給WIN2003 IIS SQL服務(wù)器安全加固
1. 將<systemroot>System32cmd.exe轉(zhuǎn)移到其他目錄或更名;
2. 系統(tǒng)帳號盡量少,更改默認帳戶名(如Administrator)和描述,密碼盡量復(fù)雜;
3. 拒絕通過網(wǎng)絡(luò)訪問該計算機(匿名登錄;內(nèi)置管理員帳戶;Support_388945a0;Guest;所有非操作系統(tǒng)服務(wù)帳戶)
4. 建議對一般用戶只給予讀取權(quán)限,而只給管理員和System以完全控制權(quán)限,但這樣做有可能使某些正常的腳本程序不能執(zhí)行,或者某些需要寫的操作不能完成,這時需要對這些文件所在的文件夾權(quán)限進行更改,建議在做更改前先在測試機器上作測試,然后慎重更改。
5. NTFS文件權(quán)限設(shè)定(注意文件的權(quán)限優(yōu)先級別比文件夾的權(quán)限高):
文件類型
CGI 文件(.exe、.dll、.cmd、.pl)
腳本文件 (.asp)
包含文件(.inc、.shtm、.shtml)
靜態(tài)內(nèi)容(.txt、.gif、.jpg、.htm、.html)
建議的 NTFS 權(quán)限
Everyone(執(zhí)行)
Administrators(完全控制)
System(完全控制)
6. 禁止C$、D$一類的缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareServer、REG_DWORD、0x0
7. 禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
AutoShareWks、REG_DWORD、0x0
8. 限制IPC$缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2,否則可能會造成你的一些服務(wù)無法啟動,如SQL Server
9. 僅給用戶真正需要的權(quán)限,權(quán)限的最小化原則是安全的重要保障
10. 在本地安全策略->審核策略中打開相應(yīng)的審核,推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問 失敗
賬戶登錄事件 成功 失敗
審核項目少的缺點是萬一你想看發(fā)現(xiàn)沒有記錄那就一點都沒轍;審核項目太多不僅會占用系統(tǒng)資源而且會導(dǎo)致你根本沒空去看,這樣就失去了審核的意義。 與之相關(guān)的是:
在賬戶策略->密碼策略中設(shè)定:
密碼復(fù)雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設(shè)定:
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復(fù)位鎖定計數(shù) 20分鐘
11. 在Terminal Service Configration(遠程服務(wù)配置)-權(quán)限-高級中配置安全審核,一般來說只要記錄登錄、注銷事件就可以了。
12. 解除NetBios與TCP/IP協(xié)議的綁定
控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用 2000:控制面版——網(wǎng)絡(luò)和撥號連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS
13. 在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選,僅開放必要的端口(如80)
14. 通過更改注冊表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止139空連接
15. 修改數(shù)據(jù)包的生存時間(TTL)值
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)
16. 防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
SynAttackProtect REG_DWORD 0x2(默認值為0x0)
17. 禁止響應(yīng)ICMP路由通告報文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
PerformRouterDiscovery REG_DWORD 0x0(默認值為0x2)
18. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
EnableICMPRedirects REG_DWORD 0x0(默認值為0x1)
19. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
IGMPLevel REG_DWORD 0x0(默認值為0x2)
20. 設(shè)置arp緩存老化時間設(shè)置
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認值為120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認值為600)
21. 禁止死網(wǎng)關(guān)監(jiān)測技術(shù)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1)
22. 不支持路由功能
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters
IPEnableRouter REG_DWORD 0x0(默認值為0x0)
安裝和配置 IIS 服務(wù):
1. 僅安裝必要的 IIS 組件。(禁用不需要的如FTP 和 SMTP 服務(wù))
2. 僅啟用必要的服務(wù)和 Web Service 擴展,推薦配置:
UI 中的組件名稱
設(shè)置
設(shè)置邏輯
后臺智能傳輸服務(wù) (BITS) 服務(wù)器擴展
啟用
BITS 是 Windows updates 和'自動更新'所使用的后臺文件傳輸機制。如果使用 Windows updates 或'自動更新'在 IIS 服務(wù)器中自動應(yīng)用 Service Pack 和熱修補程序,則必須有該組件。
公用文件
啟用
IIS 需要這些文件,一定要在 IIS 服務(wù)器中啟用它們。
文件傳輸協(xié)議 (FTP) 服務(wù)
禁用
允許 IIS 服務(wù)器提供 FTP 服務(wù)。專用 IIS 服務(wù)器不需要該服務(wù)。
FrontPage 2002 Server Extensions
禁用
為管理和發(fā)布 Web 站點提供 FrontPage 支持。如果沒有使用 FrontPage 擴展的 Web 站點,請在專用 IIS 服務(wù)器中禁用該組件。
Internet 信息服務(wù)管理器
啟用
IIS 的管理界面。
Internet 打印
禁用
提供基于 Web 的打印機管理,允許通過 HTTP 共享打印機。專用 IIS 服務(wù)器不需要該組件。
NNTP 服務(wù)
禁用
在 Internet 中分發(fā)、查詢、檢索和投遞 Usenet 新聞文章。專用 IIS 服務(wù)器不需要該組件。
SMTP 服務(wù)
禁用
支持傳輸電子郵件。專用 IIS 服務(wù)器不需要該組件。
萬維網(wǎng)服務(wù)
啟用
為客戶端提供 Web 服務(wù)、靜態(tài)和動態(tài)內(nèi)容。專用 IIS 服務(wù)器需要該組件。
萬維網(wǎng)服務(wù)子組件
UI 中的組件名稱
安裝選項
設(shè)置邏輯
Active Server Page
啟用
提供 ASP 支持。如果 IIS 服務(wù)器中的 Web 站點和應(yīng)用程序都不使用 ASP,請禁用該組件;或使用 Web 服務(wù)擴展禁用它。
Internet 數(shù)據(jù)連接器
禁用
通過擴展名為 .idc 的文件提供動態(tài)內(nèi)容支持。如果 IIS 服務(wù)器中的 Web 站點和應(yīng)用程序都不包括 .idc 擴展文件,請禁用該組件;或使用 Web 服務(wù)擴展禁用它。
遠程管理 (HTML)
禁用
提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易,并減少了 IIS 服務(wù)器的攻擊面。專用 IIS 服務(wù)器不需要該功能。
遠程桌面 Web 連接
禁用
包括了管理終端服務(wù)客戶端連接的 Microsoft ActiveX? 控件和范例頁面。改用 IIS 管理器可使管理更容易,并減少了 IIS 服務(wù)器的攻擊面。專用 IIS 服務(wù)器不需要該組件。
服務(wù)器端包括
禁用
提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服務(wù)器中運行的 Web 站點和應(yīng)用程序都不使用上述擴展的包括文件,請禁用該組件。
WebDAV
禁用
WebDAV 擴展了 HTTP/1.1 協(xié)議,允許客戶端發(fā)布、鎖定和管理 Web 中的資源。專用 IIS 服務(wù)器禁用該組件;或使用 Web 服務(wù)擴展禁用該組件。
萬維網(wǎng)服務(wù)
啟用
為客戶端提供 Web 服務(wù)、靜態(tài)和動態(tài)內(nèi)容。專用 IIS 服務(wù)器需要該組件
3. 將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開,保存在專用磁盤空間內(nèi)。
4. 在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)
5. 在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件
6. Web站點權(quán)限設(shè)定(建議)
Web 站點權(quán)限:
授予的權(quán)限:
讀
允許
寫
不允許
腳本源訪問
不允許
目錄瀏覽
建議關(guān)閉
日志訪問
建議關(guān)閉
索引資源
建議關(guān)閉
執(zhí)行
推薦選擇 '僅限于腳本'
7. 建議使用W3C擴充日志文件格式,每天記錄客戶IP地址,用戶名,服務(wù)器端口,方法,URI字根,HTTP狀態(tài),用戶代理,而且每天均要審查日志。(最好不要使用缺省的目錄,建議更換一個記日志的路徑,同時設(shè)置日志的訪問權(quán)限,只允許管理員和system為Full Control)。
8. 程序安全:
1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少的在ASP文件里出現(xiàn),涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;
2) 需要經(jīng)過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉(zhuǎn)進來的會話才能讀取這個頁面。
3) 防止ASP主頁.inc文件泄露問題;
4) 防止UE等編輯器生成some.asp.bak文件泄露問題。
安全更新
應(yīng)用所需的所有 Service Pack 和 定期手動更新補丁。
安裝和配置防病毒保護
推薦NAV 8.1以上版本病毒防火墻(配置為至少每周自動升級一次)。
安裝和配置防火墻保護
推薦最新版BlackICE Server Protection防火墻(配置簡單,比較實用)
監(jiān)視解決方案
根據(jù)要求安裝和配置 MOM代理或類似的監(jiān)視解決方案。
加強數(shù)據(jù)備份
Web數(shù)據(jù)定時做備份,保證在出現(xiàn)問題后可以恢復(fù)到最近的狀態(tài)。
考慮實施 IPSec 篩選器
用 IPSec 過濾器阻斷端口
Internet 協(xié)議安全性 (IPSec) 過濾器可為增強服務(wù)器所需要的安全級別提供有效的方法。本指南推薦在指南中定義的高安全性環(huán)境中使用該選項,以便進一步減少服務(wù)器的受攻擊面。
有關(guān)使用 IPSec 過濾器的詳細信息,請參閱模塊其他成員服務(wù)器強化過程。
下表列出在本指南定義的高級安全性環(huán)境下可在 IIS 服務(wù)器上創(chuàng)建的所有 IPSec 過濾器。
服務(wù)
協(xié)議
源端口
目標端口
源地址
目標地址
操作
鏡像
Terminal Services
TCP
所有
3389
所有
ME
允許
是
HTTP Server
TCP
所有
80
所有
ME
允許
是
HTTPS Server
TCP
所有
443
所有
ME
允許
是
在實施上表所列舉的規(guī)則時,應(yīng)當對它們都進行鏡像處理。這樣可以確保任何進入服務(wù)器的網(wǎng)絡(luò)通信也可以返回到源服務(wù)器。
SQL服務(wù)器安全加固
步驟
說明
MDAC 升級
安裝最新的MDAC(http://www.microsoft.com/data/download.htm)
密碼策略
由于SQL Server不能更改sa用戶名稱,也不能刪除這個超級用戶,所以,我們必須對這個帳號進行最強的保護,當然,包括使用一個非常強壯的密碼,最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號。新建立一個擁有與sa一樣權(quán)限的超級用戶來管理數(shù)據(jù)庫。同時養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號。比如使用下面的SQL語句:
Use master
select name,Password from syslogins where password is null
數(shù)據(jù)庫日志的記錄
核數(shù)據(jù)庫登錄事件的'失敗和成功',在實例屬性中選擇'安全性',將其中的審核級別選定為全部,這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面,就詳細記錄了所有帳號的登錄事件。
管理擴展存儲過程
xp_cmdshell是進入操作系統(tǒng)的最佳捷徑,是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。請把它去掉。使用這個SQL語句:
use master
sp_dropextendedproc ’xp_cmdshell’
如果你需要這個存儲過程,請用這個語句也可以恢復(fù)過來。
sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’
OLE自動存儲過程(會造成管理器中的某些特征不能使用),這些過程包括如下(不需要可以全部去掉:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問的存儲過程,注冊表存儲過程甚至能夠讀出操作系統(tǒng)管理員的密碼來,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
防TCP/IP端口探測
在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例。
請在上一步配置的基礎(chǔ)上,更改原默認的1433端口。
在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQL Server。
對網(wǎng)絡(luò)連接進行IP限制
使用操作系統(tǒng)自己的IPSec可以實現(xiàn)IP數(shù)據(jù)包的安全性。請對IP連接進行限制,保證只有自己的IP能夠訪問,拒絕其他IP進行的端口連接。
附:Win2003系統(tǒng)建議禁用服務(wù)列表
名 稱
服務(wù)名
建議設(shè)置
自動更新
wuauserv
禁用
Background Intelligent Transfer Service
BITS
禁用
Computer Browser
Browser
禁用
DHCP Client Dhcp
禁用
NTLM Security Support Provider NtLmSsp
禁用
Network Location Awareness
NLA
禁用
Performance Logs and Alerts SysmonLog
禁用
Remote Administration Service SrvcSurg
禁用
Remote Registry Service RemoteRegistry
禁用
Server lanmanserver
禁用
TCP/IP NetBIOS Helper Service LmHosts
禁用
DHCP Client Dhcp
禁用
NTLM Security Support Provider NtLmSsp
禁用
Terminal Services
TermService
禁用
Windows Installer MSIServer
禁用
Windows Management Instrumentation Driver Extensions Wmi
禁用
WMI Performance Adapter WMIApSrv
禁用
Error Reporting
ErrRep
禁用
網(wǎng)公網(wǎng)安備