IIS与SQL服务器安全加固_WIN2003服务器维护_黑客防线网安服务器维护基地--Powered by WWW.RONGSEN.COM.CN

IIS与SQL服务器安全加固

作者:黑客防线网安linux教程网 来源:黑客防线网安linux教程网 浏览次数:0

本篇关键词:安全服务器SYSTEM默认
黑客防线网安网讯:IIS Web服务器安全加固步骤:步骤注意:安装和配置 WindowsServer2003。\System32\cmd.exe转移到其他目录或更名;文件类型建议的 NTFS 权限脚本文件 (.a)包含文件(.inc、.shtm、.shtml)静...
IIS Web服务器安全加固步骤: 步骤 注意: 安装和配置 Windows
Server
2003 \System32\cmd.exe转移到其他目录或更名; 文件类型 建议的 NTFS 权限 脚本文件 (.a)
包含文件(.inc、.shtm、.shtml)
静态内容(.txt、.gif、.jpg、.htm、.html) Administrators(完全控制)
System(完全控制) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmaerver\parameters
AutoShareServer、REG_DWORD、0x0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmaerver\parameters
AutoShareWks、REG_DWORD、0x0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2否则可能会造成你的一些服务无法启动SQL Server 账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义 与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟 控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WI——禁用TCP/IP上的NETBIOS 14. 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0) 安装和配置 IIS 服务:

UI 中的组件名称 设置 设置逻辑 FrontPage 2002 Server Exteio UI 中的组件名称 安装选项 设置逻辑 Active Server Page Internet 数据连接器 Web 站点权限: 授予的权限: 1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在A文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的A页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止A主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.a.bak文件泄露问题。 安全更新。 安装和配置防病毒保护。 安装和配置防火墙保护。 监视解决方案。 加强数据备份。 考虑实施 Iec 筛选器。 用 Iec 过滤器阻断端口 服务 协议 源端口 目标端口 源地址 目标地址 操作 镜像 SQL服务器安全加固 步骤 说明 MDAC 升级 http://www.microsoft.com/data/download.htm) 密码策略 Use master
Select name,Paword from syslogi where paword is null 数据库日志的记录 管理扩展存储过程 use master
_dropextendedproc 'xp_cmdshell'
如果你需要这个存储过程,请用这个语句也可以恢复过来。
_addextendedproc 'xp_cmdshell', 'xql70.dll' _OACreate _OADestroy _OAGetErrorInfo _OAGetProperty
_OAMethod _OASetProperty _OAStop 去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 防TCP/IP端口探测 请在上一步配置的基础上,更改原默认的1433端口。
在Iec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。 对网络连接进行IP限制

附:Win2003系统建议禁用服务列表

名 称 服务名 建议设置

DHCP Client

NTLM Security Suort Provider

Performance Logs and Alerts

Remote Administration Service

Remote Registry Service

Server

TCP/IP NetBIOS Helper Service

DHCP Client

NTLM Security Suort Provider

Windows Italler

Windows Management Itrumentation Driver Exteio

WMI Performance Adapter

    黑客防线网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-19301-1.html
网站维护教程更新时间:2012-12-08 13:54:27  【打印此页】  【关闭
我要申请本站N点 | 黑客防线官网 |  
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479

footer  footer  footer  footer