安全部署企业WEB服务器

　　 摘 要：WEB服务器是Intranet（ 企业 内部网）网站的核心，其中的数据资料非常重要，安全部署WEB服务器是企业面临的一项重要工作，系统安装、安全策略和IIS安全策略对企业WEB服务器安全、稳定、高效地运行至关重要。

关键词：Intranet；安全策略；组策略

WEB服务器是企业网Intranet网站的核心，其中的数据资料非常重要，一旦遭到破坏将会给企业造成不可弥补的损失，管理好、使用好、保护好WEB服务器中的资源，是一项至关重要的工作。本文主要介绍WEB服务器安全策略方面的相关知识。 中国论文范文

1系统安装、系统安全策略配置

使用NTFS格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全WEB服务器的最低要求。

Windows 2003 安装策略：

①系统安装在单独的逻辑驱动器并自定义安装目录；以“最小的权限+最少的服务=最大的安全”为基本理念，只安装所必需的服务和协议，如DNS、DHCP，不需要的服务和协议一律不安装；只保留TCP/IP 一项并禁用NETBOIS；安装Windows2003最新补丁和防病毒软件。

②关闭windows2003不必要的服务。

关闭Computer Browser 、Task scheduler 、Routing and Remote Access、Removable storage 、Remote Registry Service、Print Spooler、IPSEC Policy Agent 、Distributed Link Tracking Client、Com+ Event System 、Alerter、Error Reporting Service 、Messenger 、Telnet服务。

③设置磁盘访问权限。

系统磁盘只赋予administrators和system权限，系统所在目录（默认时为Windows）要加上users的默认权限，以保障ASP和ASPX等应用程序正常运行。其他磁盘可以此为参照，当某些第三方应用程序以服务形式启动时，需加system用户权限，否则启动不成功。

④注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，将DWORD值RestrictAnonymous的键值改为1，禁止 Windows 系统进行空连接。

⑤关闭不需要的端口、更改远程连接端口。

本地连接→属性→Internet协议(TCP/IP)→高级→选项→TCP/IP筛选→属性→把勾打上，添加需要的端口(如: 21、80)。　

更改远程连接端口：开始→>运行→>输入regedit　查找3389：将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改为自宝义的端口号并重新启动服务器。

⑥编写批处理文件delshare.bat并在组策略中应用，以关闭默认共享的空连接。（以服务器有4个逻辑驱动器为例）

net share C$ /delete

net share D$ /delete

net share E$ /delete

net share F$ /delete

net share admin$ /delete　　

将以上内容写入delshare.bat并保存到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。运行gpedit.msc组策略编辑器，用户配置→Windows设置→脚本(登录/注销)→登录→“登录 属性”→“添加”→“添加脚本”对话框的“脚本名”栏中输入delshare.bat→“确定”按钮→重新启动服务器，即可自动关闭系统的默认隐藏共享，将系统安全隐患降至最低。

⑦限制匿名访问本机用户。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“对匿名连接的额外限制”→在下拉菜单中选择“不允许枚举SAM帐号和共享”→“确定”。

⑧限制远程用户对光驱或软驱的访问 。 “开始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全选项”→双击“只有本地登录用户才能访问软盘”→在单选按钮中选择“已启用(E)” → “确定”。

⑨限制远程用户对NetMeeting的共享，禁用NetMeeting远程桌面共享功能。 运行“gpedit.msc” →“ 计算 机配置”→“管理模板”→“Windows组件” →“NetMeeting” →“禁用远程桌面共享”→右键→在单选按钮中选择“启用(E)”→“确定”。

⑩限制用户执行Windows安装程序，防止用户在系统上安装软件。方法同（9）。

○11删除C:\WINDOWS\WEB\printers目录，避免溢出攻击（此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击）。

○12删除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目录在管理IIS密码时使用（如因密码不同步造成500 错误时使用OWA或Iisadmpwd 修改同步密码），当把账户策略 > 密码策略 > 密码最短使用期限 设为0天王淑江,刘晓辉,张奎亭. WindowsServer2003系统安全管理.北京: 电子 工业 出版社, 2009.

托洛斯.iis6管理指南.北京:清华大学出版社,2005.

李新,李成友.基于Windows系统的Web服务器安全研究与实践. 教育 信息化,2006,(4).

马琰.如何提高个人Web服务器的安全性.职业圈,2007,(9).

王远哲.细说高校WEB服务器安全.电脑知识与技术,2008,(9).

田巍.四川航空股份有限公司网络安全方案可行性分析和规划.北京:电子科技大学,2005转贴于中国论文范文