我們通過以下幾個方面對您的系統進行安全加固:
1. 系統的安全加固:我們通過配置目錄權限,系統安全策略,協議棧加強,系統服務和訪問控制加固您的系統,整體提高服務器的安全性。
2. IIS手工加固:手工加固iis可以有效的提高iweb站點的安全性,合理分配用戶權限,配置相應的安全策略,有效的防止iis用戶溢出提權。
3. 系統應用程序加固,提供應用程序的安全性,例如sql的安全配置以及服務器應用軟件的安全加固。
系統的安全加固:
1.目錄權限的配置:
1.1 除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權,之後再對其下的子目錄作單獨的目錄權限,如果WEB站點目錄,妳要為其目錄權限分配壹個與之對應的匿名訪問帳號並賦予它有修改權限,如果想使網站更加堅固,可以分配只讀權限並對特殊的目錄作可寫權限。
1.2 系統所在分區下的根目錄都要設置為不繼承父權限,之後為該分區只賦予Administrators和SYSTEM有完全控制權。
1.3 因為服務器只有管理員有本地登錄權限,所在要配置Documents and Settings這個目錄權限只保留Administrators和SYSTEM有完全控制權,其下的子目錄同樣。另外還有壹個隱藏目錄也需要同樣操作。因為如果妳安裝有PCAnyWhere那麽他的的配置信息都保存在其下,使用webshell或FSO可以輕松的調取這個配置文件。
1.4 配置Program files目錄,為Common Files目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權。
1.5 配置Windows目錄,其實這壹塊主要是根據自身的情況如果使用默認的安全設置也是可行的,不過還是應該進入SYSTEM32目錄下,將 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll這些殺手鐧程序賦予匿名帳號拒絕訪問。
1.6審核MetBase.bin,C:WINNTsystem32inetsrv目錄只有administrator只允許Administrator用戶讀寫。
2.組策略配置:
在用戶權利指派下,從通過網絡訪問此計算機中刪除Power Users和Backup Operators;
啟用不允許匿名訪問SAM帳號和***享;
啟用不允許為網絡驗證存儲憑據或Passport;
從文件***享中刪除允許匿名登錄的DFS$和COMCFG;
啟用交互登錄:不顯示上次的用戶名;
啟用在下壹次密碼變更時不存儲LANMAN哈希值;
禁止IIS匿名用戶在本地登錄;
3.本地安全策略設置:
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問失敗
審核過程跟蹤 無審核
審核目錄服務訪問失敗
審核特權使用失敗
審核系統事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
註:在設置審核登陸事件時選擇記失敗,這樣在事件查看器裏的安全日誌就會記錄登陸失敗的信息。