WEB服務(wù)器平安自查報(bào)告 一、操作系統(tǒng)平安配置報(bào)告 1、停掉Guest 帳號(hào) 在計(jì)算機(jī)管理的用戶里面把guest帳號(hào)停用掉，任何時(shí)候都不允許guest帳號(hào)登陸系統(tǒng)。 2、限制不必要的用戶數(shù)量 去掉全部的測(cè)試用帳戶、 共享帳號(hào)、一般部門(mén)帳號(hào)等等不必要賬號(hào)。用戶組策略設(shè)置相應(yīng)權(quán)限，并且常常檢查系統(tǒng)的帳戶，刪除已經(jīng)不運(yùn)用的帳戶。 3、創(chuàng)建2個(gè)管理員用帳號(hào) 創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來(lái)處理一些日常事物，另一個(gè)擁有Administrators 權(quán)限的帳戶只在須要的時(shí)候運(yùn)用。 4、把系統(tǒng)administrator帳號(hào)改名 Windows 2023的administrator帳號(hào)是不能被停用的，這意味著別人可以一遍又一遍的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。 5、把共享文件的權(quán)限從”everyone”組改成“授權(quán)用戶” “everyone” 在Win 2023中任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成“everyone”組。 6、運(yùn)用平安密碼 應(yīng)當(dāng)要求用戶首次登陸的時(shí)候更改成困難的密碼，還要留意常常更改密碼。 7、運(yùn)用NTFS格式分區(qū) 把服務(wù)器的全部分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)平安得多。 8、保障備份盤(pán)的平安 系統(tǒng)資料被破壞，備份盤(pán)將是你復(fù)原資料的唯一途徑。備份完資料確認(rèn)無(wú)誤后，把備份盤(pán)放在平安的地方。 9、關(guān)閉不必要的服務(wù) Windows 2023的Terminal Services（終端服務(wù)） 、和RAS都可能系統(tǒng)帶來(lái)平安漏洞。為了能夠在遠(yuǎn)程便利的管理服務(wù)器，許多機(jī)器的終端服務(wù)都是開(kāi)著的，假如須要開(kāi)此服務(wù)，肯定要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式靜靜的運(yùn)行。 10、關(guān)閉不必要的端口 關(guān)閉端口意味著削減功能，因此在平安和功能上面須要作一點(diǎn)決策。假如服務(wù)器安裝在防火墻的后面，冒險(xiǎn)就會(huì)少些，但是，恒久不要認(rèn)為可以就此高枕無(wú)憂了。 11、打開(kāi)審核策略 開(kāi)啟平安審核是Win 2023最基本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)你的系統(tǒng)進(jìn)行某些方式（如嘗試用戶密碼,變更帳戶策略，未經(jīng)許可的文件訪問(wèn)等等）入侵的時(shí)候，都會(huì)被平安審核記錄下來(lái)。 12、設(shè)定平安記錄的訪問(wèn)權(quán)限 平安記錄在默認(rèn)狀況下是沒(méi)有愛(ài)護(hù)的，把他設(shè)置成只有Administrator和系統(tǒng)帳戶才有權(quán)訪問(wèn)。 13、不讓系統(tǒng)顯示上次登陸的用戶名 默認(rèn)狀況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶名。 14、到微軟網(wǎng)站下載最新的補(bǔ)丁程序 常常訪問(wèn)微軟和一些平安站點(diǎn)，下載最新的service pack和漏洞補(bǔ)丁，是保障服務(wù)器許久平安的唯一方法。 15、關(guān)閉默認(rèn)共享 Win 2023安裝好以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，要禁止這些共享，打開(kāi) 管理工具>計(jì)算機(jī)管理>共享文件夾>共享 在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可。 16、清除temp文件夾 一些應(yīng)用程序在安裝和升級(jí)的時(shí)候，會(huì)把一些東西拷貝到temp文件夾，但是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候，它們并不會(huì)自己清除temp文件夾的內(nèi)容。 17、關(guān)機(jī)時(shí)清除掉頁(yè)面文件 頁(yè)面文件就是調(diào)度文件，是Win 2023用來(lái)存儲(chǔ)沒(méi)有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。一些第三方的程序可以把一些沒(méi)有加密的密碼存在內(nèi)存中，頁(yè)面文件中也可能含有另外一些敏感的資料。 二、IIS平安配置報(bào)告 1、僅安裝必要的 IIS 組件。（禁用不須要的如FTP 和 SMTP 服務(wù)）。 2、僅啟用必要的服務(wù)和 Web Service 擴(kuò)展，舉薦配置: UI 中的組件名稱 設(shè)置 設(shè)置邏輯 后臺(tái)智能傳輸服務(wù) (BITS) 服務(wù)器擴(kuò)展 啟用 BITS 是 Windows Updates 和“自動(dòng)更新”所運(yùn)用的后臺(tái)文件傳輸機(jī)制。假如運(yùn)用 Windows Updates 或“自動(dòng)更新”在 IIS 服務(wù)器中自動(dòng)應(yīng)用 Service Pack 和熱修補(bǔ)程序，則必需有該組件。 公用文件 啟用 IIS 須要這些文件，肯定要在 IIS 服務(wù)器中啟用它們。 文件傳輸協(xié)議 (FTP) 服務(wù) 禁用 允許 IIS 服務(wù)器供應(yīng) FTP 服務(wù)。專用 IIS 服務(wù)器不須要該服務(wù)。 FrontPage 2023 Server Extensions 禁用 為管理和發(fā)布 Web 站點(diǎn)供應(yīng) FrontPage 支持。假如沒(méi)有運(yùn)用 FrontPage 擴(kuò)展的 Web 站點(diǎn)，請(qǐng)?jiān)趯Ｓ?IIS 服務(wù)器中禁用該組件。 Internet 信息服務(wù)管理器 啟用 IIS 的管理界面。 Internet 打印 禁用 供應(yīng)基于 Web 的打印機(jī)管理，允許通過(guò) HTTP 共享打印機(jī)。專用 IIS 服務(wù)器不須要該組件。 NNTP 服務(wù) 禁用 在 Internet 中分發(fā)、查詢、檢索和投遞 Usenet 新聞文章。專用 IIS 服務(wù)器不須要該組件。 SMTP 服務(wù) 禁用 支持傳輸電子郵件。專用 IIS 服務(wù)器不須要該組件。 萬(wàn)維網(wǎng)服務(wù) 啟用 為客戶端供應(yīng) Web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 IIS 服務(wù)器須要該組件。 3、萬(wàn)維網(wǎng)服務(wù)子組件 UI 中的組件名稱 安裝選項(xiàng) 設(shè)置邏輯 Active Server Page 啟用 供應(yīng) ASP 支持。假如 IIS 服務(wù)器中的 Web 站點(diǎn)和應(yīng)用程序都不運(yùn)用 ASP，請(qǐng)禁用該組件；或運(yùn)用 Web 服務(wù)擴(kuò)展禁用它。 Internet 數(shù)據(jù)連接器 禁用 通過(guò)擴(kuò)展名為 .idc 的文件供應(yīng)動(dòng)態(tài)內(nèi)容支持。假如 IIS 服務(wù)器中的 Web 站點(diǎn)和應(yīng)用程序都不包括 .idc 擴(kuò)展文件，請(qǐng)禁用該組件；或運(yùn)用 Web 服務(wù)擴(kuò)展禁用它。 遠(yuǎn)程管理 (HTML) 禁用 供應(yīng)管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更簡(jiǎn)潔，并削減了 IIS 服務(wù)器的攻擊面。專用 IIS 服務(wù)器不須要該功能。 遠(yuǎn)程桌面 Web 連接 禁用 包括了管理終端服務(wù)客戶端連接的 Microsoft ActiveX® 控件和范例頁(yè)面。改用 IIS 管理器可使管理更簡(jiǎn)潔，并削減了 IIS 服務(wù)器的攻擊面。專用 IIS 服務(wù)器不須要該組件。 服務(wù)器端包括 禁用 供應(yīng) .shtm、.shtml 和 .stm 文件的支持。假如在 IIS 服務(wù)器中運(yùn)行的 Web 站點(diǎn)和應(yīng)用程序都不運(yùn)用上述擴(kuò)展的包括文件，請(qǐng)禁用該組件。 WebDAV 禁用 WebDAV 擴(kuò)展了 HTTP/1.1 協(xié)議，允許客戶端發(fā)布、鎖定和管理 Web 中的資源。專用 IIS 服務(wù)器禁用該組件；或運(yùn)用 Web 服務(wù)擴(kuò)展禁用該組件。 萬(wàn)維網(wǎng)服務(wù) 啟用 為客戶端供應(yīng) Web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 IIS 服務(wù)器須要該組件 4、、 將IIS書(shū)目＆數(shù)據(jù)與系統(tǒng)磁盤(pán)分開(kāi)，保存在專用磁盤(pán)空間內(nèi)。 5、在IIS管理器中刪除必需之外的任何沒(méi)有用到的映射（保留asp等必要映射即可）。 6、Web站點(diǎn)權(quán)限設(shè)定 Web 站點(diǎn)權(quán)限： 授予的權(quán)限： 讀 允許 寫(xiě) 不允許 腳本源訪問(wèn) 不允許 書(shū)目閱讀 關(guān)閉 日志訪問(wèn) 關(guān)閉 索引資源 關(guān)閉 執(zhí)行 舉薦選擇 “僅限于腳本” 7、運(yùn)用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶代理，而且每天均要審查日志。（最好不要運(yùn)用缺省的書(shū)目，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問(wèn)權(quán)限，只允許管理員和system為Full Control）。 三、SQl2023平安配置報(bào)告 1、運(yùn)用平安的密碼策略 MS Sql Server在安裝完畢的時(shí)候，其sa的密碼默認(rèn)為空。馬上為sa帳號(hào)設(shè)置一個(gè)強(qiáng)壯的密碼；嚴(yán)禁把sa帳號(hào)和密碼寫(xiě)于應(yīng)用程序或者腳本中。 2、平安的帳號(hào)策略 給運(yùn)行SQL服務(wù)的用戶盡可能小的權(quán)限，最好不是LocalSystem或者Administrators；SQL Server采納混合身份認(rèn)證方式可肯定程度上避開(kāi)操作系統(tǒng)管理員來(lái)通過(guò)操作系統(tǒng)登陸來(lái)接觸數(shù)據(jù)庫(kù)；最好不要在數(shù)據(jù)庫(kù)應(yīng)用中運(yùn)用sa帳號(hào)，建議數(shù)據(jù)庫(kù)管理員新建一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來(lái)管理數(shù)據(jù)庫(kù)，并防止有管理員權(quán)限的帳號(hào)泛濫；依據(jù)實(shí)際須要安排帳號(hào)角色，并給予僅僅能夠滿意應(yīng)用要求和須要的權(quán)限。許多主機(jī)運(yùn)用數(shù)據(jù)庫(kù)應(yīng)用只是用來(lái)做查詢、修改等簡(jiǎn)潔功能的，如只要查詢功能的，那么就運(yùn)用一個(gè)簡(jiǎn)潔的public帳號(hào)能夠select就可以了。從數(shù)據(jù)庫(kù)中刪除全部guest用戶（master,tempdb除外），以及其他未授權(quán)用戶。 3、權(quán)限限制 設(shè)定準(zhǔn)確的擴(kuò)展存儲(chǔ)進(jìn)程權(quán)限； 設(shè)定master中的Extented Stored Procedure的權(quán)限； 設(shè)定statement 權(quán)限； 設(shè)定合適的組權(quán)限； 設(shè)定合適的用戶權(quán)限。 4、在實(shí)例屬性中選擇“平安性”，將審核級(jí)別選定為全部，這樣在數(shù)據(jù)庫(kù)系統(tǒng)和操作系統(tǒng)日志里面，就具體記錄了全部帳號(hào)的登錄事務(wù)。 定期查看SQL Server日志檢查是否有可疑的登錄事務(wù)發(fā)生，或者運(yùn)用DOS吩咐。 5、限制TCP/IP端口 a、修改默認(rèn)端口 可以通過(guò)修改默認(rèn)TCP/1433端口肯定程度上躲避了端口探測(cè)，但是，通過(guò)1434端口的UDP探測(cè)可以很簡(jiǎn)潔知道SQL Server運(yùn)用的什么TCP/IP端口。 b、隱藏服務(wù)器 通過(guò)在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實(shí)例。 c、啟用IP平安策略 在IPSec過(guò)濾拒絕掉1434端口的UDP通訊，達(dá)到隱藏SQL Server服務(wù)器。 6、數(shù)據(jù)庫(kù)備份策略 定期備份全部重要數(shù)據(jù)（包括備份事務(wù)日志），并把拷貝平安存放； 系統(tǒng)重要更新（如打補(bǔ)丁）前/后備份數(shù)據(jù)庫(kù)； 制定災(zāi)難復(fù)原安排、系統(tǒng)，并測(cè)試安排是否勝利復(fù)原業(yè)務(wù)正常運(yùn)行。 四、病毒防火墻平安配置報(bào)告 1、安裝和配置防病毒愛(ài)護(hù) 病毒防火墻（配置為至少每周自動(dòng)升級(jí)一次）。 2、清理惡意插件。 3、清理無(wú)用軟件。 4、修復(fù)系統(tǒng)漏洞。 5、查殺流行木馬。 6、關(guān)閉無(wú)用進(jìn)程/關(guān)閉無(wú)用啟動(dòng)項(xiàng)/關(guān)閉無(wú)用服務(wù)。