IIS與SQL服務器安全加固詳解

IIS Web服務器安全加固步驟：
　　
　　步驟　安裝和配置 Windows Server 2003。
　　
　　注意：
　　1.將\System32\cmd.exe轉移到其他目錄或更名；
　　
　　2.系統帳號盡量少，更改默認帳戶名（如Administrator）和描述，密碼盡量復雜；
　　
　　3.拒絕通過網絡訪問該計算機（匿名登錄；內置管理員帳戶；Support_388945a0；Guest；所有非操作系統服務帳戶）
　　
　　4.建議對一般用戶只給予讀取權限，而只給管理員和System以完全控制權限，但這樣做有可能使某些正常的腳本程序不能執行，或者某些需要寫的操作不能完成，這時需要對這些文件所在的文件夾權限進行更改，建議在做更改前先在測試機器上作測試，然后慎重更改。
　　
　　5.NTFS文件權限設定（注意文件的權限優先級別比文件夾的權限高）：
　　 　

　　6.禁止C$、D$一類的缺省共享
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
　　AutoShareServer、REG_DWORD、0x0
　　
　　7.禁止ADMIN$缺省共享
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
　　AutoShareWks、REG_DWORD、0x0
　　
　　8.限制IPC$缺省共享
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
　　restrictanonymous REG_DWORD 0x0 缺省
　　0x1 匿名用戶無法列舉本機用戶列表
　　0x2 匿名用戶無法連接本機IPC$共享
　　說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server
　　
　　9.僅給用戶真正需要的權限，權限的最小化原則是安全的重要保障
　　
　　10.在本地安全策略->審核策略中打開相應的審核，推薦的審核是：
　　賬戶管理 成功 失敗
　　登錄事件 成功 失敗
　　對象訪問 失敗
　　策略更改 成功 失敗
　　特權使用 失敗
　　系統事件 成功 失敗
　　目錄服務訪問 失敗
　　賬戶登錄事件 成功 失敗
　　審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義。 與之相關的是：
　　在賬戶策略->密碼策略中設定：
　　密碼復雜性要求 啟用
　　密碼長度最小值 6位
　　強制密碼歷史 5次
　　最長存留期 30天
　　在賬戶策略->賬戶鎖定策略中設定：
　　賬戶鎖定 3次錯誤登錄
　　鎖定時間 20分鐘
　　復位鎖定計數 20分鐘
　　
　　11.在Terminal Service Configration（遠程服務配置）-權限-高級中配置安全審核，一般來說只要記錄登錄、注銷事件就可以了。
　　
　　12.解除NetBios與TCP/IP協議的綁定
　　控制面版——網絡——綁定——NetBios接口——禁用 2000：控制面版——網絡和撥號連接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS
　　
　　13.在網絡連接的協議里啟用TCP/IP篩選，僅開放必要的端口（如80）
　　
　　14.通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空連接
　　
　　15.修改數據包的生存時間(TTL)值
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)
　　
　　16.防止SYN洪水攻擊
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　SynAttackProtect REG_DWORD 0x2(默認值為0x0)
　　
　　17.禁止響應ICMP路由通告報文
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　\Interfaces\interface
　　PerformRouterDiscovery REG_DWORD 0x0(默認值為0x2)
　　
　　18.防止ICMP重定向報文的攻擊
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　EnableICMPRedirects REG_DWORD 0x0(默認值為0x1)
　　
　　19.不支持IGMP協議
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　IGMPLevel REG_DWORD 0x0(默認值為0x2)
　　
　　20.設置arp緩存老化時間設置
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
　　ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為120秒)
　　ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值為600)
　　
　　21.禁止死網關監測技術
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
　　EnableDeadGWDetect REG_DWORD 0x0(默認值為ox1)
　　
　　22.不支持路由功能
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
　　IPEnableRouter REG_DWORD 0x0(默認值為0x0)

[1]     

原文轉自：http://www.kjueaiud.com