构建防入侵web服务器安全配置策略

jiyuzi

对于网站、程序、APP等开发来说，服务器安全永远都是重中之重，如果服务器安全做的不到位，就很容易被人攻击，一旦服务器被入侵，所造成的损害是非常巨大的，今天，小编就给大家介绍一些简单的web服务器安全配置，虽然不够全面，可对于中小网站来说已经足够了。
首先，在架设服务器时，必须要禁用不必要的服务。
进入服务器并安装系统之后，点击开始-运行-services.msc。
TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络。
Server支持此计算机通过网络的文件、打印、和命名管道共享。
Computer Browser 维护网络上计算机的最新列表以及提供这个列表 。
Task scheduler 允许程序在指定时间运行 。
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 。
Distributed File System: 局域网管理共享文件，不需要可禁用 。
Distributed linktracking client：用于局域网更新连接信息，不需要可禁用。
Error reporting service：禁止发送错误报告 。
Microsoft Serch：提供快速的单词搜索，不需要可禁用 。
NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要可禁用。
PrintSpooler：如果没有打印机可禁用 。
Remote Registry：禁止远程修改注册表 。
Remote Desktop Help Session Manager：禁止远程协助 。
Workstation 关闭的话远程NET命令列不出用户组。
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

禁止完这些不需要的服务之后，你的web服务器安全防御系数将会大大提高，当然了，这还不够，我们还需要把共享文件的权限从Everyone组改成授权用户 ，切记，任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。
具体操作如下——
第一：禁用Guest账号 ，在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。
第二：不让系统显示上次登录的用户名，默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。
所以，我们可以打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的键值改成1，这样的话，就不会在对话框里显示上次登录的用户名。
第三：把系统Administrator账号改名，大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。
我们需要尽量把它伪装成普通用户，比如改成Guesycludx。
第四：使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。
第五：去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。
这些用户很多时候都是黑客们入侵系统的突破口，删除之后就能够避免被黑客利用。
第六：我们可以为服务器创建一个陷阱用户Administrator，创建成功之后，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图。

除了上面的两大类之外，还需要对IIS站点进行设置，具体类目如下：
第一：Web站点权限设定
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
日志访问 建议关闭
索引资源 建议关闭
执行 推荐选择 “仅限于脚本”
第二：将IIS目录＆数据与系统磁盘分开，保存在专用磁盘空间内。
第三：卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，( 以下均以 WIN2000 为例，如果使用2003，则系统文件夹应该是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
做完之后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。
第四：在你的web服务器中启用父级路径
第五：建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control）。
第六：为IIS设置权限，一定要为每个独立的要保护的个体创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份，在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
除此之外，还要设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问。
当然了，最好还能在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件，这样就真的能够做到万无一失了。
将上述的设置全部完成之后，基本上你的服务器就没有什么大问题了，当然，还有最后一样……密码，服务器中的各种密码对于web服务器安全配置作用是非常巨大的，大家千万要注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天，一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单。
比如“welcome”等等，这是非常不好的。
尽量复杂的密码能够帮助你的服务器抵御更多的入侵，对于web服务器安全配置的作用是非常巨大的。
所以，在大家千万不要觉得麻烦而随便设置，这会很严重的危害到服务器安全，是非常危险的。