拒绝对 Web 内容目录的访问。 确保这个帐号不可能写入内容目录,例如,丑化 Web 站点。 | |
限制对系统工具的访问。 尤其是要限制对位于 \WINNT\System32 的命令行工具的访问。 | |
将权限赋予组而不是单独的帐号。 将用户赋予组,然后对组应用权限,而不是单独的帐号,这是一个好的做法。对于匿名帐号,创建一个组,在其中添加匿名账号,然后显式地拒绝组对密钥目录和文件的访问。将权限赋予一个组,使你能够更容易地更改匿名帐号或者创建更多匿名帐号,因为不需要重新创建权限。 注 IISLockdown 拒绝匿名帐号访问内容目录,方法是对 Web 匿名用户和 Web 应用程序组应用一个拒绝写访问控制项 (ACE)。它还通过命令行工具添加了一个拒绝执行 ACL。 | |
对不同的应用程序使用不同的帐号。 如果您的 Web 服务器宿主多个应用程序,应该对每个应用程序使用不同的匿名帐号。在匿名 Web 用户组(例如 IISLockdown 创建的 web Anonymous Users 组)中添加帐号,然后使用这个组配置 NTFS 权限。 有关使用多个匿名帐号和宿主多个应用程序的更多信息,请参阅“宿主多个 ASP.NET 应用程序”单元。 |
保护或者删除工具、实用工具和 SDK
sdk 和资源包不应该安装在生产 Web 服务器上。如果已经安装,应该删除它们。
确保在服务器上只安装了 .NET Framework 可再发行软件包,没有安装 SDK 实用工具。不要在生产服务器上安装 Visual Studio .NET。 | |
确保访问功能强大的系统工具和实用工具(例如包含在 \Program Files 目录中的那些工具)是受限的。IISLockdown 可以为你实现这一点。 | |
调试工具不应该在 Web 服务器上可用。如果产品调试是必要的,那么应该创建一个 CD 以包含必要的调试工具。 |
删除示例文件
示例应用程序通常并没有配置高度的安全性。攻击者可能利用示例应用程序中或者其配置中的内在漏洞攻击您的 Web 站点。删除示例应用程序以减小 Web 服务器的受攻击面。
更多注意事项
还可以考虑删除不必要的数据源名 (DSN)。包括应用程序用来连接 OLE DB 数据源的明文连接详情。只有那些 Web 应用程序必需的 DSN 才应该安装在 Web 服务器上。
返回页首删除任何未用的共享,并加固任何必要共享的 NTFS 权限。默认情况下,所有用户都对新建文件共享拥有完全控制。加固这些默认的权限,以确保只有授权用户能够访问共享所公开的文件。除了显式共享权限之外,对共享公开的文件和文件夹使用 NTFS ACL。
在此步骤中,应该:
删除不必要的共享。 | |
限制对必需共享的访问。 |
删除不必要的共享
删除所有不必要的共享。要审查共享和相关联的权限,运行计算机管理 MMC 管理单元,并从 sharedfolders 中选择 shares,如图 3 中所示。
图 3. 计算机管理 MMC 管理单元共享
限制对必需共享的访问
删除 Everyone 组,改而授予特定的权限。只有在您不限制谁应该访问共享时才使用 Everyone。
更多注意事项
如果您不允许远程管理服务器,那就删除未用的管理共享,例如 c$ 和 admin$。
注 有些应用程序可能要求管理共享。例子包括 Microsoft 系统管理服务器 (SMS) 和 Microsoft 操作管理器 (MOM)。有关更多信息,请参阅 Microsoft 知识库文章 318751 ,“如何:删除管理 Windows 2000 或者 Windows NT 4.0 中的共享”。
返回页首运行在服务器上的服务使用特定的端口,这样它们能够为传入的请求提供服务。应该关闭所有不必要的端口,并执行定期的审核,以检测处于侦听状态的新端口,这样能够发现未授权的访问和安全漏洞。
在此步骤中,应该:
将面对 Internet 的端口限制为 TCP 80 和 443。 | |
加密或者限制 intranet 流量。 |
将面对 Internet 的端口限制为 TCP 80 和 443
限制到端口 80 的
