安全部署企业WEB服务器

摘 要：web服务器是intranet（企业内部网）网站的核心，其中的数据资料非常重要，安全部署web服务器是企业面临的一项重要工作，系统安装、安全策略和iis安全策略对企业web服务器安全、稳定、高效地运行至关重要。
关键词：intranet；安全策略；组策略
web服务器是企业网intranet网站的核心，其中的数据资料非常重要，一旦遭到破坏将会给企业造成不可弥补的损失，管理好、使用好、保护好web服务器中的资源，是一项至关重要的工作。本文主要介绍web服务器安全策略方面的相关知识。
1系统安装、系统安全策略配置
使用ntfs格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全web服务器的最低要求。
windows 2003 安装策略：
①系统安装在单独的逻辑驱动器并自定义安装目录；以“最小的权限+最少的服务=最大的安全”为基本理念，只安装所必需的服务和协议，如dns、dhcp，不需要的服务和协议一律不安装；只保留tcp/ip 一项并禁用netbois；安装windows2003最新补丁和防病毒软件。
②关闭windows2003不必要的服务。
关闭computer browser 、task scheduler 、routing and remote access、removable storage 、remote registry service、print spooler、ipsec policy agent 、distributed link tracking client、com+ event system 、alerter、error reporting service 、messenger 、telnet服务。
③设置磁盘访问权限。
系统磁盘只赋予administrators和system权限，系统所在目录（默认时为windows）要加上users的默认权限，以保障asp和aspx等应用程序正常运行。其他磁盘可以此为参照，当某些第三方应用程序以服务形式启动时，需加system用户权限，否则启动不成功。
④注册表hkey_local_machine/system/currentcontrolset/control/lsa，将dword值restrictanonymous的键值改为1，禁止 windows 系统进行空连接。
⑤关闭不需要的端口、更改远程连接端口。
本地连接→属性→internet协议(tcp/ip)→高级→选项→tcp/ip筛选→属性→把勾打上，添加需要的端口(如: 21、80)。　
更改远程连接端口：开始→>运行→>输入regedit　查找3389：将 hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp和hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp下的portnumber=3389改为自宝义的端口号并重新启动服务器。
⑥编写批处理文件并在组策略中应用，以关闭默认共享的空连接。（以服务器有4个逻辑驱动器为例）
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete　　
将以上内容写入并保存到系统所在文件夹下的system32\grouppolicy\user\scripts\logon目录下。运行组策略编辑器，用户配置→windows设置→脚本(登录/注销)→登录→“登录 属性”→“添加”→“添加脚本”对话框的“脚本名”栏中输入→“确定”按钮→重新启动服务器，即可自动关闭系统的默认隐藏共享，将系统安全隐患降至最低。
⑦限制匿名访问本机用户。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“对匿名连接的额外限制”→在下拉菜单中选择“不允许枚举sam帐号和共享”→“确定”。
⑧限制远程用户对光驱或软驱的访问 。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“只有本地登录用户才能访问软盘”→在单选按钮中选择“已启用(e)” → “确定”。
⑨限制远程用户对netmeeting的共享，禁用netmeeting远程桌面共享功能。 运行“” →“计算机配置”→“管理模板”→“windows组件” →“netmeeting” →“禁用远程桌面共享”→右键→在单选按钮中选择“启用(e)”→“确定”。
⑩限制用户执行windows安装程序，防止用户在系统上安装软件。方法同（9）。
○11删除c:\windows\web\printers目录，避免溢出攻击（此目录的存在会造成iis里加入一个.printers的扩展名，可溢出攻击）。
○12删除c:\windows\system32\inetsrv\iisadmpwd，此目录在管理iis密码时使用（如因密码不同步造成500 错误时使用owa或iisadmpwd 修改同步密码），当把账户策略 > 密码策略 > 密码最短使用期限 设为0天[即密码不过期时，可避免iis密码不同步问题。这里就可删掉此目录。
○13修改注册表防止小规模ddos攻击。
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters新建 "dword值"名为 "synattackprotect" 数值为"1"
○14本地策略→安全选项：
将清除虚拟内存页面文件 、不显示上次的用户名、不需要按ctrl+alt+del、不允许 sam 账户的匿名枚举、不允许 sam 账户和共享的匿名枚举、均更改为"已启用" ；重命名来宾账户 更改成一个复杂的账户名；重命名系统管理员账号，更改一个自己用的账号，同时建立一个无用户组的administrat账户。
2iis安全策略应用
①不使用默认的web站点，将iis目录与系统磁盘分开。
将网站内容移动到非系统驱动器，不使用默认的 \inetpub\/pc/">计算机”→“属性”→选中“允许直接编辑配置数据库”复选框→“确定”→ 浏览至 文件的位置，默认情况下为 c:\windows\system32\inetsrv →右键单击 文件→“编辑” → 搜索“anonymoususername”属性，→键入 iusr 帐户的新名称→在“文件”菜单上→单击“退出”→单击“是”。
⑧使用应用程序池来隔离应用程序，提高 web 服务器的可靠性和安全性。
创建应用程序池： “管理工具”→“internet 信息服务 (iis) 管理器” →本地计算机→右键单击“应用程序池”→“新建”→“应用程序池”→在“应用程序池 id”框中，为应用程序池键入一个新 id→“应用程序池设置” →“use default settings for the new application pool”（使用新应用程序池的默认设置）→“确定”。
将网站或应用程序分配到应用程序池： “管理工具”→“internet 信息服务 (iis) 管理器” → 右键单击您想要分配到应用程序池的网站或应用程序→“属性”→“主目录”、“虚拟目录”或“目录”选项卡，如果将目录或虚拟目录分配到应用程序池，则验证“应用程序名”框是否包含正确的网站或应用程序名称，（如果在“应用程序名”框中没有名称，则单击“创建”，然后键入网站或应用程序的名称）→“应用程序池”列表框→单击您想要分配网站或应用程序的应用程序池的名称→“确定”。
经过以上设置， iis安全性有了很大的提升，但一些不法攻击者会不断寻找新漏洞来攻击web服务系统，所以我们一定要养成及时修补系统漏洞的习惯，并不断提高管理人员的网络技术水平，确保企业web服务器有一个安全、稳定、高效的运行环境。
参考文献：
[1]王淑江,刘晓辉,张奎亭. windowsserver2003系统安全管理[m].北京:电子工业出版社, 2009.
[2]托洛斯.iis6管理指南[m].北京:清华大学出版社,2005.
[3]李新,李成友.基于windows系统的web服务器安全研究与实践[j].教育信息化,2006,(4).
[4]马琰.如何提高个人web服务器的安全性[j].职业圈,2007,(9).
[5]王远哲.细说高校web服务器安全[j].电脑知识与技术,2008,(9).
[6]田巍.四川航空股份有限公司网络安全方案可行性分析和规划[m].北京:电子科技大学,2005 本文链接：http://www.qk112.com/lwfw/jsjlw/jsjwl/239879.html