万维网服务
启用
为客户端提供 Web 服务、静态和动态内容 。专用 IIS 服务器需要该组件
3. 将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内 。
4. 在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)
5. 在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
6. Web站点权限设定(建议)
Web 站点权限:
授予的权限:
读
允许
写
不允许
脚本源访问
不允许
目录浏览
建议关闭
日志访问
建议关闭
索引资源
建议关闭
执行
推荐选择 "仅限于脚本"
7. 建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志 。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control) 。
8. 程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面 。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题 。
安全更新
应用所需的所有 Service Pack 和 定期手动更新补丁 。
安装和配置防病毒保护
推荐NAV 8.1以上版本病毒防火墙(配置为至少每周自动升级一次) 。
安装和配置防火墙保护
推荐最新版BlackICE Server Protection防火墙(配置简单,比较实用)
监视解决方案
根据要求安装和配置 MOM代理或类似的监视解决方案 。
加强数据备份
Web数据定时做备份,保证在出现问题后可以恢复到最近的状态 。
考虑实施 IPSec 筛选器
用 IPSec 过滤器阻断端口
Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法 。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面 。
有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程 。
下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器 。
服务
协议
源端口
目标端口
源地址
目标地址
操作
镜像
Terminal Services
TCP
所有
3389
所有
ME
允许
是
HTTP Server
TCP
所有
80
所有
ME
允许
是
HTTPS Server
TCP
所有
443
所有
ME
允许
是
在实施上表所列举的规则时,应当对它们都进行镜像处理 。这样可以确保任何进入服务器的网络通信也可以返回到源服务器 。
SQL服务器安全加固
步骤
说明
MDAC 升级
安装最新的MDAC(http://www.microsoft.com/data/download.htm)
密码策略
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号 。新建立一个拥有与sa一样权限的超级用户来管理数据库 。同时养成定期修改密码的好习惯 。数据库管理员应该定期查看是否有不符合密码要求的帐号 。比如使用下面的SQL语句:
推荐阅读
- s800印象
- 奥利给的由来 奥利给什么意思
- 不给工资到哪里投诉
- Win2003自带防火墙构筑安全防线
- IIS存在未明远程攻击漏洞
- 提高操作系统和IIS安全性的绝招
- 三天使用感受 E360优缺点
- 掌上宝电话发名片给好友的基础操作
- 给准备购买6230i的朋友一些参考
- 老子搜书APP网络不给力的处理操作