安全部署企業(yè)ＷＥＢ服務器

摘要:WEB服務器是Intranet(企業(yè)內部網)網站的核心，其中的數據資料非常重要，安全部署WEB服務器是企業(yè)面臨的一項重要工作，系統(tǒng)安裝、安全策略和IIS安全策略對企業(yè)WEB服務器安全、穩(wěn)定、高效地運行至關重要。文章首先對系統(tǒng)安裝、系統(tǒng)安全策略配置進行介紹，然后詳細分析了IIS安全策略應用。

關鍵詞:Intranet;安全策略;組策略

中圖分類號:TP368.5文獻標識碼:A文章編號:1006-8937(2009)14-0113-02

WEB服務器是企業(yè)網Intranet網站的核心，其中的數據資料非常重要，一旦遭到破壞將會給企業(yè)造成不可彌補的損失，管理好、使用好、保護好WEB服務器中的資源，是一項至關重要的工作。文章主要介紹WEB服務器安全策略方面的相關知識。

1系統(tǒng)安裝、系統(tǒng)安全策略配置

使用NTFS格式分區(qū)、設置不同的用戶訪問服務器的不同權限是搭建一臺安全WEB服務器的最低要求。

Windows 2003 安裝策略:

①系統(tǒng)安裝在單獨的邏輯驅動器并自定義安裝目錄;以“最小的權限+最少的服務=最大的安全”為基本理念，只安裝所必需的服務和協議，如DNS、DHCP，不需要的服務和協議一律不安裝;只保留TCP/IP 一項并禁用NETBOIS;安裝Windows2003最新補丁和防病毒軟件。

②關閉windows2003不必要的服務。

關閉Computer Browser 、Task scheduler 、Routing and Remote Access、Removable storage 、Remote Registry Service、Print Spooler、IPSEC Policy Agent 、Distributed Link Tracking Client、Com+ Event System 、Alerter、Error Reporting Service 、Messenger 、Telnet服務。

③設置磁盤訪問權限。

系統(tǒng)磁盤只賦予administrators和system權限，系統(tǒng)所在目錄(默認時為Windows)要加上users的默認權限，以保障ASP和ASPX等應用程序正常運行。其他磁盤可以此為參照，當某些第三方應用程序以服務形式啟動時，需加system用戶權限，否則啟動不成功。

④注冊表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，將DWORD值RestrictAnonymous的鍵值改為1，禁止 Windows 系統(tǒng)進行空連接。

⑤關閉不需要的端口、更改遠程連接端口。

本地連接→屬性→Internet協議(TCP/IP)→高級→選項→TCP/IP篩選→屬性→把勾打上，添加需要的端口(如: 21、80)。

更改遠程連接端口:開始→運行→輸入regedit查找3389:將HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\cp和HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp下的PortNumber=3389改為自寶義的端口號并重新啟動服務器。

⑥編寫批處理文件delshare.bat并在組策略中應用，以關閉默認共享的空連接。(以服務器有4個邏輯驅動器為例)

net share C$ /delete

net share D$ /delete

net share E$ /delete

net share F$ /delete

net share admin$ /delete

將以上內容寫入delshare.bat并保存到系統(tǒng)所在文件夾下的system32\\GroupPolicy\\User\\Scripts\\Logon目錄下。運行gpedit.msc組策略編輯器，用戶配置→Windows設置→腳本(登錄/注銷)→登錄→“登錄 屬性”→“添加”→“添加腳本”對話框的“腳本名”欄中輸入delshare.bat→“確定”按鈕→重新啟動服務器，即可自動關閉系統(tǒng)的默認隱藏共享，將系統(tǒng)安全隱患降至最低。

⑦限制匿名訪問本機用戶。 “開始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項”→雙擊“對匿名連接的額外限制”→在下拉菜單中選擇“不允許枚舉SAM帳號和共享”→“確定”。

⑧限制遠程用戶對光驅或軟驅的訪問 。 “開始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項”→雙擊“只有本地登錄用戶才能訪問軟盤”→在單選按鈕中選擇“已啟用(E)” → “確定”。

⑨限制遠程用戶對NetMeeting的共享，禁用NetMeeting遠程桌面共享功能。 運行“gpedit.msc” →“計算機配置”→“管理模板”→“Windows組件” →“NetMeeting” →“禁用遠程桌面共享”→右鍵→在單選按鈕中選擇“啟用(E)”→“確定”。

{10}限制用戶執(zhí)行Windows安裝程序，防止用戶在系統(tǒng)上安裝軟件。方法同(9)。

{11}刪除C:\\WINDOWS\\WEB\\printers目錄，避免溢出攻擊(此目錄的存在會造成IIS里加入一個.printers的擴展名，可溢出攻擊)。

{12}刪除C:\\WINDOWS\\system32\\inetsrv\\iisadmpwd，此目錄在管理IIS密碼時使用(如因密碼不同步造成500 錯誤時使用OWA或Iisadmpwd 修改同步密碼)，當把賬戶策略 > 密碼策略 > 密碼最短使用期限 設為0天(即密碼不過期時，可避免IIS密碼不同步問題)。這里就可刪掉此目錄。

{13}修改注冊表防止小規(guī)模DDOS攻擊。

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters新建“DWORD值”名為 “SynAttackProtect”數值為“1”

{14}本地策略→安全選項。

將清除虛擬內存頁面文件 、不顯示上次的用戶名、不需要按CTRL+ALT+DEL、不允許 SAM 賬戶的匿名枚舉、不允許 SAM 賬戶和共享的匿名枚舉、均更改為“已啟用” ;重命名來賓賬戶 更改成一個復雜的賬戶名;重命名系統(tǒng)管理員賬號，更改一個自己用的賬號，同時建立一個無用戶組的Administrat賬戶。

2IIS安全策略應用

①不使用默認的WEB站點，將IIS目錄與系統(tǒng)磁盤分開。

將網站內容移動到非系統(tǒng)驅動器，不使用默認的 \\Inetpub\\Wwwroot 目錄，以減輕目錄遍歷攻擊(這種攻擊試圖瀏覽 WEB 服務器的目錄結構)帶來的危險(一定要驗證所有的虛擬目錄是否均指向目標驅動器)。

②刪除IIS默認創(chuàng)建的Inetpub目錄(在系統(tǒng)磁盤上)并配置網站訪問權限。為WEB 服務器配置站點、目錄和文件的訪問權限。

③刪除系統(tǒng)盤下的虛擬目錄:vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

④刪除不必要的IIS擴展名映射。

右鍵單擊“默認WEB站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映射，主要為shtml、shtm、stm。

⑤更改IIS日志的路徑。

右鍵單擊“默認WEB站點→屬性→網站→在啟用日志記錄下→點擊屬性更改設置。

⑥只選擇網站和 WEB 應用程序正確運行所必需的服務和子組件。開始→控制面板→ 添加或刪除程序→添加/刪除 Windows 組件→應用程序服務器→詳細信息→ Internet 信息服務 (IIS) →詳細信息→然后通過選擇或清除相應組件或服務的復選框，來選擇或取消相應的 IIS 組件和服務。 IIS 子組件和服務的推薦設置:禁用:后臺智能傳輸服務 (BITS) 服務器擴展、FTP 服務、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服務。啟用:公用文件、Internet 信息服務管理器、萬維網服務。

⑦刪除未使用的帳戶，設置強密碼，使用以最低特權的帳戶。避免攻擊者通過使用以高級特權運行的帳戶來獲取未經授權的資源訪問權。 限制對服務器的匿名連接，確保禁用來賓帳戶;重命名管理員帳戶并分配一個強密碼以增強安全性。重命名 IUSR 帳戶。

在 IIS 元數據庫中更改 IUSR 帳戶的值: “管理工具”→“Internet 信息服務 (IIS) 管理器” →右鍵單擊“本地計算機”→“屬性”→選中“允許直接編輯配置數據庫”復選框→“確定”→ 瀏覽至 MetaBase.xml 文件的位置，默認情況下為 C:\\Windows\\system32\\inetsrv →右鍵單擊 MetaBase.xml 文件→“編輯” → 搜索“AnonymousUserName”屬性，→鍵入 IUSR 帳戶的新名稱→在“文件”菜單上→單擊“退出”→單擊“是”。

⑧使用應用程序池來隔離應用程序，提高 WEB 服務器的可靠性和安全性。

創(chuàng)建應用程序池: “管理工具”→“Internet 信息服務 (IIS) 管理器” →本地計算機→右鍵單擊“應用程序池”→“新建”→“應用程序池”→在“應用程序池 ID”框中，為應用程序池鍵入一個新 ID→“應用程序池設置” →“Use default settings for the new application pool”(使用新應用程序池的默認設置)→“確定”。

將網站或應用程序分配到應用程序池: “管理工具”→“Internet 信息服務(IIS) 管理器” → 右鍵單擊您想要分配到應用程序池的網站或應用程序→“屬性”→“主目錄”、“虛擬目錄”或“目錄”選項卡，如果將目錄或虛擬目錄分配到應用程序池，則驗證“應用程序名”框是否包含正確的網站或應用程序名稱，(如果在“應用程序名”框中沒有名稱，則單擊“創(chuàng)建”，然后鍵入網站或應用程序的名稱)→“應用程序池”列表框→單擊您想要分配網站或應用程序的應用程序池的名稱→“確定”。

經過以上設置， IIS安全性有了很大的提升，但一些不法攻擊者會不斷尋找新漏洞來攻擊WEB服務系統(tǒng)，所以我們一定要養(yǎng)成及時修補系統(tǒng)漏洞的習慣，并不斷提高管理人員的網絡技術水平，確保企業(yè)WEB服務器有一個安全、穩(wěn)定、高效的運行環(huán)境。

參考文獻:

[1] 王淑江，劉曉輝，張奎亭. WindowsServer2003系統(tǒng)安全管理[M].北京:電子工業(yè)出版社，2009.

[2] 托洛斯.IIS6管理指南[M].北京:清華大學出版社，2005.

[3] 李新，李成友.基于Windows系統(tǒng)的Web服務器安全研究與實踐[J].教育信息化，2006，(4).

[4] 馬琰.如何提高個人Web服務器的安全性[J].職業(yè)圈，2007，(9).

[5] 王遠哲.細說高校WEB服務器安全[J].電腦知識與技術，2008，(9).

[6] 田巍.四川航空股份有限公司網絡安全方案可行性分析和規(guī)劃[M].北京:電子科技大學，2005.