1、天津云景科技有限公司WEB服務器安全自查報告一、操作系統安全配置報告1、停掉Guest 帳號 在計算機管理的用戶里面把guest帳號停用掉，任何時候都不允許guest帳號登陸系統。2、限制不必要的用戶數量 去掉所有的測試用帳戶、 共享帳號、普通部門帳號等等不必要賬號。用戶組策略設置相應權限，并且經常檢查系統的帳戶，刪除已經不使用的帳戶。3、創建2個管理員用帳號 創建一個一般權限帳號用來處理一些日常事物，另一個擁有Administrators 權限的帳戶只在需要的時候使用。4、把系統administrator帳號改名 Windows 2003的administrator帳號是不能被停用的，這意味

2、著別人可以一遍又一遍的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。5、把共享文件的權限從”everyone”組改成“授權用戶” “everyone” 在Win 2003中任何有權進入你的網絡的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成“everyone”組。6、使用安全密碼 應該要求用戶首次登陸的時候更改成復雜的密碼，還要注意經常更改密碼。7、使用NTFS格式分區 把服務器的所有分區都改成NTFS格式。NTFS文件系統要比FAT、FAT32的文件系統安全得多。8、保障備份盤的安全 系統資料被破壞，備份盤將是你恢復資料的唯一途徑。備份完資料

3、確認無誤后，把備份盤放在安全的地方。9、關閉不必要的服務 Windows 2003的Terminal Services（終端服務） 、和RAS都可能系統帶來安全漏洞。為了能夠在遠程方便的管理服務器，很多機器的終端服務都是開著的，如果需要開此服務，一定要確認已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。10、關閉不必要的端口 關閉端口意味著減少功能，因此在安全和功能上面需要作一點決策。如果服務器安裝在防火墻的后面，冒險就會少些，但是，永遠不要認為可以就此高枕無憂了。11、打開審核策略 開啟安全審核是Win 2003最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式（如嘗試

4、用戶密碼,改變帳戶策略，未經許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。12、設定安全記錄的訪問權限 安全記錄在默認情況下是沒有保護的，把他設置成只有Administrator和系統帳戶才有權訪問。13、不讓系統顯示上次登陸的用戶名 默認情況下，終端服務接入服務器時，登陸對話框中會顯示上次登陸的帳戶名。14、到微軟網站下載最新的補丁程序 經常訪問微軟和一些安全站點，下載最新的service pack和漏洞補丁，是保障服務器長久安全的唯一方法。15、關閉默認共享 Win 2003安裝好以后，系統會創建一些隱藏的共享，要禁止這些共享，打開 管理工具>計算機管理>共享文件夾&

5、gt;共享 在相應的共享文件夾上按右鍵，點停止共享即可。16、清除temp文件夾 一些應用程序在安裝和升級的時候，會把一些東西拷貝到temp文件夾，但是當程序升級完畢或關閉的時候，它們并不會自己清除temp文件夾的內容。17、關機時清除掉頁面文件 頁面文件就是調度文件，是Win 2003用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。一些第三方的程序可以把一些沒有加密的密碼存在內存中，頁面文件中也可能含有另外一些敏感的資料。二、IIS安全配置報告1、僅安裝必要的 IIS 組件。（禁用不需要的如FTP 和 SMTP 服務）。2、僅啟用必要的服務和 Web Service 擴展，推薦配置:UI

6、 中的組件名稱設置設置邏輯后臺智能傳輸服務 (BITS) 服務器擴展啟用BITS 是 Windows Updates 和“自動更新”所使用的后臺文件傳輸機制。如果使用 Windows Updates 或“自動更新”在 IIS 服務器中自動應用 Service Pack 和熱修補程序，則必須有該組件。公用文件啟用IIS 需要這些文件，一定要在 IIS 服務器中啟用它們。文件傳輸協議 (FTP) 服務禁用允許 IIS 服務器提供 FTP 服務。專用 IIS 服務器不需要該服務。FrontPage 2002 Server Extensions禁用為管理和發布 Web 站點提供 FrontPage 支

7、持。如果沒有使用 FrontPage 擴展的 Web 站點，請在專用 IIS 服務器中禁用該組件。Internet 信息服務管理器啟用IIS 的管理界面。Internet 打印禁用提供基于 Web 的打印機管理，允許通過 HTTP 共享打印機。專用 IIS 服務器不需要該組件。NNTP 服務禁用在 Internet 中分發、查詢、檢索和投遞 Usenet 新聞文章。專用 IIS 服務器不需要該組件。SMTP 服務禁用支持傳輸電子郵件。專用 IIS 服務器不需要該組件。萬維網服務啟用為客戶端提供 Web 服務、靜態和動態內容。專用 IIS 服務器需要該組件。3、萬維網服務子組件UI 中的組件名稱

8、安裝選項設置邏輯Active Server Page啟用提供 ASP 支持。如果 IIS 服務器中的 Web 站點和應用程序都不使用 ASP，請禁用該組件；或使用 Web 服務擴展禁用它。Internet 數據連接器禁用通過擴展名為 .idc 的文件提供動態內容支持。如果 IIS 服務器中的 Web 站點和應用程序都不包括 .idc 擴展文件，請禁用該組件；或使用 Web 服務擴展禁用它。遠程管理 (HTML)禁用提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易，并減少了 IIS 服務器的攻擊面。專用 IIS 服務器不需要該功能。遠程桌面 Web 連接禁用包括了管理終端

9、服務客戶端連接的 Microsoft ActiveX® 控件和范例頁面。改用 IIS 管理器可使管理更容易，并減少了 IIS 服務器的攻擊面。專用 IIS 服務器不需要該組件。服務器端包括禁用提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服務器中運行的 Web 站點和應用程序都不使用上述擴展的包括文件，請禁用該組件。WebDAV 禁用WebDAV 擴展了 HTTP/1.1 協議，允許客戶端發布、鎖定和管理 Web 中的資源。專用 IIS 服務器禁用該組件；或使用 Web 服務擴展禁用該組件。萬維網服務啟用為客戶端提供 Web 服務、靜態和動態內容。專用 I

10、IS 服務器需要該組件4、 將IIS目錄數據與系統磁盤分開，保存在專用磁盤空間內。5、在IIS管理器中刪除必須之外的任何沒有用到的映射（保留asp等必要映射即可）。6、Web站點權限設定Web 站點權限：授予的權限：讀允許寫不允許腳本源訪問不允許目錄瀏覽關閉日志訪問關閉索引資源關閉執行推薦選擇 “僅限于腳本” 7、使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和system為Full Control）。三、SQl2005

11、安全配置報告1、使用安全的密碼策略MS Sql Server在安裝完畢的時候，其sa的密碼默認為空。立即為sa帳號設置一個強壯的密碼；嚴禁把sa帳號和密碼寫于應用程序或者腳本中。2、安全的帳號策略給運行SQL服務的用戶盡可能小的權限，最好不是LocalSystem或者Administrators；SQL Server采用混合身份認證方式可一定程度上避免操作系統管理員來通過操作系統登陸來接觸數據庫；最好不要在數據庫應用中使用sa帳號，建議數據庫管理員新建一個擁有與sa一樣權限的超級用戶來管理數據庫，并防止有管理員權限的帳號泛濫；根據實際需要分配帳號角色，并賦予僅僅能夠滿足應用要求和需要的權限。很

12、多主機使用數據庫應用只是用來做查詢、修改等簡單功能的，如只要查詢功能的，那么就使用一個簡單的public帳號能夠select就可以了。從數據庫中刪除所有guest用戶（master,tempdb除外），以及其他未授權用戶。3、權限控制設定確切的擴展存儲進程權限；設定master中的Extented Stored Procedure的權限；設定statement 權限；設定合適的組權限；設定合適的用戶權限。4、在實例屬性中選擇“安全性”，將審核級別選定為全部，這樣在數據庫系統和操作系統日志里面，就詳細記錄了所有帳號的登錄事件。定期查看SQL Server日志檢查是否有可疑的登錄事件發生，或者使用DOS命令。5、控制TCP/IP端口a、修改默認端口可以通過修改默認TCP/1433端口一定程度上逃避了端口探測，但是，通過1434端口的UDP探測可以很容易知道SQL Server使用的什么TCP/IP端口。b、隱藏服務器通過在實例屬性中選擇TCP/IP協議的屬性，選擇隱藏 SQL Server 實例。c、啟用IP安全策略在IPSec過濾拒絕掉1434端口的UDP通訊，達到隱藏SQL Server服務器。