【正文】 ? IIS Lock Tool具有以下功能和特點： ? 幫助管理員設置 IIS安全性； ? 此工具可以在 IIS4和 IIS5上使用； ? 幫助管理員去掉對本網(wǎng)站不必要的一些服務，使 IIS在滿足本網(wǎng)站需求的情況下運行最少的服務 ? 下載地址 ? sp?ReleaseID=33961 itsec 安全工具 itsec 長期的系統(tǒng)維護 ? 時刻注意安全漏洞和補丁發(fā)布 ? 定期分析日志系統(tǒng)，發(fā)現(xiàn)潛在攻擊 ? 注意賬號和口令的安全問題 ? 注意觀察系統(tǒng)異常 ? 管理員，才是關(guān)鍵 ! itsec 注意 ! ? 僅僅只是主機安全 (Host Security) ? 應用服務安全的一部分 ? 絕不是網(wǎng)絡安全 (work security) ? 主機安全是網(wǎng)絡安全的基礎之一 itsec 試驗一 ? 安裝并配置 IISLOCKD ? 對于已安裝有 IIS的 windows2022系統(tǒng) 配置 IISLOCKD不允許從 WEB下載可執(zhí)行文件，其他下載一律禁止允許。所以請非常小心地使用拒絕，任何一個不當?shù)木芙^都有可能造成系統(tǒng)無法正常運行； 3文件權(quán)限比文件夾權(quán)限高 4僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障； itsec 文件系統(tǒng)安全 ? 將下列可執(zhí)行文件放到一個新建的目錄 D:\arrow下(重命名為 ） ? 將此目錄進行權(quán)限設置 ? 刪除系統(tǒng)中的如下可執(zhí)行文件 itsec 安全日志 ? Windows的默認安裝是不開安全審核。 itsec 文件系統(tǒng)安全 itsec 文件系統(tǒng)安全 ? 目錄和文件權(quán)限： 為了控制好服務器上用戶的權(quán)限，同時也為了預防以后可能的入侵和溢出，必須非常小心地設置目錄和文件的訪問權(quán)限，在默認的情況下，大多數(shù)的文件夾（包括所有的根目錄）對所有用戶（ Everyone這個組）是完全敞開的（ Full Control），需要根據(jù)應用的需要進行權(quán)限重設。你會看到圖中所示的記錄。點擊開始 設置 控制面板。 ? 點擊開始 運行，鍵入 regedt32并回車； ? 找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]； ? 在右側(cè)的窗格中右鍵單擊選擇 NewDWORD Value，為其命名為 SFCDisable； ? 在 Hexadecimal項下輸入鍵值為 ffffff9d以關(guān)閉 WFP； ? 重新啟動系統(tǒng)使所做的更改生效。 ? 如果該文件沒有做備份，系統(tǒng)會提示你插入 Windows 2022的安裝光盤以復原該文件。 itsec 文件系統(tǒng)安全 ? 當 WFP監(jiān)控到這些文件被覆蓋或替換后就要開始自己的工作了。 ? 微軟把 Windows 2022安裝光盤上的所有 dll、exe、 fon、 ocx、 sys、和 tff結(jié)尾的文件都加以保護）。它的主要功能是防止系統(tǒng)文件被不匹配的版本替換或是覆蓋。 2這個值是在 win2022中才支持的。 itsec Netbios的安全設置 ? win2022的本地安全策略（如果是域服務器就是在域服務器安全和域安全策略中）就有這樣的選項 RestrictAnonymous（匿名連接的額外限制），這個選項有三個值： ? 0： None. Rely on default permissions（無，取決于默認的權(quán)限） ? 1： Do not allow enumeration of SAM accounts and shares（不允許枚舉 SAM帳號和共享） ? 2： No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問） 0這個值是系統(tǒng)默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網(wǎng)絡傳輸列表(NetServerTransportEnum等等，對服務器來說這樣的設置非常危險。 （警告：不正確地修改注冊表會導致嚴重的系統(tǒng)錯誤，請慎重行事！） 1．運行注冊表編輯器（ ）。 ? 這樣 NT的計算機名和工作組名也隱藏了。 itsec Netbios的安全設置 ? WIN2K 取消綁定文件和共享綁定 ? 打開 控制面板－網(wǎng)絡－高級－高級設置 ? 選擇網(wǎng)卡并且將 Microsoft 網(wǎng)絡的文件和打印共享的復選框取消 ? 可以完全禁止 tcp 139 和 445 ? WinNT ? 在 WindowsNT下取消 NetBIOS與 TCP/IP協(xié)議的綁定。 ? 將 iis目錄重新定向 不要使用系統(tǒng)默認的路徑，自定義 WEB主目錄路徑并作相應的權(quán)限設置。 itsec IIS服務安全配置 ? 設置適當?shù)? IIS 日志文件 ACL 請確保 IIS 產(chǎn)生的日志文件 (%systemroot%\system32\LogFiles) 上的 ACL 是 ? Administrators（完全控制） ? System（完全控制） ? Everyone (RWC) 這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。 ? 取消選擇“啟用父路徑”復選框。 ? 單擊“配置”。禁用該選項的步驟如下： ? 右鍵單擊該 Web 站點的根，然后從上下文菜單中選擇“屬性”。 ? 主屬性 ? 選擇 WWW 服務 | 編輯 | 主目錄 | 配置 itsec IIS服務安全配置 ? 基于 Web 的密碼重設 .htr ? Inter 數(shù)據(jù)庫連接器（所有的 IIS 5 Web 站點應使用 ADO 或類似的技術(shù)） .idc ? 服務器端包括 .stm、 .shtm 和 .shtml ? Inter 打印 .printer ? 索引服務器 .htw、 .ida 和 .idq itsec IIS服務安全配置 ? 禁用父路徑 “父路徑”選項允許在對諸如 MapPath 函數(shù)調(diào)用中使用“ ..”。如果您不使用其中的某些擴展或功能，則應刪除該映射，步驟如下： ? 打開 Inter 服務管理器。 itsec IIS服務安全配置 ? 刪除無用的腳本映射 IIS 被預先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。它主要用于 Intra 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務器升級到 IIS 5 時，它并不刪除。例如， Site Server 使用 File System Object。特別是，應考慮禁用文件系統(tǒng)對象組件，但是要注意這將也會刪除 Dictionary 對象。 下面 列出一些示例的默認位置。 ? 禁用 snmp服務 或者更改默認的社區(qū)名稱和權(quán)限 ? 禁用 terminal server服務 ? 將不必要的服務設置為手動 Alerter ClipBook Computer Browser …… itsec IIS服務安全配置 ? 禁用或刪除所有的示例應用程序 示例只是示例；在默認情況下，并不安裝它們，且從不在生產(chǎn)服務器上安裝。密碼應該是隨意組合的，沒有規(guī)律，有大小寫字符、數(shù)字或著是特殊字符，用 14個字符的密碼。盡量減少使用管理員權(quán)限的帳號數(shù)量。這可以增加攻擊者攻擊的復雜度，這樣可以避免攻擊者猜測管理員密碼。以下操作可在一定程度上增強該帳號的安全性。屏幕保護的時間建議是 5分鐘或更少 。其中Administrator 和 Guest帳號要留意。 ? 刪除無用或過期帳號 : 查看哪些帳號是沒有用的或者是已經(jīng)過期了的，然后將他們刪除。密碼的最短長度應該至少為 8個字符，三次錯誤登錄就應該鎖住該帳號 , 還有密碼的唯一性（如記錄三次的密碼）。 NT系統(tǒng)上的密碼安全可以通過以下方式來改進： ? 檢查密碼策略 : 查看你的密碼策略確定其中的密碼是否是有期限的 . 當設置密碼的時候，應該考慮到密碼老化的問題。 ? 限制對注冊表訪問 :對注冊表的訪問控制列表稍微有點不一樣，可能會有遠程訪問。 ? 禁止多重啟動的設置 :多重的啟動系統(tǒng) (如 Windows NT 在一個扇區(qū)而 Linux 在另一個扇區(qū) ) 會危及到 NT文件系統(tǒng)的安全。包括備份系統(tǒng)和敏感用戶文件。哪里是不可能的，它會將它保護起來。另外系統(tǒng)資源應該限制只允許授權(quán)用戶或是那些日常維護服務器的人員訪問。經(jīng)由注冊表權(quán)限保證注冊表項安全，以及使用NTFS權(quán)限保證參與注冊表數(shù)據(jù)的所有文件安全。可用管理員工具查看事件記錄。 ? 檢查病毒和后門 ? 檢查可疑的訪問 :用 NTLast等審核程序來判斷是否有未授權(quán)訪問。+Windows+98+DigExt，有經(jīng)驗的管理員就可通過安全日志、 FTP日志和 WWW日志來確定入侵者的 IP地址以及入侵時間 itsec Windows安全配置 ? 安裝 ? 審核系統(tǒng)安全性 ? 訪問控制 ? 賬號安全策略 ? 管理員權(quán)限 ? 網(wǎng)絡服務（ IIS和 NETBIOS的安全設置） ? 文件系統(tǒng)安全 ? 打開安全日志 ? 其它的安全設置 itsec 安裝 ? 使用正版可靠安裝盤 ? 將系統(tǒng)安裝在 NTFS分區(qū)上 ? 系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤 最少建立兩個分區(qū)，一個系統(tǒng)分區(qū)，一個應用程序分區(qū)，因為微軟的 IIS經(jīng)常會有泄漏源碼 /溢出的漏洞，如果把系統(tǒng)和 IIS放在同一個驅(qū)動器會導致系統(tǒng)文件的泄漏甚至入侵者遠程獲取ADMIN。+DigExt) ? 通過分析第六行，可以看出 2022年 10月 23日， IP地址為 IP地址為 80端口，查看了一個頁面 ,這位用戶的瀏覽器為patible。+MSIE+。+Windows+98。 itsec HTTP的日志分析 ? HTTP日志分析， 如下例： ? Software: Microsoft Inter Information Services ? Version: ? Date: 20221023 03:09:31 ? Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) ? 20221023 03:09:31 80 GET / 200 Mozilla/+(patible。注意：安全日志的默認狀態(tài)是關(guān)閉的。 ? 應用程序日志