WEB服务器安全配置说明文档
网络安全界有句名言:最少的服务加最小的权限等于最大的安全。
公司服务器配置情况如下:
67、68、69、70的服务器安装的系统是WIN2000 Advance Server版本,采用了IIS5.0作为虚拟主机系统,为保证系统的安全和数据的可靠,特将硬盘划分为系统盘与数据盘,WIN2000安装于系统盘上,数据库系统安装在数据盘上.
服务器上采取的安全防护措施如下:
1. 所有的分区都格式化成NTFS格式,保证对用户权限的控制.给予administrators 和system完全控制的权限,将系统默认的everyone的完全控制权限删除,根据不同用户再分别授予相应的权限。
2. 将硬盘空间分成系统分区(安装操作系统),网站分区(运行虚拟主机和客户网站,后台数据库的分区),备份分区(做数据与程序的备份存储用)。
3. 开启了事件审核功能,对用户登录,策略改动以及程序运行情况进行实时监控,保证在系统被破坏的情况下也能有案可查。
4. 对于后台数据库中的用户数据,在SQLSERVER中进行了设置,每天晚上会自动执行一次所有后台数据库数据的备份工作,即使当天客户的数据库被误删除了,也能找到前天晚上备份的所有数据,保证客户数据的安全可靠。
5. 对于前台网站,我们采用系统自带的备份功能,设置了每周的备份计划,将客户的网站在每周日进行一次完全备份.保证了客户网站的数据完整。
6. 在IIS安装时只安装了WEB服务,其余的FTP、SMTP、NNTP均未安装。
7. FTP服务器采用了Ser-U服务器程序,运行稳定且可靠,并升级到了最新的版本,禁止匿名用户的登陆,给每个用户分配了一个强健的密码,并设定了只能访问其自身的目录。
8. 操作系统安装好以后,及时打好了SP4和系统安全补丁,防止了病毒感染和黑客攻击的可能性,保证了系统的正常安全运行.在微软的漏洞被发现以后,及时升级系统,打好系统补丁。
9. 同时安装了微软自带的终端服务和SYMANTEC公司的pcanywhere远程控制软件,即使一个远程控制服务没能开启,也可以保证采用另一个远程登陆方式能连接上服务器。
10. 防病毒软件采用了SYMANTEC公司的norton防病毒软件,并每周按时升级后杀毒,保证了系统的无毒和安全。
11. 禁用了来宾用户帐号,对系统管理员帐号进行了重命名,最大限度地减少了系统被攻击的可能性。
12. 对系统的用户的密码进行了控制,管理员的密码采用了字母与数字以及特殊字符相结合的办法,防范暴力破解密码的可能性,保证服务器的安全。
13. 对于测试法破解密码的方法,采取了五次密码输错即锁定用户30分钟的做法,防止测试法试探密码。
14. 采用了网络漏洞扫描工具定期对服务器进行网络安全的检查和测试,发现安全漏洞后及时修补,防止安全问题的产生。
15. SQL Server 2000数据库安装以后即升级到SP3的版本,减少数据库漏洞的产生,防止了蠕虫病毒的感染和黑客的破坏。
16. 数据库中的SA超级用户采用了个强健的密码,并对每个用户使用的数据库制定了一个用户名和密码,并设定了相应的权限。每个用户只能对本数据库进行操作,有效地防止了跨库操作的发生.危及数据库安全。 杭州网通互联公司
网管 刘蔚
2004年7月14日
Win2000服务器网络安全设置
一、帐户安全管理
1.帐户要尽可能少,并且经常用一些扫描工具检查系统帐户,帐号权限及密码,删除已经不再使用的帐户
2.停用Guest帐号,并给Guest加一个复杂的密码。
3.把系统 Administrator帐号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。
4.不让系统显示上次登陆的用户名。
修改Win2000的本地安全策略
设置“本地安全策略-本地策略-选项”中的“登录屏幕上不要显示上次登陆的用户名”
二、网络服务安全管理
1.关闭不必要的服务
一些服务可能会给系统带来安全漏洞,如WIN2000的Terminal Services(终端服务),IIS和RAS(远程访问服务)等。
除非确有必要,关闭Task Scheduler,Telnet,Remote Registry Service,RunAs Service,Print Spooler等不必要的服务。
2.关闭不必要的端口
当服务器只提供较单一的功能时,可考虑只开放某些端口。
具体方法为:按顺序打开“网上邻居-属性-本地连接-属性-INTERNET协议(TCP/IP)属性-高级-选项-TCP/IP筛选-属性”,打开TCP/IP筛选,添加需要的TCP,UDP协议即可。
3.禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举帐号并猜测帐号。
修改WIN2000的本地安全策略
设置“本地安全策略-本地策略-选项”中的“匿名连接的额外限制”-为“不容许枚举帐号和共享”。
三、网络服务安全设置
1.打开策略审核功能,对一些重要的系统改动事件进行监控和记录。其中包括审核帐号管理,审核帐号登陆事件,审核策略更改,审核登陆事件,以便在被攻击和破坏后,能及时发现入侵者的痕迹,采取相应的补救措施。
2.服务管理器安全设置
1)更改服务主目录,右键单击“默认站点-属性-主目录-本地路径”,将本地路径指向其他目录。
2)删除原默认安装的目录以及其下的所有虚拟目录。
3)删除不必要的IIS扩展名映射。方法是:右键单击“默认站点-属性-主目录-配置”,打开应用程序窗口,去掉不必要的应用程序映射,如不用到其他映射,只保留.asp,.asa即可。
4)备份IIS配置。可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复IIS的安全配置。
四、数据文件安全管理
1.备份
要经常将重要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。
2.设置文件共享权限
设置共享文件时,注意将共享文件的权限从“everyone”组改成“授权用户”,包括打印共享。
系统盘必须要设置安全权限,将system和administrators用户组授予完全控制的权限。别的用户帐号全部删除。
用户盘的设置,将system和administrators用户组授予完全控制的权限。Everyone组授予“读取及运行,列出文件夹目录”权限即可。
3.关闭默认共享
2000安装好以后,系统会创建一些隐藏的共享,在可用命令查看他们,要禁止这些共享,方法是,打开“管理工具-计算机管理-共享文件夹-共享”在相应的共享文件夹上按右键,点“停止共享”即可,不过当机器重新启动后,这些共享又会重新开启。可做一个删除默认共享的脚本文件,在系统启动时自动加载即可。
4.防止文件名欺骗
设置一下选项可放置文件名欺骗,如防止以.txt或.exe为后缀的恶意文件被显示为,从而使人大意打开该文件,操作方法是:双击“我的电脑-工具-文件夹选项-查看”,选择“显示所有文件和文件夹”属性设置,去掉“隐藏已知文件类型扩展名”属性设置。
当前位置: 操作系统/服务器>linux
本页文章导读:
▪WEB服务器安全配置说明文档
WEB服务器安全配置说明文档 网络安全界有句名言:最少的服务加最小的权限等于最大的安全。 公司服务器配置情况如下: 67、68、69、70的服务器安装的系统是WIN2000 Advance Server版本,采用了II.........
▪Win2003架设WEB服务器与IIS的备份和移植
Windows下的WWW服务器以其架设方便、操作简单赢得了很多人的青睐,下面将以Windows Server 2003为例,介绍如何配置一个Web服务器。 一、架设Web服务器 默认安装的Windows Server 2003没.........
▪独立服务器win2003系统站点常见问题解答
问题1:未启用父路径 症状举例: Server.MapPath() 错误 ASP 0175 : 80004005 不允许的 Path 字符 /0709/dqyllhsub/news/OpenDatabase.asp,行 4 在 MapPath 的 Path 参数中不允许字符 ..。 原因分析.........
[1]WEB服务器安全配置说明文档
来源: 互联网 发布时间: 2013-12-24
[2]Win2003架设WEB服务器与IIS的备份和移植
来源: 互联网 发布时间: 2013-12-24
Windows下的WWW服务器以其架设方便、操作简单赢得了很多人的青睐,下面将以Windows Server
2003为例,介绍如何配置一个Web服务器。
一、架设Web服务器
默认安装的Windows Server 2003没有配置IIS服务,需要我们手工安装。进入控制面板,执行“添加
或删除程序→添加/删除 Windows 组件”进入Windows组件向导窗口,勾选“应用程序服务器→Internet
信息服务”,“确定”后返回Windows组件向导窗口点击“下一步”即可添加好IIS服务。在控制面板的管
理工具中执行“Internet 信息服务(IIS)管理器”进入IIS管理器主界面,在上可以看出Windows Server
2003下的IIS默认支持静态网站,若要执行动态页面还需设置Web服务扩展属性,比如要执行ASP网站则要
在“Web服务扩展”列表中选中“Active Server Pages”然后单击“允许”按钮来启用该功能。接下来就
可以具体配置Web站点了。
1. 网站基本配置。在“默认网站”的右键菜单中选择“属性”进入“默认网站属性”窗口,在“网
站”选项卡上的“描述”里可以为网站取一个标示名称,如果本机分配了多个 IP 地址,则要在IP 地址
框中选择一个赋予此Web站点的IP地址;然后进入“主目录”选项卡中指定网站Web内容的来源并在“文档
”中设置好IIS默认启动的文档。单击“应用”按钮后就可以使用http://127.0.0.1来验证网站了。
2. 网站性能配置。进入“性能”选项卡,在这里可以对网站访问的带宽和连接数进行限定,以更好
地控制站点的通信量,如果是多站点服务器,通过对一个站点的带宽和连接数限制可以放宽对其他站点访
问量的限制和为其他站点释放更多的系统资源。(提示:在实际的限定操作中我们要根据网络通信量和使用
变化情况进行调整。)
3. 网站的安全性配置。为了保证Web网站和服务器的运行安全,可以在“目录安全性”选项卡上为网
站进行“身份验证和访问控制”、“IP地址和域名限制”的设置,不过如果没有别的要求一般采用默认设
置就可以了。
二、IIS的备份和移植
为了防止系统损坏对IIS配置的影响,我们可以采用选择本地计算机右键菜单中的“所有任务→备份/
还原配置”来备份IIS,但这种操作如果遇到重装Web服务器或将一台Web服务器移植到另一台Web服务器时
就无能为α耍 我们可以使用IIS备份精灵来实现IIS的备份和移植了。
启动软件,在IIS备份精灵的站点列表上就会列出IIS服务器上配置的各种站点了,勾选你要备份的站
点然后单击“导出站点”按钮,在弹出的“导出IIS站点”窗口上选择好文件保存路径,“确定”后,站
点配置信息就会以一个TXT文本文件保存下来了。
在重装IIS服务器需要导入站点信息时,运行IIS备份精灵,单击“导入站点”按钮在弹出的“IIS导
入站点”窗口上选择要导入的事先备份好的IIS站点信息文件,“确定”后即可导入。若需要移植IIS站点
信息应先把备份的站点信息文件复制到目的机器上,然后在这个机器上再下载安装IIS备份精灵,执行“
导入站点”操作就可以了。
2003为例,介绍如何配置一个Web服务器。
一、架设Web服务器
默认安装的Windows Server 2003没有配置IIS服务,需要我们手工安装。进入控制面板,执行“添加
或删除程序→添加/删除 Windows 组件”进入Windows组件向导窗口,勾选“应用程序服务器→Internet
信息服务”,“确定”后返回Windows组件向导窗口点击“下一步”即可添加好IIS服务。在控制面板的管
理工具中执行“Internet 信息服务(IIS)管理器”进入IIS管理器主界面,在上可以看出Windows Server
2003下的IIS默认支持静态网站,若要执行动态页面还需设置Web服务扩展属性,比如要执行ASP网站则要
在“Web服务扩展”列表中选中“Active Server Pages”然后单击“允许”按钮来启用该功能。接下来就
可以具体配置Web站点了。
1. 网站基本配置。在“默认网站”的右键菜单中选择“属性”进入“默认网站属性”窗口,在“网
站”选项卡上的“描述”里可以为网站取一个标示名称,如果本机分配了多个 IP 地址,则要在IP 地址
框中选择一个赋予此Web站点的IP地址;然后进入“主目录”选项卡中指定网站Web内容的来源并在“文档
”中设置好IIS默认启动的文档。单击“应用”按钮后就可以使用http://127.0.0.1来验证网站了。
2. 网站性能配置。进入“性能”选项卡,在这里可以对网站访问的带宽和连接数进行限定,以更好
地控制站点的通信量,如果是多站点服务器,通过对一个站点的带宽和连接数限制可以放宽对其他站点访
问量的限制和为其他站点释放更多的系统资源。(提示:在实际的限定操作中我们要根据网络通信量和使用
变化情况进行调整。)
3. 网站的安全性配置。为了保证Web网站和服务器的运行安全,可以在“目录安全性”选项卡上为网
站进行“身份验证和访问控制”、“IP地址和域名限制”的设置,不过如果没有别的要求一般采用默认设
置就可以了。
二、IIS的备份和移植
为了防止系统损坏对IIS配置的影响,我们可以采用选择本地计算机右键菜单中的“所有任务→备份/
还原配置”来备份IIS,但这种操作如果遇到重装Web服务器或将一台Web服务器移植到另一台Web服务器时
就无能为α耍 我们可以使用IIS备份精灵来实现IIS的备份和移植了。
启动软件,在IIS备份精灵的站点列表上就会列出IIS服务器上配置的各种站点了,勾选你要备份的站
点然后单击“导出站点”按钮,在弹出的“导出IIS站点”窗口上选择好文件保存路径,“确定”后,站
点配置信息就会以一个TXT文本文件保存下来了。
在重装IIS服务器需要导入站点信息时,运行IIS备份精灵,单击“导入站点”按钮在弹出的“IIS导
入站点”窗口上选择要导入的事先备份好的IIS站点信息文件,“确定”后即可导入。若需要移植IIS站点
信息应先把备份的站点信息文件复制到目的机器上,然后在这个机器上再下载安装IIS备份精灵,执行“
导入站点”操作就可以了。
[3]独立服务器win2003系统站点常见问题解答
来源: 互联网 发布时间: 2013-12-24
问题1:未启用父路径
症状举例:
Server.MapPath() 错误 ASP 0175 : 80004005
不允许的 Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp,行 4
在 MapPath 的 Path 参数中不允许字符 ..。
原因分析:
许多Web页面里要用到诸如../格式的语句(即回到上一层的页面,也就是父路径),而IIS6.0出于安全考虑,这一选项默认是关闭的。
解决方法:
在IIS中 属性->主目录->配置->选项中。把”启用父路径“前面打上勾。确认刷新。
问题2:ASP的Web扩展配置不当(同样适用于ASP.NET、CGI)
症状举例:
HTTP 错误 404 - 文件或目录未找到。
原因分析:
在IIS6.0中新增了web程序扩展这一选项,你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止,默认情况下ASP等程序是禁止的。
解决方法:
在IIS中的Web服务扩展中选中Active Server Pages,点击“允许”。
问题3:IUSR账号被禁用
症状举例:
HTTP 错误 401.1 - 未经授权:访问由于凭据无效被拒绝。
原因分析:
由于用户匿名访问使用的账号是IUSR_机器名,因此如果此账号被禁用,将造成用户无法访问。
解决办法:
控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用。
问题4:NTFS权限设置不当
症状举例:
HTTP 错误 401.3 - 未经授权:访问由于 ACL 对所请求资源的设置被拒绝。
原因分析:
Web客户端的用户隶属于user组,因此,如果该文件的NTFS权限不足(例如没有读权限),则会导致页面无法访问。
解决办法:
进入该文件夹的安全选项卡,配置user的权限,至少要给读权限。关于NTFS权限设置这里不再馈述。
问题5:MIME设置问题导致某些类型文件无法下载(以ISO为例)
症状举例:
HTTP 错误 404 - 文件或目录未找到。
原因分析:
IIS6.0取消了对某些MIME类型的支持,例如ISO,致使客户端下载出错。
解决方法:
在IIS中 属性->HTTP头->MIME类型->新建。在随后的对话框中,扩展名填入.ISO,MIME类型是application。
症状举例:
Server.MapPath() 错误 ASP 0175 : 80004005
不允许的 Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp,行 4
在 MapPath 的 Path 参数中不允许字符 ..。
原因分析:
许多Web页面里要用到诸如../格式的语句(即回到上一层的页面,也就是父路径),而IIS6.0出于安全考虑,这一选项默认是关闭的。
解决方法:
在IIS中 属性->主目录->配置->选项中。把”启用父路径“前面打上勾。确认刷新。
问题2:ASP的Web扩展配置不当(同样适用于ASP.NET、CGI)
症状举例:
HTTP 错误 404 - 文件或目录未找到。
原因分析:
在IIS6.0中新增了web程序扩展这一选项,你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止,默认情况下ASP等程序是禁止的。
解决方法:
在IIS中的Web服务扩展中选中Active Server Pages,点击“允许”。
问题3:IUSR账号被禁用
症状举例:
HTTP 错误 401.1 - 未经授权:访问由于凭据无效被拒绝。
原因分析:
由于用户匿名访问使用的账号是IUSR_机器名,因此如果此账号被禁用,将造成用户无法访问。
解决办法:
控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用。
问题4:NTFS权限设置不当
症状举例:
HTTP 错误 401.3 - 未经授权:访问由于 ACL 对所请求资源的设置被拒绝。
原因分析:
Web客户端的用户隶属于user组,因此,如果该文件的NTFS权限不足(例如没有读权限),则会导致页面无法访问。
解决办法:
进入该文件夹的安全选项卡,配置user的权限,至少要给读权限。关于NTFS权限设置这里不再馈述。
问题5:MIME设置问题导致某些类型文件无法下载(以ISO为例)
症状举例:
HTTP 错误 404 - 文件或目录未找到。
原因分析:
IIS6.0取消了对某些MIME类型的支持,例如ISO,致使客户端下载出错。
解决方法:
在IIS中 属性->HTTP头->MIME类型->新建。在随后的对话框中,扩展名填入.ISO,MIME类型是application。
最新技术文章: