2023年安全部署企业WEB服务器下面是我为大家整理的安全部署企业WEB服务器,供大家参考 安全部署企业 WEB 服务器 摘 要: WEB 服务器是 Intranet( 企业内部网) 网站的核心, 其中的数据资料非常重要, 安全部署 WEB 服务器是企业面临的一项重要工作, 系统安装、 安全策略和 IIS 安全策略对企业 WEB 服务器安全、 稳定、 高效地运行至关重要 关键词: Intranet; 安全策略; 组策略 WEB 服务器是企业网 Intranet 网站的核心, 其中的数据资料非常重要, 一旦遭到破坏将会给企业造成不可弥补的损失, 管理好、 使用好、 保护好 WEB 服务器中的资源, 是一项至关重要的工作 本文主要介绍 WEB 服务器安全策略方面的相关知识 1 系统安装、 系统安全策略配置 使用 NTFS 格式分区、设置不同的用户 访问服务器的不同权限是搭建一台安全 WEB服务器的最低要求 Windows 2023 安装策略: ①系统安装在单独的逻辑驱动器并自 定义安装目 录; 以最小的权限+最少的服务=最大的安全 为基本理念, 只安装所必需的服务和协议, 如 DNS、 DHCP, 不需要 的 服务和 协 议一 律不 安装 ; 只 保留 TCP/IP 一 项 并 禁用 NETBOIS; 安装Windows2023 最新补丁和防病毒软件。
②关闭 windows2023 不必要的服务 关闭 Computer Browser 、 Task scheduler 、 Routing and Remote Access、Removable storage 、 Remote Registry Service、 Print Spooler、 IPSEC Policy Agent 、 Distributed Link Tracking Client、 Com+ Event System 、 Alerter、Error Reporting Service 、 Messenger 、 Telnet 服务 ③设置磁盘访问权限 系 统磁盘只 赋予 administrators 和 system 权限, 系 统所在目 录( 默认时为Windows) 要加上 users 的默认权限, 以保障 ASP 和 ASPX 等应用程序正常运行其他磁盘可以此为参照, 当某些第三方应用程序以服务形式启动时, 需加 system用户 权限, 否则启动不成功 ④注册表 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA, 将DWORD 值 RestrictAnonymous 的键值改为 1, 禁止 Windows 系统进行空连接。
⑤关闭不需要的端口 、 更改远程连接端口 本地连接→属性→Internet 协议(TCP/IP) →高级→选项→TCP/IP 筛选→属性→把勾打上, 添加需要的端口 (如: 21、 80) 更改远程连接端口 : 开始→ gt; 运行→ gt; 输入 regedit 查找 3389: 将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcpHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 下的 PortNumber=3389 改为自 宝义的端口 号并重新启动服务器 ⑥编写批处理文件 delshare. bat 并在组策略中应用, 以关闭默认共享的空连接 以服务器有 4 个逻辑驱动器为例) net share C$ /delete net share D$ /delete 和 net share E$ /delete net share F$ /delete net share admin$ /delete 将 以 上 内 容 写 入system32\GroupPolicy\User\Scripts\Logon 目 录下。
运行 gpedit. msc 组策略编辑器, 用户 配置→Windows 设置→脚本(登录/注销) →登录→登录 属性 →添加 →添加脚本 对话框的脚本名 栏中输入 delshare. bat→确定 按钮→重新启动服务器, 即可自 动关闭系统的默认隐藏共享, 将系统安全隐患降至最低 ⑦限制匿名 访问本机用户 开始 →程序 →管理工具 →本地安全策略 →本地策略 →安全选项 →双击对匿名 连接的额外限制 →在下拉菜单中选择不允许枚举 SAM 帐号和共享 →确定 ⑧限制远程用户 对光驱或软驱的访问 开始 →程序 →管理工具 →本地安全策略 →本地策略 →安全选项 →双击只有本地登录用户 才能访问软盘 →在单选按钮中选择已启用(E) → 确定 ⑨限制远程用户 对 NetMeeting 的共享, 禁用 NetMeeting 远程桌面共享功能 运行gpedit. msc → 计算机配置 → 管理模板 → Windows 组件 →NetMeeting →禁用远程桌面共享 →右键→在单选按钮中选择启用(E) →确定。
⑩限制用户 执行 Windows 安装程序, 防止用户 在系统上安装软件 方法同( 9) ○11 删除 C: \WINDOWS\WEB\printers 目 录, 避免溢出攻击( 此目 录的存在会造成 IIS 里加入一个. printers 的扩展名 , 可溢出攻击) ○12 删除 C: \WINDOWS\system32\inetsrv\iisadmpwd, 此目 录在管理 IIS 密码时使用( 如因密码不同步造成 500 错误时使用 OWA 或 Iisadmpwd 修改同步密码),当把账户 策略 gt; 密码策略 gt; 密码最短使用期限 设为 0 天[即密码不过期时, 可避免 IIS 密码不同步问题 这里就可删掉此目 录 ○13 修改注册表防止小规模 DDOS 攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 DWORD 值名 为 SynAttackProtect 数值为1 ○14 本地策略→安全选项: 将清除虚拟内存页面文件 、 不显示上次的用户 名 、 不需要按 CTRL+ALT+DEL、 不允许 SAM 账户 的匿名 枚举、 不允许 SAM 账户 和共享的匿名 枚举、 均更改为已启用 ; 重命名 来宾账户 更改成一个复杂的账户 名 ; 重命名 系统管理员 账号, 更改一个自 己用的账号, 同时建立一个无用户 组的 Administrat 账户 。
2IIS 安全策略应用 ①不使用默认的 WEB 站点, 将 IIS 目 录与系统磁盘分开 将网站内容移动到非系统驱动器, 不使用默认的 \Inetpub\Wwwroot 目 录, 以减轻目 录遍历攻击( 这种攻击试图浏览 WEB 服务器的目 录结构) 带来的危险( 一定要验证所有的虚拟目 录是否均指向目 标驱动器) ②删除 IIS 默认创建的 Inetpub 目 录(在系统磁盘上) 并配置网站访问权限 为WEB 服务器配置站点、 目 录和文件的访问权限 ③删除系统盘下的虚拟目 录: vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC ④删除不必要的 IIS 扩展名 映射 delshare. bat并 保 存 到 系 统 所 在 文 件 夹 下 的 右键单击默认 WEB 站点→属性→主目 录→配置, 打开应用程序窗口 , 去掉不必要的应用程序映射, 主要为 shtml、 shtm、 stm ⑤更改 IIS 日 志的路径 右键单击默认 WEB 站点→属性→网站→在启用日 志记录下→点击属性更改设置。
⑥只选择网站和 WEB 应用程序正确运行所必需的服务和子组件 开始→控制面板→ 添加或删除程序→ 添加/删除 Windows 组件→应用程序服务器→ 详细信息→ Internet 信息服务 (IIS) → 详细信息→然后通过选择或清除相应组件或服务的复选框, 来选择或取消相应的 IIS 组件和服务 IIS 子组件和服务的推荐设置: 禁用: 后台智能传输服务 (BITS) 服务器扩展、 FTP 服务、 FrontPage 2023 Server Extensions、 Internet 打印、 NNTP 服务 启用: 公用文件、 Internet 信息服务管理器、 万维网服务 ⑦删除未使用的帐户 , 设置强密码, 使用以最低特权的帐户 避免攻击者通过使用以高级特权运行的帐户 来获取未经授权的资源访问权 限制对服务器的匿名 连接, 确保禁用来宾帐户 ; 重命名 管理员 帐户 并分配一个强密码以增强安全性 重命名 IUSR 帐户 在 IIS 元数据库中更改 IUSR 帐户 的值: 管理工具 →Internet 信息服务 (IIS) 管理器 →右键单击本地计算机 →属性 →选中允许直接编辑配置数据库 复选框→确定 → 浏览至 MetaBase. xml 文件的位置, 默认情况下为 C: \Windows\system32\inetsrv → 右键单击 MetaBase. xml 文件→ 编辑 → 搜索AnonymousUserName 属性, →键入 IUSR 帐户 的新名 称→在文件 菜单上→单击退出 →单击是。
⑧使用应用程序池来隔离应用程序, 提高 WEB 服务器的可靠性和安全性 创建应用程序池: 管理工具 →Internet 信息服务 (IIS) 管理器 →本地计算机→右键单击应用程序池 →新建 →应用程序池 →在应用程序池 ID 框中 , 为应用 程序池键入一个新 ID→ 应用 程序池设置 → Use default settings for the new application pool( 使用新应用程序池的默认设置) →确定 将网站或应用程序分配到应用程序池: 管理工具→ Internet 信息服务 (IIS) 管理器 → 右键单击您想要分配到应用程序池的网站或应用程序→属性 →主目 录、虚拟目 录 或目 录 选项卡, 如果将目 录或虚拟目 录分配到应用程序池, 则验证应用程序名 框是否包含正确的网站或应用程序名 称,( 如果在应用程序名 框中没有名 称, 则单击创建, 然后键入网站或应用程序的名 称)→应用程序池 列表框→单击您想要分配网站或应用程序的应用程序池的名 称→确定。
经过以上设置, IIS 安全性有了 很大的提升, 但一些不法攻击者会不断寻找新漏洞来攻击 WEB 服务系统, 所以我们一定要养成及时修补系统漏洞的习惯, 并不断提高管理人员 的网络技术水平, 确保企业 WEB 服务器有一个安全、 稳定、 高效的运行环境 参考文献: [1] 王淑江, 刘晓辉, 张奎亭. WindowsServer2023 系统安全管理[M] . 北京: 电子工业出版社, 2023. [2] 托洛斯. iis6 管理指南[M] . 北京: 清华大学出版社, 2023. [3] 李新, 李成友. 基于 Windows 系统的 Web 服务器安全研究与实践[J] . 教育信息化, 2023, (4) . [4] 马琰. 如何提高个人 Web 服务器的安全性[J] . 职业圈, 2023, (9) . [5] 王远哲. 细说高校 WEB 服务器安全[J] . 电脑知识与技术, 2023, (9) . [6] 田巍. 四川航空股份有限公司 网络安全方案可行性分析和规划[M] . 北京: 电子科技大学, 2023 。