《WEB服務(wù)器安全自查報告》由會員分享，可在線閱讀，更多相關(guān)《WEB服務(wù)器安全自查報告（6頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、WEB服務(wù)器平安自查報告 一、操作系統(tǒng)平安配置報告 1、停掉Guest 帳號 在計算機管理的用戶里面把guest帳號停用掉，任何時候都不允許guest帳號登陸系統(tǒng)。 2、限制不必要的用戶數(shù)量 去掉全部的測試用帳戶、 共享帳號、一般部門帳號等等不必要賬號。用戶組策略設(shè)置相應(yīng)權(quán)限，并且常常檢查系統(tǒng)的帳戶，刪除已經(jīng)不運用的帳戶。 3、創(chuàng)建2個管理員用帳號 創(chuàng)建一個一般權(quán)限帳號用來處理一些日常事物，另一個擁有Administrators 權(quán)限的帳戶只在須要的時候運用。 4、把系統(tǒng)administrator帳號改名 Windows 2023的administrator帳號是不能

2、被停用的，這意味著別人可以一遍又一遍的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。 5、把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶” “everyone” 在Win 2023中任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設(shè)置成“everyone”組。 6、運用平安密碼 應(yīng)當(dāng)要求用戶首次登陸的時候更改成困難的密碼，還要留意常常更改密碼。 7、運用NTFS格式分區(qū) 把服務(wù)器的全部分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)平安得多。 8、保障備份盤的平安 系統(tǒng)資料被

3、破壞，備份盤將是你復(fù)原資料的唯一途徑。備份完資料確認(rèn)無誤后，把備份盤放在平安的地方。 9、關(guān)閉不必要的服務(wù) Windows 2023的Terminal Services（終端服務(wù)） 、和RAS都可能系統(tǒng)帶來平安漏洞。為了能夠在遠(yuǎn)程便利的管理服務(wù)器，許多機器的終端服務(wù)都是開著的，假如須要開此服務(wù)，肯定要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式靜靜的運行。 10、關(guān)閉不必要的端口 關(guān)閉端口意味著削減功能，因此在平安和功能上面須要作一點決策。假如服務(wù)器安裝在防火墻的后面，冒險就會少些，但是，恒久不要認(rèn)為可以就此高枕無憂了。 11、打開審核策略 開啟平安審核是Win

4、 2023最基本的入侵檢測方法。當(dāng)有人嘗試對你的系統(tǒng)進(jìn)行某些方式（如嘗試用戶密碼,變更帳戶策略，未經(jīng)許可的文件訪問等等）入侵的時候，都會被平安審核記錄下來。 12、設(shè)定平安記錄的訪問權(quán)限 平安記錄在默認(rèn)狀況下是沒有愛護(hù)的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問。 13、不讓系統(tǒng)顯示上次登陸的用戶名 默認(rèn)狀況下，終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸的帳戶名。 14、到微軟網(wǎng)站下載最新的補丁程序 常常訪問微軟和一些平安站點，下載最新的service pack和漏洞補丁，是保障服務(wù)器許久平安的唯一方法。 15、關(guān)閉默認(rèn)共享 Win 2023安

5、裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，要禁止這些共享，打開 管理工具>計算機管理>共享文件夾>共享 在相應(yīng)的共享文件夾上按右鍵，點停止共享即可。 16、清除temp文件夾 一些應(yīng)用程序在安裝和升級的時候，會把一些東西拷貝到temp文件夾，但是當(dāng)程序升級完畢或關(guān)閉的時候，它們并不會自己清除temp文件夾的內(nèi)容。 17、關(guān)機時清除掉頁面文件 頁面文件就是調(diào)度文件，是Win 2023用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒有加密的密碼存在內(nèi)存中，頁面文件中也可能含有另外一些敏感的資料。 二、IIS平安配置報告 1、僅安裝必要的 IIS 組件。

6、（禁用不須要的如FTP 和 SMTP 服務(wù)）。 2、僅啟用必要的服務(wù)和 Web Service 擴展，舉薦配置: UI 中的組件名稱 設(shè)置 設(shè)置邏輯 后臺智能傳輸服務(wù) (BITS) 服務(wù)器擴展 啟用 BITS 是 Windows Updates 和“自動更新”所運用的后臺文件傳輸機制。假如運用 Windows Updates 或“自動更新”在 IIS 服務(wù)器中自動應(yīng)用 Service Pack 和熱修補程序，則必需有該組件。 公用文件 啟用 IIS 須要這些文件，肯定要在 IIS 服務(wù)器中啟用它們。 文件傳輸協(xié)議 (FTP) 服務(wù) 禁用 允許 IIS 服務(wù)器供應(yīng) FT

7、P 服務(wù)。專用 IIS 服務(wù)器不須要該服務(wù)。 FrontPage 2023 Server Extensions 禁用 為管理和發(fā)布 Web 站點供應(yīng) FrontPage 支持。假如沒有運用 FrontPage 擴展的 Web 站點，請在專用 IIS 服務(wù)器中禁用該組件。 Internet 信息服務(wù)管理器 啟用 IIS 的管理界面。 Internet 打印 禁用 供應(yīng)基于 Web 的打印機管理，允許通過 HTTP 共享打印機。專用 IIS 服務(wù)器不須要該組件。 NNTP 服務(wù) 禁用 在 Internet 中分發(fā)、查詢、檢索和投遞 Usenet 新聞文章。專用 IIS 服務(wù)

8、器不須要該組件。 SMTP 服務(wù) 禁用 支持傳輸電子郵件。專用 IIS 服務(wù)器不須要該組件。 萬維網(wǎng)服務(wù) 啟用 為客戶端供應(yīng) Web 服務(wù)、靜態(tài)和動態(tài)內(nèi)容。專用 IIS 服務(wù)器須要該組件。 3、萬維網(wǎng)服務(wù)子組件 UI 中的組件名稱 安裝選項 設(shè)置邏輯 Active Server Page 啟用 供應(yīng) ASP 支持。假如 IIS 服務(wù)器中的 Web 站點和應(yīng)用程序都不運用 ASP，請禁用該組件；或運用 Web 服務(wù)擴展禁用它。 Internet 數(shù)據(jù)連接器 禁用 通過擴展名為 .idc 的文件供應(yīng)動態(tài)內(nèi)容支持。假如 IIS 服務(wù)器中的 Web 站點

9、和應(yīng)用程序都不包括 .idc 擴展文件，請禁用該組件；或運用 Web 服務(wù)擴展禁用它。 遠(yuǎn)程管理 (HTML) 禁用 供應(yīng)管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更簡潔，并削減了 IIS 服務(wù)器的攻擊面。專用 IIS 服務(wù)器不須要該功能。 遠(yuǎn)程桌面 Web 連接 禁用 包括了管理終端服務(wù)客戶端連接的 Microsoft ActiveX? 控件和范例頁面。改用 IIS 管理器可使管理更簡潔，并削減了 IIS 服務(wù)器的攻擊面。專用 IIS 服務(wù)器不須要該組件。 服務(wù)器端包括 禁用 供應(yīng) .shtm、.shtml 和 .stm 文件的支持。假如在 IIS 服務(wù)

10、器中運行的 Web 站點和應(yīng)用程序都不運用上述擴展的包括文件，請禁用該組件。 WebDAV 禁用 WebDAV 擴展了 HTTP/1.1 協(xié)議，允許客戶端發(fā)布、鎖定和管理 Web 中的資源。專用 IIS 服務(wù)器禁用該組件；或運用 Web 服務(wù)擴展禁用該組件。 萬維網(wǎng)服務(wù) 啟用 為客戶端供應(yīng) Web 服務(wù)、靜態(tài)和動態(tài)內(nèi)容。專用 IIS 服務(wù)器須要該組件 4、、 將IIS書目＆數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。 5、在IIS管理器中刪除必需之外的任何沒有用到的映射（保留asp等必要映射即可）。 6、Web站點權(quán)限設(shè)定 Web 站點權(quán)限： 授予的權(quán)限： 讀 允許

11、 寫 不允許 腳本源訪問 不允許 書目閱讀 關(guān)閉 日志訪問 關(guān)閉 索引資源 關(guān)閉 執(zhí)行 舉薦選擇 “僅限于腳本” 7、運用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。（最好不要運用缺省的書目，建議更換一個記日志的路徑，同時設(shè)置日志的訪問權(quán)限，只允許管理員和system為Full Control）。 三、SQl2023平安配置報告 1、運用平安的密碼策略 MS Sql Server在安裝完畢的時候，其sa的密碼默認(rèn)為空。馬上為sa帳號設(shè)置一個強壯的密碼；嚴(yán)禁把sa帳號和密

12、碼寫于應(yīng)用程序或者腳本中。 2、平安的帳號策略 給運行SQL服務(wù)的用戶盡可能小的權(quán)限，最好不是LocalSystem或者Administrators；SQL Server采納混合身份認(rèn)證方式可肯定程度上避開操作系統(tǒng)管理員來通過操作系統(tǒng)登陸來接觸數(shù)據(jù)庫；最好不要在數(shù)據(jù)庫應(yīng)用中運用sa帳號，建議數(shù)據(jù)庫管理員新建一個擁有與sa一樣權(quán)限的超級用戶來管理數(shù)據(jù)庫，并防止有管理員權(quán)限的帳號泛濫；依據(jù)實際須要安排帳號角色，并給予僅僅能夠滿意應(yīng)用要求和須要的權(quán)限。許多主機運用數(shù)據(jù)庫應(yīng)用只是用來做查詢、修改等簡潔功能的，如只要查詢功能的，那么就運用一個簡潔的public帳號能夠select就可以了。從數(shù)據(jù)庫中

13、刪除全部guest用戶（master,tempdb除外），以及其他未授權(quán)用戶。 3、權(quán)限限制 設(shè)定準(zhǔn)確的擴展存儲進(jìn)程權(quán)限； 設(shè)定master中的Extented Stored Procedure的權(quán)限； 設(shè)定statement 權(quán)限； 設(shè)定合適的組權(quán)限； 設(shè)定合適的用戶權(quán)限。 4、在實例屬性中選擇“平安性”，將審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就具體記錄了全部帳號的登錄事務(wù)。 定期查看SQL Server日志檢查是否有可疑的登錄事務(wù)發(fā)生，或者運用DOS吩咐。 5、限制TCP/IP端口 a、修改默認(rèn)端口 可以通過修改默認(rèn)TCP/1433端口肯定程度上躲

14、避了端口探測，但是，通過1434端口的UDP探測可以很簡潔知道SQL Server運用的什么TCP/IP端口。 b、隱藏服務(wù)器 通過在實例屬性中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實例。 c、啟用IP平安策略 在IPSec過濾拒絕掉1434端口的UDP通訊，達(dá)到隱藏SQL Server服務(wù)器。 6、數(shù)據(jù)庫備份策略 定期備份全部重要數(shù)據(jù)（包括備份事務(wù)日志），并把拷貝平安存放； 系統(tǒng)重要更新（如打補丁）前/后備份數(shù)據(jù)庫； 制定災(zāi)難復(fù)原安排、系統(tǒng)，并測試安排是否勝利復(fù)原業(yè)務(wù)正常運行。 四、病毒防火墻平安配置報告 1、安裝和配置防病毒愛護(hù) 病毒防火墻（配置為至少每周自動升級一次）。 2、清理惡意插件。 3、清理無用軟件。 4、修復(fù)系統(tǒng)漏洞。 5、查殺流行木馬。 6、關(guān)閉無用進(jìn)程/關(guān)閉無用啟動項/關(guān)閉無用服務(wù)。