WEB服务器是企业网Intranet网站的核心，其中的数据资料非常重要，一旦遭到破坏将会给企业造成不可弥补的损失，管理好、使用好、保护好WEB服务器中的资源，是一项至关重要的工作。文章主要介绍WEB服务器安全策略方面的相关知识。

　　1 系统安装、系统安全策略配置

　　使用NTFS格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全WEB服务器的最低要求。Windows 2003安装策略：

　　(1)系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念，只安装所必需的服务和协议，如DNS、DHCP，不需要的服务和协议一律不安装;只保留TCP/IP一项并禁用NETBOIS;安装Windows2003最新补丁和防病毒软件。

　　(2)关闭windows2003不必要的服务。

　　关闭Computer Browser、Task scheduler、Routingand Remote Access、Removable storage、Remote RegistryService，Print Spooler，IPSEC Pohcy Agent，DistributedIJink Tracking Client、Corn+Event System、Alerter、ErrorReporting Service、Messenger、Telnet服务。

　　(3)设置磁盘访问权限。

　　系统磁盘只赋予administrators和system权限，系统所在目录(默认时为Windows)要加上users的默认权限，以保障ASP和ASPX等应用程序正常运行。其他磁盘可以此为参照，当某些第三方应用程序以服务形式启动时，需加system用户权限，否则启动不成功。

　　(4)注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControISet/Control/LSA，将DWORD值RestrietAnonymous的键值改为1，禁止Windows系统进行空连接。

　　(5)关闭不需要的端口、更改远程连接端口。

　　本地连接→属性→Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性→把勾打上，添加需要的端口(如：21、80)。

　　更改远程连接端口：开始→运行→输入regedit查找3389：将HKEY_LOCAL_MACHINE世SYSTEMXCurrentControlSetControlTerminal ServerWdsh dpwdTds ep 和HKEY_LOCAL_MACHlNESYSTEMCurrentControlsetControlTerminal ServerWinStationsRDP-Tcp下的PortNum—ber=3389改为自定义的端口号并重新启动服务器。

　　(6)编写批处理文件delshare.bat并在组策略中应用，以关闭默认共享的空连接。(以服务器有4个逻辑驱动器为例)

　　net share C$/delete

　　net share D$/delete

　　net share E$/delete

　　net share F$/delete

　　net share admin$/delete

　　将以上内容写入delshare.bat并保存到系统所在文件夹下的system32GroupP0licyUseScriptsLogon目录下。运行gpedit.msc组策略编辑器，用户配置→Windows设置→脚本(登录/注销)→登录→“登录属性”→“添加”→“添加脚本”对话框的“脚本名”栏中输入delshare.bat_“确定”按钮一重新启动服务器，即可自动关闭系统的默认隐藏共享，将系统安全隐患降至最低。

　　(7)限制匿名访问本机用户。“开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“对匿名连接的额外限制”→在下拉菜单中选择“不允许枚举SAM帐号和共享”→“确定”。

　　(8)限制远程用户对光驱或软驱的访问。“开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“只有本地登录用户才能访问软盘”→在单选按钮中选择“已启用(E)”→“确定”。

　　(9)限制远程用户对NetMeeting的共享，禁用NetMeeting远程桌面共享功能。运行“spedit.msc”→“计算机配置”→“管理模板”→“Windows组件”→“NetMeetins”→“禁用远程桌面共享”→右键→在单选按钮中选择“启用(E)”→“确定”。

　　(10)限制用户执行Windows安装程序，防止用户在系统上安装软件。方法同(9)。

　　(11)删除C：WIND0WSWEBprinters目录，避免溢出攻击(此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击)。

　　(12)删除C：WINDOWS、system32inetsrviisadmpwd。此目录在管理IIS密码时使用(如因密码不同步造成500错误时使用OWA或Iisadmpwd修改同步密码)。当把账户策略>密码策略>密码最短使用期限设为0天(即密码不过期时，可避免IIS密码不同步问题)。这里就可删掉此目录。

　　(13)修改注册表防止小规模DDOS攻击。

　　HKEY_LOCAL_MACHINEISYSTEMCurrentContmlSetServicesTcpiplParameters新建“DWORD值”名为“SynAttackProtect”数值为“1”

　　(14)本地策略→安全选项。

　　将清除虑拟内存页面文件、不显示上次的用户名、不需要按CTRL+ALT+DEL、不允许SAM账户的匿名枚举、不允许SAM账户和共享的匿名枚举、均更改为“已启用”;重命名来宾账户更改成一个复杂的账户名;重命名系统管理员账号，更改一个自己用的账号，同时建立一个无用户组的Administrat账户。

　　2 IIS安全策略应用

　　①不使用默认的WEB站点，将IIS目录与系统磁盘分开。

　　将网站内容移动到非系统驭动器，不使用默认的InetpubWwwroot目录，以减轻目录遍历攻击(这种攻击试图浏览WEB服务器的目录结构)带来的危险(一定要验证所有的虚拟目录是否均指向目标驱动器)。

　　②删除IIS默认创建的Inetpub目录(在系统磁盘上)并配置网站访问权限。为WEB服务器配置站点、目录和文件的访问权限。

　　③删除系统盘下的虚拟目录：vti_bin，IISSamples，Scripts，IIShelp，IISAdmin，IIShelp，MSADC。

　　④删除不必要的IIS扩展名映射。

　　右键单击“默认WEB站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射，主要为shtml，shtm，stm。

　　⑤更改IIS日志的路径。

　　右键单击“默认WEB站点→属性→网站→在启用日志记录下→点击属性更改设置。

　　⑥只选择网站和WEB应用程序正确运行所必需的服务和子组件。开始→控制面板→添加或删除程序→添加l删除Windows→组件→应用程序服务器→详细信息→Internet信息服务((IIS)→详细信息→然后通过选择或清除相应组件或服务的复选框，来选择或取消相应的IIS组件和服务。IIS子组件和服务的推荐设置：禁用：后台智能传输服务(BITS)服务器扩展，FTT服务、FrontPage 2002 Server Extensions，Internet打印、NNTP服务。启用：公用文件、Internet信息服务管理器、万维网服务。

　　⑦删除未使用的帐户，设置强密码，使用以最低特权的帐户。避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。限制对服务器的匿名连接，确保禁用来宾帐户;重命名管理员帐户并分配一个强密码以增强安全性。重命名IUSR帐户。

　　在IIS元数据库中更改IUSR帐户的值：“管理工具”→“Internet信息服务(IIS)管理器”→右键单击“本地计算机”→“属性”→选中“允许直接编辑配置数据库”复选框→“确定”→浏览至MetaBase.xml文件的位置，默认情况下为C：Windowslsystem321inetsrv→右键单击MelaBase.xml文件→“编辑”→搜索“AnonymousUserName”属性→键入IUSR帐户的新名称→在“文件”菜单上→单击“退出”→单击“是”。

　　⑧使用应用程序池来隔离应用程序，提高WEB服务器的可靠性和安全性。

　　创建应用程序池：“管理工具”→“Internet信息服务(IIS)管理器”→本地计算机→右键单击“应用程序池”→“新建”→“应用程序池”→在“应用程序池ID”框中，为应用程序池键入一个新ID→“应用程序池设置”→“Usedefault settings for the new application pool”(使用新应用程序池的默认设置)→“确定”。

　　将网站或应用程序分配到应用程序池：“管理工具”→“Internet信息服务(IIS)管理器”、右键单击您想要分配到应用程序池的网站或应用程序→“属性”→“主目录”、“虚拟目录”或“目录”选项卡，如果将目录或虚拟目录分配到应用程序池，则验证“应用程序名”框是否包含正确的网站或应用程序名称，(如果在“应用程序名”框中没有名称，则单击“创建”，然后键入网站或应用程序的名称)→“应用程序池”列表框→单击您想要分配网站或应用程序的应用程序池的名称→“确定”。

　　经过以上设置，IIS安全性有了很大的提升，但一些不法攻击者会不断寻找新漏洞来攻击WEB服务系统，所以我们一定要养成及时修补系统漏洞的习惯，并不断提高管理人员的网络技术水平，确保企业WEB服务器有一个安全、稳定、高效的运行环境。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。