Windows 2003 安全加固配置指南
2012-06-06 00:12:07   来源:我爱运维网   评论:0 点击:

本指南主要描述了建立Windows NT系列操作系统安全加固配置标准,并以此标准为指导,配置和审视客户Windows NT系列服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。
IIS虚拟根目录
把IIS虚拟根目录(如:C:\Inetpub)挪到第二个NTFS分区(比如E盘),避免Unicode和二次解码攻击。使用Reskit工具包里的robocopy工具和/SEC/MOVE参数,以保证复制ACL表
 
敏感目录ACL
使用cacls工具设置Web服务器卷上%systemroot%子目录及下级子目录的ACL为: “System: Full” ”Administrators: Full” ”Everyone: read”
关闭父路径设置项
IIS Admin-> 属性-> 主目录-> 应用程序设置-> 配置-> 应用程序选项-> 弃选 启用父路径
 
删除多余项目
关闭Administration(系统管理)站点并删除虚拟子目录IISAdmin和IISHelp
删除用不着的映射关系 (如.htr和.printer映射)
找出并删除ISAPI应用程序中的RevertToSelf调用,防止攻击者提升IUSR或IWAM帐号的权限;把IIS的应用程序保护选项设置为Medium或High
HTML和脚本文件里包含敏感文件或者子目录的路径名,需要删除
 
自定义返回给客户端的脚本错误消息
在脚本错误消息中,选中“发送文本错误消息给客户”,在下面的文本框中自定义一段错误提示。
 
其它相关设置
考虑是否真的需要远程对Web服务器进行管理,如果真的需要,为Web服务器专门建立一个单一功能的远程管理系统,部署在与Web服务器同一网段内某个位置
可以考虑安装UrlScan工具,以便限制恶意的HTTP调用
不要把敏感信息或私人数据保存在Active Server文件或头文件里。把服务器端数据明确地用<% %>标记括起来,防止“查看脚本源代码”攻击

8 其他安全配置

域控制器
SNMP
SQL Server安全措施
Terminal Server安全措施
IE

9 资源下载

最新的MBSA可以从下列地址下载:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
 
Hfnetchk.exe下载地址:
http://hfnetchk.shavlik.com/
 
IIS Lockdown Tool 2.1下载地址:
http://www.microsoft.com/downloads/details.aspx?
FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en

相关热词搜索:Windows 安全 指南

上一篇:反运营商DNS劫持解决方案
下一篇:Apache后缀名解析漏洞

分享到: 收藏
评论排行