网站加固手册.doc

网站加固手册1. 系统安全（该部分设置完毕后需要对网站的使用进行测试，尤其是后台的使用，例如上传）1.1禁止使用WScript.Shell 组件HKEY_CLASSES_ROOTWScript.ShellHKEY_CLASSES_ROOTWScript.Shell.1HKEY_CLASSES_ROOTCLSID72C24DD5-D70A-438B-8A42-09424B88AFB8HKEY_CLASSES_ROOTCLSIDF935DC22-1CF0-11D0-ADB9-00C04FD58A0B将WScript.Shell、WScript.Shell.1、72C24DD5-D70A-438B-8A42-09424B88AFB8、F935DC22-1CF0-11D0-ADB9-00C04FD58A0B重命名至任意名字regsvr32/u %windir%System32wshom.ocx1.2禁止使用Shell.application 组件HKEY_CLASSES_ROOTShell.ApplicationHKEY_CLASSES_ROOTShell.Application.1HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A493-444553540000将Shell.Application、Shell.Application.1、13709620-C279-11CE-A493-444553540000重命名至任意名字regsvr32/u %windir%system32shell32.dllcacls %windir%system32shell32.dll /e /d guests1.3禁止使用FileSystemObject组件HKEY_CLASSES_ROOTScripting.FileSystemObjectHKEY_CLASSES_ROOTCLSID0D43FE01-F093-11CF-8940-00A0C9054228将Scripting.FileSystemObject和0D43FE01-F093-11CF-8940-00A0C9054228导出备份，然后把这两项重命名至任意名字RegSrv32 /u %windir%SYSTEM32scrrun.dllcacls C:WINNTsystem32scrrun.dll /e /d guests1.4禁用Guests组用户调用cmd.exe、command.execacls %windir%system32cmd.exe /e /d guestscacls %windir%system32command.exe /e /d guests1.5 重命名cacls.exe，并对重命名的文件做记录1.6其他注册表项修改（可将下文保存为注册表文件导入）HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRecentDocsMenu=hex:01,00,00,00NoRecentDocsHistory=hex:01,00,00,00HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName=1HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous=dword:00000001HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverParametersAutoShareServer=dword:00000000AutoShareWks=dword:00000000HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirect=dword:00000000KeepAliveTime=dword:000927c0SynAttackProtect=dword:00000002TcpMaxHalfOpen=dword:000001f4TcpMaxHalfOpenRetried=dword:00000190TcpMaxConnectResponseRetransmissions=dword:00000001TcpMaxDataRetransmissions=dword:00000003TCPMaxPortsExhausted=dword:00000005DisableIPSourceRouting=dword:00000002TcpTimedWaitDelay=dword:0000001eTcpNumConnections=dword:00004e20EnablePMTUDiscovery=dword:00000000NoNameReleaseOnDemand=dword:00000001EnableDeadGWDetect=dword:00000000PerformRouterDiscovery=dword:00000000EnableICMPRedirects=dword:00000000HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParametersBacklogIncrement=dword:00000005MaxConnBackLog=dword:000007d0HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAFDParametersEnableDynamicBacklog=dword:00000001MinimumDynamicBacklog=dword:00000014MaximumDynamicBacklog=dword:00007530DynamicBacklogGrowthDelta=dword:0000000a2.服务安全以下服务停止并禁用AlerterApplication Layer Gateway ServiceBackground Intelligent Transfer ServiceComputer BrowserDistributed File SystemHelp and SupportMessengerNetMeeting Remote Desktop SharingPrint SpoolerRemote RegistryTask SchedulerTCP/IP NetBIOS HelperTelnetWorkstation3.组策略 开始菜单管理工具本地安全策略 A、本地策略审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组 通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略安全选项 交互式登陆：不显示上次的用户名 启用网络访问：不允许SAM帐户和共享的匿名枚举 启用网络访问：不允许为网络身份验证储存凭证 启用 网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除 网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除 帐户：重命名来宾帐户重命名一个帐户（视情况而定） 帐户：重命名系统管理员帐户重命名一个帐户（视情况而定）4.IIS安全4.1不同类型网站的相关设置（以下主机头等命名为举例）主机头主机脚本硬盘目录IIS用户名IIS权限应用程序池主目录应用程序配置HTMD:IUSR_1.comAdministrators(完全控制)IUSR_1.com(读)可共用读取/纯脚本启用父路径ASPD:IUSR_2.comAdministrators(完全控制)IUSR_2.com(读/写)可共用读取/纯脚本启用父路径NETD:IUSR_3.comAdministrators(完全控制) IWAM_3.com(读/写)IUSR_3.com(读/写)独立池读取/纯脚本启用父路径PHPD:IUSR_4.comAdministrators(完全控制) IWAM_4.com(读/写)IUSR_4.com(读/写)独立池读取/纯脚本启用父路径IIS权限栏内的用户写权限根据实际情况给予，用户建好的站点如果没有给予写权限不要添加。4.2网站属性检查：“网站”标签查看是否启用日志记录，启用的活动日志格式查看日志文件目录，如果是默认路径将其移动到其他盘符的某一个文件夹内，文件夹名不要以和log相关的字眼命名，选用的盘符空间视每天访问量决定，最好能容纳3个月的日志，不要和网页程序文件放在同一个盘符。“主目录”标签查看开启的目录权限，写入权限和目录权限不能打勾，如打上勾需要和用户确定；记录访问一定要打上勾点开配置按钮，将映射中的.asa和.cer映射删除。查看选项内是否“启用父路径”，如启用做记录，查看网页代码文件是否需要用到父路径。“自定义错误”标签编辑所有HTTP错误，将内容路径指向一个空白的htm文件（自己创建）4.3删除不必要的站点默认网站如果不需要访问将其关闭。其他测试站点也将其关闭，只保留需要发布的站点。4.4 Web服务扩展（2003）WebDAV禁止5.权限设置硬盘或文件夹: C: D: E: F: 类推 主要权限部分：其他权限部分：Administrators完全控制如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，用一个独立用户运行MYSQL会更安全。该文件夹，子文件夹及文件CREATOR OWNER完全控制只有子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:Inetpub 主要权限部分：其他权限部分：Administrators完全控制无该文件夹，子文件夹及文件CREATOR OWNER完全控制只有子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:InetpubAdminScripts 主要权限部分：其他权限部分：Administrators完全控制无该文件夹，子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:Inetpubwwwroot 主要权限部分：其他权限部分：Administrators完全控制IIS_WPG读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件SYSTEM完全控制Users读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件这里可以把虚拟主机用户组加上同Internet 来宾帐户一样的权限拒绝权限Internet 来宾帐户 创建文件/写入数据/:拒绝创建文件夹/附加数据/:拒绝 写入属性/:拒绝写入扩展属性/:拒绝 删除子文件夹及文件/:拒绝删除/:拒绝该文件夹，子文件夹及文件硬盘或文件夹: C:Inetpubwwwrootaspnet_client 主要权限部分：其他权限部分：Administrators完全控制Users读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:Documents and SettingsAll UsersDRM 主要权限部分：其他权限部分：这里需要把GUEST用户组和IIS访问用户组全部禁止，Everyone的权限比较特殊，默认安装后已经带了，主要是要把IIS访问的用户组加上所有权限都禁止Users读取和运行该文件夹，子文件夹及文件Guests拒绝所有该文件夹，子文件夹及文件Guest拒绝所有该文件夹，子文件夹及文件IUSR_XXX或某个虚拟主机用户组拒绝所有该文件夹，子文件夹及文件硬盘或文件夹: C:Program Files 主要权限部分：其他权限部分：Administrators完全控制IIS_WPG读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝只有子文件夹及文件该文件夹，子文件夹及文件SYSTEM完全控制IIS虚拟主机用户组禁止列目录，可有效防止FSO类木马如果安装了aspjepg和aspupload该文件夹，子文件夹及文件硬盘或文件夹: C:Program FilesCommon Files 主要权限部分：其他权限部分：Administrators完全控制IIS_WPG读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制Users读取和运行只有子文件夹及文件该文件夹，子文件夹及文件SYSTEM完全控制复合权限，为IIS提供快速安全的运行环境该文件夹，子文件夹及文件硬盘或文件夹: C:Program FilesMicrosoft SQL ServerMSSQL (假设程序部分默认装在C：盘) 主要权限部分：其他权限部分：Administrators完全控制无该文件夹，子文件夹及文件硬盘或文件夹: E:Program FilesMicrosoft SQL Server (假设数据库部分装在E：盘) 主要权限部分：其他权限部分：Administrators完全控制无该文件夹，子文件夹及文件CREATOR OWNER完全控制只有子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:WINDOWS 主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制只有子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:WINDOWSrepair 主要权限部分：其他权限部分：Administrators完全控制IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据这里保护的是系统级数据SAM只有子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:WINDOWSIIS Temporary Compressed Files 主要权限部分：其他权限部分：Administrators完全控制USERS读取和写入/删除该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制IIS_WPG读取和写入/删除只有子文件夹及文件该文件夹，子文件夹及文件SYSTEM完全控制建议装了MCAFEE或NOD的用户把此文件夹，禁止写入一些文件类型比如*.EXE和*.com等可执行文件或vbs类脚本该文件夹，子文件夹及文件IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝该文件夹，子文件夹及文件Guests列出文件夹/读取数据 ：拒绝该文件夹，子文件夹及文件硬盘或文件夹: C:WINDOWSsystem32 主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝只有子文件夹及文件该文件夹，子文件夹及文件SYSTEM完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件硬盘或文件夹: C:WINDOWSsystem32config 主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝只有子文件夹及文件该文件夹，子文件夹及文件SYSTEM完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件硬盘或文件夹: C:WINDOWSsystem32inetsrv 主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝只有子文件夹及文件只有该文件夹SYSTEM完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件硬盘或文件夹: C:WINDOWSsystem32inetsrvASP Compiled Templates 主要权限部分：其他权限部分：Administrators完全控制IIS_WPG完全控制该文件夹，子文件夹及文件该文件夹，子文件夹及文件IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝该文件夹，子文件夹及文件虚拟主机用户访问组拒绝读取，有助于保护系统数据硬盘或文件夹: C:WINDOWSsystem32inetsrviisadmpwd 主要权限部分：其他权限部分：Administrators完全控制无该文件夹，子文件夹及文件CREATOR OWNER完全控制只有子文件夹及文件SYSTEM完全控制该文件夹，子文件夹及文件硬盘或文件夹: C:WINDOWSsystem32inetsrvMetaBack 主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝只有子文件夹及文件该文件夹，子文件夹及文件SYSTEM完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件ASP.NET 进程帐户所需的 NTFS 权限目录 所需权限 Temporary ASP.NET Files%windir%Microsoft.NETFramework版本Temporary ASP.NET Files 进程帐户和模拟标识： 看下面详细权限临时目录 (%temp%) 进程帐户 完全控制 .NET Framework 目录%windir%Microsoft.NETFramework版本 进程帐户和模拟标识： 读取和执行 列出文件夹内容 读取 .NET Framework 配置目录%windir%Microsoft.NETFramework版本CONFIG 进程帐户和模拟标识： 读取和执行 列出文件夹内容 读取 网站根目录 C:inetpubwwwroot 或默认网站指向的路径 进程帐户： 读取 系统根目录 %windir%system32 进程帐户： 读取 全局程序集高速缓存 %windir%assembly 进程帐户和模拟标识： 读取 内容目录C:inetpubwwwrootYourWebApp (一般来说不用默认目录，管理员可根据实际情况调整比如D:wwwroot) 进程帐户： 读取列出文件夹内容 读取 注意 对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括： C: C:inetpub C:inetpubwwwroot 硬盘或文件夹: C:WINDOWSMicrosoft.NETFramework版本Temporary ASP.NET Files 主要权限部分：其他权限部分：Administrators完全控制ASP.NET 计算机帐户读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件CREATOR OWNER完全控制ASP.NET 计算机帐户写入/删除只有子文件夹及文件该文件夹，子文件夹及文件SYSTEM完全控制IIS_WPG读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝IIS_WPG写入/删除该文件夹，子文件夹及文件该文件夹，子文件夹及文件Guests列出文件夹/读取数据 ：拒绝LOCAL SERVICE读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件USERS读取和运行LOCAL SERVICE写入/删除该文件夹，子文件夹及文件该文件夹，子文件夹及文件NETWORK SERVICE读取和运行该文件夹，子文件夹及文件NETWORK SERVICE写入/删除该文件夹，子文件夹及文件网页文件权限设置注：（维护网站文件需另外设置用户，要提前告知用户）网站根目录所有代码文件，例如asp,aspx,resx,php等主要权限部分：其他权限部分：Administrators允许的保留默认即可IUSR_XXX或某个虚拟主机用户组列出文件夹/读取数据 ：拒绝该文件夹，子文件夹及文件写入/删除：拒绝写入/删除：拒绝CREATOR OWNER允许的保留默认即可只有子文件夹及文件写入/删除：拒绝SYSTEM允许的保留默认即可该文件夹，子文件夹及文件写入/删除：拒绝USERS允许的保留默认即可该文件夹，子文件夹及文件网站根目录文件夹(只应用到当前文件夹)主要权限部分：其他权限部分：Administrators允许的保留默认即可IUSR_XXX或某个虚拟主机用户组创建文件 ：拒绝该文件夹，子文件夹及文件写入/删除：拒绝CREATOR OWNER允许的保留默认即可只有子文件夹及文件写入/删除：拒绝SYSTEM允许的保留默认即可该文件夹建议使用McAfee进行访问控制，禁止创建asp,asa,cer,aspx,php等网页程序文件该文件夹，子文件夹及文件写入/删除:拒绝USERS允许的保留默认即可该文件夹，子文件夹及文件写入/删除:拒绝静态页面文件htm,html主要权限部分：其他权限部分：Administrators允许的保留默认即可IUSR_XXX或某个虚拟主机用户组写入/删除 ：拒绝该文件夹，子文件夹及文件写入/删除：拒绝CREATOR OWNER允许的保留默认即可只有子文件夹及文件写入/删除：拒绝SYSTEM允许的保留默认即可该文件夹，子文件夹及文件写入/删除：拒绝USERS允许的保留默认即可该文件夹，子文件夹及文件写入/删除:拒绝网站上传文件夹（通常以upload命名，可查看文件夹内最近修改文件日期）主要权限部分：其他权限部分：Administrators允许的保留默认即可该文件夹，子文件夹及文件写入/删除：拒绝CREATOR OWNER允许的保留默认即可只有子文件夹及文件写入/删除：拒绝SYSTEM允许的保留默认即可该文件夹