntu/Debian及其衍生版上安裝Bastille：

sk@sk:~$ sudo apt-get install bastille perl-tk

啟動(dòng)Basetille

執(zhí)行下列命令，開(kāi)始使用Bastille：

sk@sk:~$ sudo bastille

首先，它會(huì)顯示License Agreement(許可證協(xié)議)。輸入accept表示同意：

什么是服務(wù)器安全加固軟件？

服務(wù)器安全加固系統(tǒng)即SSR，例如中超偉業(yè)SSR服務(wù)器安全加固系統(tǒng)，采用內(nèi)核加固技術(shù)，在操作系統(tǒng)核心層設(shè)置一個(gè)自主可控的安全殼，攔截威脅對(duì)資源的訪問(wèn)行為，按照智能的白名單控制訪問(wèn)策略，確保系統(tǒng)中人員、應(yīng)用程序可信，權(quán)限可控，全面保護(hù)加固操作系統(tǒng)。