2023年安全部署企業(yè)WEB服務(wù)器 下面是我為大家整理的安全部署企業(yè)WEB服務(wù)器,供大家參考。 　　安全部署企業(yè) WEB 服務(wù)器 　摘 要： 　WEB 服務(wù)器是 Intranet（ 企業(yè)內(nèi)部網(wǎng)） 　網(wǎng)站的核心， 其中的數(shù)據(jù)資料非常重要， 安全部署 WEB 服務(wù)器是企業(yè)面臨的一項重要工作， 系統(tǒng)安裝、 安全策略和 IIS 安全策略對企業(yè) WEB 服務(wù)器安全、 穩(wěn)定、 高效地運行至關(guān)重要。 　 關(guān)鍵詞： 　Intranet； 安全策略； 組策略 　WEB 服務(wù)器是企業(yè)網(wǎng) Intranet 網(wǎng)站的核心， 其中的數(shù)據(jù)資料非常重要， 一旦遭到破壞將會給企業(yè)造成不可彌補(bǔ)的損失， 管理好、 使用好、 保護(hù)好 WEB 服務(wù)器中的資源， 是一項至關(guān)重要的工作。 　本文主要介紹 WEB 服務(wù)器安全策略方面的相關(guān)知識。 　1 系統(tǒng)安裝、 系統(tǒng)安全策略配置 　使用 NTFS 格式分區(qū)、設(shè)置不同的用戶 訪問服務(wù)器的不同權(quán)限是搭建一臺安全 WEB服務(wù)器的最低要求。 　 Windows 2023 安裝策略： 　 ①系統(tǒng)安裝在單獨的邏輯驅(qū)動器并自 定義安裝目 錄； 以最小的權(quán)限+最少的服務(wù)=最大的安全 為基本理念， 只安裝所必需的服務(wù)和協(xié)議， 如 DNS、 DHCP， 不需要 的 服務(wù)和 協(xié) 議一 律不 安裝 ； 只 保留 TCP/IP 一 項 并 禁用 NETBOIS； 安裝Windows2023 最新補(bǔ)丁和防病毒軟件。 　 ②關(guān)閉 windows2023 不必要的服務(wù)。 　 關(guān)閉 Computer Browser 、 Task scheduler 、 Routing and Remote Access、Removable storage 、 Remote Registry Service、 Print Spooler、 IPSEC Policy Agent 、 Distributed Link Tracking Client、 Com+ Event System 、 Alerter、Error Reporting Service 、 Messenger 、 Telnet 服務(wù)。 　 ③設(shè)置磁盤訪問權(quán)限。 　 系 統(tǒng)磁盤只 賦予 administrators 和 system 權(quán)限， 系 統(tǒng)所在目 錄（ 默認(rèn)時為Windows） 　要加上 users 的默認(rèn)權(quán)限， 以保障 ASP 和 ASPX 等應(yīng)用程序正常運行。其他磁盤可以此為參照， 當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動時， 需加 system用戶 權(quán)限， 否則啟動不成功。 　 ④注冊表 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA， 將DWORD 值 RestrictAnonymous 的鍵值改為 1， 禁止 Windows 系統(tǒng)進(jìn)行空連接。 　 ⑤關(guān)閉不需要的端口 、 更改遠(yuǎn)程連接端口 。 　 本地連接→屬性→Internet 協(xié)議(TCP/IP) →高級→選項→TCP/IP 篩選→屬性→把勾打上， 添加需要的端口 (如: 　21、 80) 。 　更改遠(yuǎn)程連接端口 ： 　開始→ gt; 運行→ gt; 輸入 regedit 查找 3389： 　將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcpHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 下的 PortNumber=3389 改為自 寶義的端口 號并重新啟動服務(wù)器。 　 ⑥編寫批處理文件 delshare. bat 并在組策略中應(yīng)用， 以關(guān)閉默認(rèn)共享的空連接。（ 以服務(wù)器有 4 個邏輯驅(qū)動器為例） 　 net share C$ /delete 　net share D$ /delete 和 　 net share E$ /delete 　net share F$ /delete 　net share admin$ /delete 　將 以 上 內(nèi) 容 寫 入system32\GroupPolicy\User\Scripts\Logon 目 錄下。 　運行 gpedit. msc 組策略編輯器， 用戶 配置→Windows 設(shè)置→腳本(登錄/注銷) →登錄→登錄 屬性 →添加 →添加腳本 對話框的腳本名 欄中輸入 delshare. bat→確定 按鈕→重新啟動服務(wù)器， 即可自 動關(guān)閉系統(tǒng)的默認(rèn)隱藏共享， 將系統(tǒng)安全隱患降至最低。 　 ⑦限制匿名 訪問本機(jī)用戶 。 　開始 →程序 →管理工具 →本地安全策略 →本地策略 →安全選項 →雙擊對匿名 連接的額外限制 →在下拉菜單中選擇不允許枚舉 SAM 帳號和共享 →確定。 　⑧限制遠(yuǎn)程用戶 對光驅(qū)或軟驅(qū)的訪問 。 　開始 →程序 →管理工具 →本地安全策略 →本地策略 →安全選項 →雙擊只有本地登錄用戶 才能訪問軟盤 →在單選按鈕中選擇已啟用(E) 　→ 確定。 ?、嵯拗七h(yuǎn)程用戶 對 NetMeeting 的共享， 禁用 NetMeeting 遠(yuǎn)程桌面共享功能。 　運行g(shù)pedit. msc 　→ 計算機(jī)配置 → 管理模板 → Windows 組件 　→NetMeeting 　→禁用遠(yuǎn)程桌面共享 →右鍵→在單選按鈕中選擇啟用(E) →確定。 　⑩限制用戶 執(zhí)行 Windows 安裝程序， 防止用戶 在系統(tǒng)上安裝軟件。 　方法同（ 9）。 　○11 刪除 C: \WINDOWS\WEB\printers 目 錄， 避免溢出攻擊（ 此目 錄的存在會造成 IIS 里加入一個. printers 的擴(kuò)展名 ， 可溢出攻擊）。 　 ○12 刪除 C: \WINDOWS\system32\inetsrv\iisadmpwd， 此目 錄在管理 IIS 密碼時使用（ 如因密碼不同步造成 500 錯誤時使用 OWA 或 Iisadmpwd 修改同步密碼），當(dāng)把賬戶 策略 gt; 　密碼策略 gt; 　密碼最短使用期限 設(shè)為 0 天[即密碼不過期時， 可避免 IIS 密碼不同步問題。 　這里就可刪掉此目 錄。 　 ○13 修改注冊表防止小規(guī)模 DDOS 攻擊。 　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 DWORD 值名 為 SynAttackProtect 數(shù)值為1 　○14 本地策略→安全選項： 　 將清除虛擬內(nèi)存頁面文件 、 不顯示上次的用戶 名 、 不需要按 CTRL+ALT+DEL、 不允許 SAM 賬戶 的匿名 枚舉、 不允許 SAM 賬戶 和共享的匿名 枚舉、 均更改為已啟用 ； 重命名 來賓賬戶 　更改成一個復(fù)雜的賬戶 名 ； 重命名 系統(tǒng)管理員 賬號， 更改一個自 己用的賬號， 同時建立一個無用戶 組的 Administrat 賬戶 。 　2IIS 安全策略應(yīng)用 　 ①不使用默認(rèn)的 WEB 站點， 將 IIS 目 錄與系統(tǒng)磁盤分開。 　 將網(wǎng)站內(nèi)容移動到非系統(tǒng)驅(qū)動器， 不使用默認(rèn)的 \Inetpub\Wwwroot 目 錄， 以減輕目 錄遍歷攻擊（ 這種攻擊試圖瀏覽 WEB 服務(wù)器的目 錄結(jié)構(gòu)） 　帶來的危險（ 一定要驗證所有的虛擬目 錄是否均指向目 標(biāo)驅(qū)動器）。 　 ②刪除 IIS 默認(rèn)創(chuàng)建的 Inetpub 目 錄(在系統(tǒng)磁盤上) 并配置網(wǎng)站訪問權(quán)限。 　為WEB 服務(wù)器配置站點、 目 錄和文件的訪問權(quán)限。 　 ③刪除系統(tǒng)盤下的虛擬目 錄： 　vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。 　 ④刪除不必要的 IIS 擴(kuò)展名 映射。 　delshare. bat并 保 存 到 系 統(tǒng) 所 在 文 件 夾 下 的 　 右鍵單擊默認(rèn) WEB 站點→屬性→主目 錄→配置， 打開應(yīng)用程序窗口 ， 去掉不必要的應(yīng)用程序映射， 主要為 shtml、 shtm、 stm。 　 ⑤更改 IIS 日 志的路徑。 　右鍵單擊默認(rèn) WEB 站點→屬性→網(wǎng)站→在啟用日 志記錄下→點擊屬性更改設(shè)置。 　 ⑥只選擇網(wǎng)站和 WEB 應(yīng)用程序正確運行所必需的服務(wù)和子組件。 　開始→控制面板→ 　添加或刪除程序→ 添加/刪除 Windows 組件→應(yīng)用程序服務(wù)器→ 詳細(xì)信息→ 　Internet 信息服務(wù) (IIS) 　→ 詳細(xì)信息→然后通過選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框， 來選擇或取消相應(yīng)的 IIS 組件和服務(wù)。 　IIS 子組件和服務(wù)的推薦設(shè)置： 　禁用： 　后臺智能傳輸服務(wù) (BITS) 　服務(wù)器擴(kuò)展、 FTP 服務(wù)、 FrontPage 2023 Server Extensions、 Internet 打印、 NNTP 服務(wù)。 　啟用： 　公用文件、 Internet 信息服務(wù)管理器、 萬維網(wǎng)服務(wù)。 　 ⑦刪除未使用的帳戶 ， 設(shè)置強(qiáng)密碼， 使用以最低特權(quán)的帳戶 。 　避免攻擊者通過使用以高級特權(quán)運行的帳戶 來獲取未經(jīng)授權(quán)的資源訪問權(quán)。 　限制對服務(wù)器的匿名 連接， 確保禁用來賓帳戶 ； 重命名 管理員 帳戶 并分配一個強(qiáng)密碼以增強(qiáng)安全性。 　重命名 　IUSR 帳戶 。 　 在 IIS 元數(shù)據(jù)庫中更改 IUSR 帳戶 的值： 　管理工具 →Internet 信息服務(wù) (IIS) 　管理器 　→右鍵單擊本地計算機(jī) →屬性 →選中允許直接編輯配置數(shù)據(jù)庫 復(fù)選框→確定 → 瀏覽至 MetaBase. xml 文件的位置， 默認(rèn)情況下為 C: \Windows\system32\inetsrv → 右鍵單擊 MetaBase. xml 文件→ 編輯 　→ 搜索AnonymousUserName 屬性， →鍵入 IUSR 帳戶 的新名 稱→在文件 菜單上→單擊退出 →單擊是。 　 ⑧使用應(yīng)用程序池來隔離應(yīng)用程序， 提高 WEB 服務(wù)器的可靠性和安全性。 　 創(chuàng)建應(yīng)用程序池： 　管理工具 →Internet 信息服務(wù) (IIS) 　管理器 　→本地計算機(jī)→右鍵單擊應(yīng)用程序池 →新建 →應(yīng)用程序池 →在應(yīng)用程序池 ID 框中 ， 為應(yīng)用 程序池鍵入一個新 ID→ 應(yīng)用 程序池設(shè)置 　→ Use default settings for the new application pool（ 使用新應(yīng)用程序池的默認(rèn)設(shè)置） 　→確定。 　將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池： 　管理工具→ Internet 信息服務(wù) (IIS) 　管理器 　→ 右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序→屬性 →主目 錄、虛擬目 錄 或目 錄 選項卡， 如果將目 錄或虛擬目 錄分配到應(yīng)用程序池， 則驗證應(yīng)用程序名 框是否包含正確的網(wǎng)站或應(yīng)用程序名 稱，（ 如果在應(yīng)用程序名 框中沒有名 稱， 則單擊創(chuàng)建， 然后鍵入網(wǎng)站或應(yīng)用程序的名 稱）→應(yīng)用程序池 列表框→單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名 稱→確定。 　經(jīng)過以上設(shè)置， 　IIS 安全性有了 很大的提升， 但一些不法攻擊者會不斷尋找新漏洞來攻擊 WEB 服務(wù)系統(tǒng)， 所以我們一定要養(yǎng)成及時修補(bǔ)系統(tǒng)漏洞的習(xí)慣， 并不斷提高管理人員 的網(wǎng)絡(luò)技術(shù)水平， 確保企業(yè) WEB 服務(wù)器有一個安全、 穩(wěn)定、 高效的運行環(huán)境。 　參考文獻(xiàn)： 　[1] 王淑江, 劉曉輝, 張奎亭. 　WindowsServer2023 系統(tǒng)安全管理[M] . 北京: 電子工業(yè)出版社, 　2023. 　[2] 托洛斯. iis6 管理指南[M] . 北京: 清華大學(xué)出版社, 2023. 　[3] 李新, 李成友. 基于 Windows 系統(tǒng)的 Web 服務(wù)器安全研究與實踐[J] . 教育信息化, 2023, (4) . 　[4] 馬琰. 如何提高個人 Web 服務(wù)器的安全性[J] . 職業(yè)圈, 2023, (9) . 　[5] 王遠(yuǎn)哲. 細(xì)說高校 WEB 服務(wù)器安全[J] . 電腦知識與技術(shù), 2023, (9) . 　[6] 田巍. 四川航空股份有限公司 網(wǎng)絡(luò)安全方案可行性分析和規(guī)劃[M] . 北京: 電子科技大學(xué), 2023