WEB服务器安全自查报告

1、天津云景科技有限公司WEB服务器安全自查报告一、操作系统安全配置报告1、停掉 Guest 帐号在计算机管理的用户里面把guest 帐号停用掉，任何时候都不允许guest 帐号登陆系统。2、限制不必要的用户数量去掉所有的测试用帐户、共享帐号、普通部门帐号等等不必要账号。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。3、创建 2 个管理员用帐号创建一个一般权限帐号用来处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用。4、把系统 administrator帐号改名Windows 2003 的 administrator帐号是不能被停用的，这

2、意味着别人可以一遍又一遍的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。5、把共享文件的权限从”everyone ”组改成“授权用户”“everyone ” 在 Win 2003 中任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“ everyone ”组。6、使用安全密码应该要求用户首次登陆的时候更改成复杂的密码，还要注意经常更改密码。7、使用 NTFS格式分区把服务器的所有分区都改成NTFS格式。 NTFS文件系统要比 FAT、FAT32的文件系统安全得多。8、保障备份盘的安全系统资料被破坏，备份盘将是你恢复资料的唯一途

3、径。备份完资料确认无误后，把备份盘放在安全的地方。9、关闭不必要的服务Windows 2003 的 TerminalServices （终端服务）、和 RAS都可能系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，1/6天津云景科技有限公司如果需要开此服务，一定要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。10、关闭不必要的端口关闭端口意味着减少功能，因此在安全和功能上面需要作一点决策。如果服务器安装在防火墙的后面，冒险就会少些，但是，永远不要认为可以就此高枕无忧了。11、打开审核策略开启安全审核是 Win 2003 最基本的入侵检测方法

4、。当有人尝试对你的系统进行某些方式（如尝试用户密码, 改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。12、设定安全记录的访问权限安全记录在默认情况下是没有保护的，把他设置成只有Administrator和系统帐户才有权访问。13、不让系统显示上次登陆的用户名默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名。14、到微软网站下载最新的补丁程序经常访问微软和一些安全站点，下载最新的servicepack 和漏洞补丁，是保障服务器长久安全的唯一方法。15、关闭默认共享Win2003 安装好以后，系统会创建一些隐藏的共享，要禁止这些共享，打开管理工具 计

5、算机管理 共享文件夹 共享在相应的共享文件夹上按右键，点停止共享即可。16、清除 temp 文件夹一些应用程序在安装和升级的时候，会把一些东西拷贝到temp 文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp 文件夹的内容。17、关机时清除掉页面文件页面文件就是调度文件，是Win 2003 用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有加密的密码存在内存中，2/6天津云景科技有限公司页面文件中也可能含有另外一些敏感的资料。二、IIS 安全配置报告1、仅安装必要的IIS组件。（禁用不需要的如FTP 和 SMTP服务）。2、仅启用必要的服务和UI

6、中的组件名设置称后台智能传输服 启用务 (BITS) 服务器扩展公用文件启用文件传输协议禁用(FTP)服务FrontPage禁用2002ServerExtensionsInternet 信息 启用服务管理器Internet打印禁用NNTP 服务禁用SMTP 服务禁用万维网服务启用WebService扩展，推荐配置 :设置逻辑BITS 是 Windows Updates和“自动更新 ”所使用的后台文件传输机制。如果使用WindowsUpdates或“自动更新 ”在 IIS服务器中自动应用ServicePack和热修补程序，则必须有该组件。IIS 需要这些文件，一定要在IIS 服务器中启用它们。允

7、许 IIS服务器提供 FTP 服务。专用 IIS服务器不需要该服务。为管理和发布Web 站点提供FrontPage支持。如果没有使用FrontPage 扩展的 Web 站点，请在专用 IIS服务器中禁用该组件。IIS的管理界面。提供基于 Web的打印机管理，允许通过HTTP 共享打印机。专用IIS服务器不需要该组件。在 Internet中分发、查询、检索和投递Usenet新闻文章。专用IIS服务器不需要该组件。支持传输电子邮件。专用IIS服务器不需要该组件。为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件。3、万维网服务子组件3/6天津云景科技有限公司UI中的组件名称

8、安装选项Active Server 启用 PageInternet禁用数据连接器远程管理(HTML)禁用远程桌面Web连禁用接服务器端包括禁用WebDAV禁用万维网服务启用设置逻辑提供 ASP 支持。如果 IIS 服务器中的 Web 站点和应用程序都不使用 ASP，请禁用该组件；或使用 Web 服务扩展禁用它。通过扩展名为.idc的文件提供动态内容支持。如果IIS服务器中的Web站点和应用程序都不包括.idc扩展文件，请禁用该组件；或使用Web服务扩展禁用它。提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易，并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该

9、功能。包括了管理终端服务客户端连接的 Microsoft ActiveX? 控件和范例页面。改用 IIS 管理器可使管理更容易，并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该组件。提供.shtm 、.shtml和.stm文件的支持。如果在 IIS 服务器中运行的 Web 站点和应用程序都不使用上述扩展的包括文件，请禁用该组件。WebDAV扩展了HTTP/1.1协议，允许客户端发布、锁定和管理Web中的资源。专用IIS服务器禁用该组件；或使用Web 服务扩展禁用该组件。为客户端提供Web服务、静态和动态内容。专用IIS服务器需要该组件4、 将 IIS 目录数据与系统磁盘分开，保存

10、在专用磁盘空间内。5、在 IIS 管理器中删除必须之外的任何没有用到的映射（保留asp 等必要映射即可）。6、Web站点权限设定Web站点权限：授予的权限：读允许写不允许4/6天津云景科技有限公司脚本源访问不允许目录浏览关闭日志访问关闭索引资源关闭执行推荐选择“仅限于脚本 ”7、使用 W3C扩充日志文件格式，每天记录客户 IP 地址，用户名，服务器端口，方法， URI 字根， HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和 system 为 Full Control ）。三、SQl2005安全配置报告1、

11、使用安全的密码策略MS Sql Server 在安装完毕的时候，其 sa 的密码默认为空。立即为 sa 帐号设置一个强壮的密码；严禁把 sa 帐号和密码写于应用程序或者脚本中。2、安全的帐号策略给运行 SQL服务的用户尽可能小的权限，最好不是LocalSystem 或者Administrators； SQL Server 采用混合身份认证方式可一定程度上避免操作系统管理员来通过操作系统登陆来接触数据库；最好不要在数据库应用中使用sa帐号，建议数据库管理员新建一个拥有与sa 一样权限的超级用户来管理数据库，并防止有管理员权限的帐号泛滥；根据实际需要分配帐号角色，并赋予仅仅能够满足应用要求和需要的

12、权限。很多主机使用数据库应用只是用来做查询、修改等简单功能的，如只要查询功能的，那么就使用一个简单的public帐号能够select就可以了。从数据库中删除所有guest 用户（ master,tempdb 除外），以及其他未授权用户。3、权限控制设定确切的扩展存储进程权限；设定 master 中的 ExtentedStoredProcedure 的权限；设定 statement权限；设定合适的组权限；5/6天津云景科技有限公司设定合适的用户权限。4、在实例属性中选择“安全性”，将审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。定期查看 SQLServer 日志检查是否有可疑的登录事件发生，或者使用DOS命令。5、控制 TCP/IP 端口a、修改默认端口可以通过修改默认TCP/1433端口一定程度上逃避了端口探测，但是，通过1434 端口的 UDP探测可以很容易知道SQLServer 使用的什么 TCP/IP 端口。b、隐藏服务器通过在实例属性中选择TCP/IP 协议的属性，选择隐藏SQL Server实例。c、启用 IP 安全策略在 IPSec 过滤拒绝掉 1434 端口的 UDP通讯，达到隐藏 SQL Server 服务器。6、