《2023年安全部署企業(yè)WEB服務(wù)器》由會(huì)員分享，可在線閱讀，更多相關(guān)《2023年安全部署企業(yè)WEB服務(wù)器（11頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、2023年安全部署企業(yè)WEB服務(wù)器 下面是我為大家整理的安全部署企業(yè)WEB服務(wù)器,供大家參考。 　　安全部署企業(yè) WEB 服務(wù)器 　摘 要： 　WEB 服務(wù)器是 Intranet（ 企業(yè)內(nèi)部網(wǎng)） 　網(wǎng)站的核心， 其中的數(shù)據(jù)資料非常重要， 安全部署 WEB 服務(wù)器是企業(yè)面臨的一項(xiàng)重要工作， 系統(tǒng)安裝、 安全策略和 IIS 安全策略對(duì)企業(yè) WEB 服務(wù)器安全、 穩(wěn)定、 高效地運(yùn)行至關(guān)重要。 　 關(guān)鍵詞： 　Intranet； 安全策略； 組策略 　WEB 服務(wù)器是企業(yè)網(wǎng) Intranet 網(wǎng)站的核心， 其中的數(shù)據(jù)資料非常重要， 一旦遭到破壞將會(huì)給企業(yè)造成不可彌補(bǔ)的損失， 管理好

2、、 使用好、 保護(hù)好 WEB 服務(wù)器中的資源， 是一項(xiàng)至關(guān)重要的工作。 　本文主要介紹 WEB 服務(wù)器安全策略方面的相關(guān)知識(shí)。 　1 系統(tǒng)安裝、 系統(tǒng)安全策略配置 　使用 NTFS 格式分區(qū)、設(shè)置不同的用戶 訪問(wèn)服務(wù)器的不同權(quán)限是搭建一臺(tái)安全 WEB服務(wù)器的最低要求。 　 Windows 2023 安裝策略： 　 ①系統(tǒng)安裝在單獨(dú)的邏輯驅(qū)動(dòng)器并自 定義安裝目 錄； 以最小的權(quán)限+最少的服務(wù)=最大的安全 為基本理念， 只安裝所必需的服務(wù)和協(xié)議， 如 DNS、 DHCP， 不需要 的 服務(wù)和 協(xié) 議一 律不 安裝 ； 只 保留 TCP/IP 一 項(xiàng) 并 禁用 NETBOIS； 安裝Win

3、dows2023 最新補(bǔ)丁和防病毒軟件。 　 ②關(guān)閉 windows2023 不必要的服務(wù)。 　 關(guān)閉 Computer Browser 、 Task scheduler 、 Routing and Remote Access、Removable storage 、 Remote Registry Service、 Print Spooler、 IPSEC Policy Agent 、 Distributed Link Tracking Client、 Com+ Event System 、 Alerter、Error Reporting Service 、 Messenger 、 Tel

4、net 服務(wù)。 　 ③設(shè)置磁盤(pán)訪問(wèn)權(quán)限。 　 系 統(tǒng)磁盤(pán)只 賦予 administrators 和 system 權(quán)限， 系 統(tǒng)所在目 錄（ 默認(rèn)時(shí)為Windows） 　要加上 users 的默認(rèn)權(quán)限， 以保障 ASP 和 ASPX 等應(yīng)用程序正常運(yùn)行。其他磁盤(pán)可以此為參照， 當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動(dòng)時(shí)， 需加 system用戶 權(quán)限， 否則啟動(dòng)不成功。 　 ④注冊(cè)表 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA， 將DWORD 值 RestrictAnonymous 的鍵值改為 1， 禁止 Windows 系

5、統(tǒng)進(jìn)行空連接。 　 ⑤關(guān)閉不需要的端口 、 更改遠(yuǎn)程連接端口 。 　 本地連接→屬性→Internet 協(xié)議(TCP/IP) →高級(jí)→選項(xiàng)→TCP/IP 篩選→屬性→把勾打上， 添加需要的端口 (如: 　21、 80) 。 　更改遠(yuǎn)程連接端口 ： 　開(kāi)始→ gt; 運(yùn)行→ gt; 輸入 regedit 查找 3389： 　將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

6、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 下的 PortNumber=3389 改為自 寶義的端口 號(hào)并重新啟動(dòng)服務(wù)器。 　 ⑥編寫(xiě)批處理文件 delshare. bat 并在組策略中應(yīng)用， 以關(guān)閉默認(rèn)共享的空連接。（ 以服務(wù)器有 4 個(gè)邏輯驅(qū)動(dòng)器為例） 　 net share C$ /delete 　net share D$ /delete 和 　 net share E$ /delete 　net share F$ /delete 　net sh

7、are admin$ /delete 　將 以 上 內(nèi) 容 寫(xiě) 入system32\GroupPolicy\User\Scripts\Logon 目 錄下。 　運(yùn)行 gpedit. msc 組策略編輯器， 用戶 配置→Windows 設(shè)置→腳本(登錄/注銷) →登錄→登錄 屬性 →添加 →添加腳本 對(duì)話框的腳本名 欄中輸入 delshare. bat→確定 按鈕→重新啟動(dòng)服務(wù)器， 即可自 動(dòng)關(guān)閉系統(tǒng)的默認(rèn)隱藏共享， 將系統(tǒng)安全隱患降至最低。 　 ⑦限制匿名 訪問(wèn)本機(jī)用戶 。 　開(kāi)始 →程序 &r

8、arr;管理工具 →本地安全策略 →本地策略 →安全選項(xiàng) →雙擊對(duì)匿名 連接的額外限制 →在下拉菜單中選擇不允許枚舉 SAM 帳號(hào)和共享 →確定。 ?、嘞拗七h(yuǎn)程用戶 對(duì)光驅(qū)或軟驅(qū)的訪問(wèn) 。 　開(kāi)始 →程序 →管理工具 →本地安全策略 →本地策略 →安全選項(xiàng) →雙擊只有本地登錄用戶 才能訪問(wèn)軟盤(pán) →在單選按鈕中選擇已啟用(E) 　→ 確定。 ?、嵯拗七h(yuǎn)程用戶 對(duì) NetMeeting 的共享， 禁用 NetMeeting 遠(yuǎn)程桌面共享功能。 　運(yùn)行

9、gpedit. msc 　→ 計(jì)算機(jī)配置 → 管理模板 → Windows 組件 　→NetMeeting 　→禁用遠(yuǎn)程桌面共享 →右鍵→在單選按鈕中選擇啟用(E) →確定。 ?、庀拗朴脩?執(zhí)行 Windows 安裝程序， 防止用戶 在系統(tǒng)上安裝軟件。 　方法同（ 9）。 　○11 刪除 C: \WINDOWS\WEB\printers 目 錄， 避免溢出攻擊（ 此目 錄的存在會(huì)造成 IIS 里加入一個(gè). printers 的擴(kuò)展名 ， 可溢出攻擊）。 　 ○12 刪除 C: \WINDOWS\sys

10、tem32\inetsrv\iisadmpwd， 此目 錄在管理 IIS 密碼時(shí)使用（ 如因密碼不同步造成 500 錯(cuò)誤時(shí)使用 OWA 或 Iisadmpwd 修改同步密碼），當(dāng)把賬戶 策略 gt; 　密碼策略 gt; 　密碼最短使用期限 設(shè)為 0 天[即密碼不過(guò)期時(shí)， 可避免 IIS 密碼不同步問(wèn)題。 　這里就可刪掉此目 錄。 　 ○13 修改注冊(cè)表防止小規(guī)模 DDOS 攻擊。 　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 DWORD 值名 為 SynAttackProtect 數(shù)值

11、為1 　○14 本地策略→安全選項(xiàng)： 　 將清除虛擬內(nèi)存頁(yè)面文件 、 不顯示上次的用戶 名 、 不需要按 CTRL+ALT+DEL、 不允許 SAM 賬戶 的匿名 枚舉、 不允許 SAM 賬戶 和共享的匿名 枚舉、 均更改為已啟用 ； 重命名 來(lái)賓賬戶 　更改成一個(gè)復(fù)雜的賬戶 名 ； 重命名 系統(tǒng)管理員 賬號(hào)， 更改一個(gè)自 己用的賬號(hào)， 同時(shí)建立一個(gè)無(wú)用戶 組的 Administrat 賬戶 。 　2IIS 安全策略應(yīng)用 　 ①不使用默認(rèn)的 WEB 站點(diǎn)， 將 IIS 目 錄與系統(tǒng)磁盤(pán)分開(kāi)。 　 將網(wǎng)站內(nèi)容移動(dòng)到非系統(tǒng)驅(qū)動(dòng)器， 不使用默認(rèn)的 \Inetpub\Wwwroo

12、t 目 錄， 以減輕目 錄遍歷攻擊（ 這種攻擊試圖瀏覽 WEB 服務(wù)器的目 錄結(jié)構(gòu)） 　帶來(lái)的危險(xiǎn)（ 一定要驗(yàn)證所有的虛擬目 錄是否均指向目 標(biāo)驅(qū)動(dòng)器）。 　 ②刪除 IIS 默認(rèn)創(chuàng)建的 Inetpub 目 錄(在系統(tǒng)磁盤(pán)上) 并配置網(wǎng)站訪問(wèn)權(quán)限。 　為WEB 服務(wù)器配置站點(diǎn)、 目 錄和文件的訪問(wèn)權(quán)限。 　 ③刪除系統(tǒng)盤(pán)下的虛擬目 錄： 　vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。 　 ④刪除不必要的 IIS 擴(kuò)展名 映射。 　delshare. bat并 保 存 到 系 統(tǒng) 所 在 文 件 夾 下 的

13、 　 右鍵單擊默認(rèn) WEB 站點(diǎn)→屬性→主目 錄→配置， 打開(kāi)應(yīng)用程序窗口 ， 去掉不必要的應(yīng)用程序映射， 主要為 shtml、 shtm、 stm。 　 ⑤更改 IIS 日 志的路徑。 　右鍵單擊默認(rèn) WEB 站點(diǎn)→屬性→網(wǎng)站→在啟用日 志記錄下→點(diǎn)擊屬性更改設(shè)置。 　 ⑥只選擇網(wǎng)站和 WEB 應(yīng)用程序正確運(yùn)行所必需的服務(wù)和子組件。 　開(kāi)始→控制面板→ 　添加或刪除程序→ 添加/刪除 Windows 組件→應(yīng)用程序服務(wù)器→ 詳細(xì)信息→ 　Interne

14、t 信息服務(wù) (IIS) 　→ 詳細(xì)信息→然后通過(guò)選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框， 來(lái)選擇或取消相應(yīng)的 IIS 組件和服務(wù)。 　IIS 子組件和服務(wù)的推薦設(shè)置： 　禁用： 　后臺(tái)智能傳輸服務(wù) (BITS) 　服務(wù)器擴(kuò)展、 FTP 服務(wù)、 FrontPage 2023 Server Extensions、 Internet 打印、 NNTP 服務(wù)。 　啟用： 　公用文件、 Internet 信息服務(wù)管理器、 萬(wàn)維網(wǎng)服務(wù)。 　 ⑦刪除未使用的帳戶 ， 設(shè)置強(qiáng)密碼， 使用以最低特權(quán)的帳戶 。 　避免攻擊者通過(guò)使用以高級(jí)特權(quán)運(yùn)行的帳戶 來(lái)獲取未經(jīng)授權(quán)的資源訪問(wèn)權(quán)

15、。 　限制對(duì)服務(wù)器的匿名 連接， 確保禁用來(lái)賓帳戶 ； 重命名 管理員 帳戶 并分配一個(gè)強(qiáng)密碼以增強(qiáng)安全性。 　重命名 　IUSR 帳戶 。 　 在 IIS 元數(shù)據(jù)庫(kù)中更改 IUSR 帳戶 的值： 　管理工具 →Internet 信息服務(wù) (IIS) 　管理器 　→右鍵單擊本地計(jì)算機(jī) →屬性 →選中允許直接編輯配置數(shù)據(jù)庫(kù) 復(fù)選框→確定 → 瀏覽至 MetaBase. xml 文件的位置， 默認(rèn)情況下為 C: \Windows\system32\inetsrv → 右鍵單擊 MetaBase. xml 文件&ra

16、rr; 編輯 　→ 搜索AnonymousUserName 屬性， →鍵入 IUSR 帳戶 的新名 稱→在文件 菜單上→單擊退出 →單擊是。 　 ⑧使用應(yīng)用程序池來(lái)隔離應(yīng)用程序， 提高 WEB 服務(wù)器的可靠性和安全性。 　 創(chuàng)建應(yīng)用程序池： 　管理工具 →Internet 信息服務(wù) (IIS) 　管理器 　→本地計(jì)算機(jī)→右鍵單擊應(yīng)用程序池 →新建 →應(yīng)用程序池 →在應(yīng)用程序池 ID 框中 ， 為應(yīng)用 程序池鍵入一個(gè)新 ID→ 應(yīng)用 程序池設(shè)置 　→ U

17、se default settings for the new application pool（ 使用新應(yīng)用程序池的默認(rèn)設(shè)置） 　→確定。 　將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池： 　管理工具→ Internet 信息服務(wù) (IIS) 　管理器 　→ 右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序→屬性 →主目 錄、虛擬目 錄 或目 錄 選項(xiàng)卡， 如果將目 錄或虛擬目 錄分配到應(yīng)用程序池， 則驗(yàn)證應(yīng)用程序名 框是否包含正確的網(wǎng)站或應(yīng)用程序名 稱，（ 如果在應(yīng)用程序名 框中沒(méi)有名 稱， 則單擊創(chuàng)建， 然后鍵入網(wǎng)站或應(yīng)用程序的名 稱）&

18、rarr;應(yīng)用程序池 列表框→單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名 稱→確定。 　經(jīng)過(guò)以上設(shè)置， 　IIS 安全性有了 很大的提升， 但一些不法攻擊者會(huì)不斷尋找新漏洞來(lái)攻擊 WEB 服務(wù)系統(tǒng)， 所以我們一定要養(yǎng)成及時(shí)修補(bǔ)系統(tǒng)漏洞的習(xí)慣， 并不斷提高管理人員 的網(wǎng)絡(luò)技術(shù)水平， 確保企業(yè) WEB 服務(wù)器有一個(gè)安全、 穩(wěn)定、 高效的運(yùn)行環(huán)境。 　參考文獻(xiàn)： 　[1] 王淑江, 劉曉輝, 張奎亭. 　WindowsServer2023 系統(tǒng)安全管理[M] . 北京: 電子工業(yè)出版社, 　2023. 　[2] 托洛斯. iis6 管理指南[M] . 北京: 清華大學(xué)出版社, 2023. 　[3] 李新, 李成友. 基于 Windows 系統(tǒng)的 Web 服務(wù)器安全研究與實(shí)踐[J] . 教育信息化, 2023, (4) . 　[4] 馬琰. 如何提高個(gè)人 Web 服務(wù)器的安全性[J] . 職業(yè)圈, 2023, (9) . 　[5] 王遠(yuǎn)哲. 細(xì)說(shuō)高校 WEB 服務(wù)器安全[J] . 電腦知識(shí)與技術(shù), 2023, (9) . 　[6] 田巍. 四川航空股份有限公司 網(wǎng)絡(luò)安全方案可行性分析和規(guī)劃[M] . 北京: 電子科技大學(xué), 2023