科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道加固Windows 2003平台WEB服务器(3)

加固Windows 2003平台WEB服务器(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题,不过我个人认为自从Windows Server 2003发布后……

作者:BULLY 来源:天极ChinaByte 2007年8月20日

关键字: 服务器 Windows 2003 Windows Windows Server

  • 评论
  • 分享微博
  • 分享邮件
    打开服务器本地计算机策略(gpedit.msc),参考以下选择和修改对服务器进行加固:

  1. 设置帐号锁定阀值为5次无效登录,锁定时间为30分钟;

  2. 从通过网络访问此计算机中删除Everyone组;

  3. 在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;

  4. 为交互登录启动消息文本。

  5. 启用 不允许匿名访问SAM帐号和共享;

  6. 启用 不允许为网络验证存储凭据或Passport;

  7. 启用 在下一次密码变更时不存储LANMAN哈希值;

  8. 启用 清除虚拟内存页面文件;

  9. 禁止IIS匿名用户在本地登录;

  10. 启用 交互登录:不显示上次的用户名;

  11. 从文件共享中删除允许匿名登录的DFS$和COMCFG;

  12. 禁用活动桌面。

  强化TCP协议:

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

  "SynAttackProtect"=dword:00000001

  "EnablePMTUDiscovery"=dword:00000000

  "NoNameReleaseOnDemand"=dword:00000001

  "EnableDeadGWDetect"=dword:00000000

  "KeepAliveTime"=dword:00300000

  "PerformRouterDiscovery"=dword:00000000

  "TcpMaxConnectResponseRetransmissions"=dword:00000003

  "TcpMaxHalfOpen"=dword:00000100

  "TcpMaxHalfOpenRetried"=dword:00000080

  "TcpMaxPortsExhausted"=dword:00000005

  安装和配置IIS

  进入Windows组件安装,找到应用程序服务器,进入详细信息,勾选ASP.NET后,IIS必须的组件就会被自动选择,如果你的服务器需要运行ASP脚本,那么还需要进入Internet信息服务(IIS)-万维网服务下勾选Active Server Pages。完成安装后,应当在其他逻辑分区上单独建立一个目录用来存储WEB网站程序及数据。

  一台WEB服务器上都运行着多个网站,他们之间可能互不相干,所以为了起到隔离和提高安全性,需要建立一个匿名WEB用户组,为每一个站点创建一个匿名访问账号,将这些匿名账号添加到之前建立的匿名WEB用户组中,并在本地计算机策略中禁止此组有本地登录权限。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章