windows WEB 服务器安全策略

针对WEB服务器来说说安全策略的问题

环境：Windows 2003 ＋ IIS ＋ ASP.NET

1、Windows 2003 Server 操作系统本身的安全

（1）系统安装完毕，应该及时给系统打上各种补丁。在内网中安装WSUS服务器，通过WSUS软件自动扫描系统漏洞及安装相应的补丁。也可以对有安全需要的PC机也可以连接WSUS SERVER。

（2）不要安装多余的服务和协议。因为有的服务本身就存在漏洞，多余的协议也会占用系统资源，所以不妨把无用的服务和协议停止或关闭（例如FTP、POP3、STMP 等）。

（3）安装专业的防病毒软件和防火墙软件，事件日志要做好备份等工作。日志是系统安全策略的一个重要坏节，IIS带有日志功能，能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。

2、用户安全设置

（1）禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

（2）限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

（3）把系统Administrator账号改名

大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

（4）创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。

（5）把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

（6）开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 （该项为可选）

（7）不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。

3、做好优化可靠IIS 的安全配置：

（1）不要把网站安装在默认的C:\Inetpub\wwwroot\目录下。

主要原因有两个：一是C 盘是系统盘，很多因素都可能破坏系统，导致数据丢失等意外情况发生；二是如果选择默认安装，黑客很容易就能猜出安装的位置，并对网站实施攻击。可以安装在除系统盘外的其他分区，并删除默认建立的站点的虚拟目录，停止默认Web 站点，即删除对应的文件目录C:\Inetpub，配置所有站点的公共设置，设置好相关的连接数限制。

（2）在配置网站安全策略时，在IIS 站点配置时如果没有特殊要求，不要勾选“脚本资源访问”、“写入”、“目录浏览”这3 个选项。

不选“脚本资源访问”，能有效阻止客户端运行一些服务器端的程序；不选“写入”，可防止客户上传一些可执行文件；不选“目录浏览”，就能使客户端猜不出网站的路径结构。

同时，还要删除所有不必要的应用程序扩展，只保留如asp、aspx 等有用的应用程序扩展。

（3）对上传文件进行严格的控制，一般不允许可执行文件如exe、bat 等文件的上传。

其它对于安全的策略还有许多，但是最安全的策略是管理员的安全意识！！！