安全部署企业 WEB 服务器
摘 要:WEB 服务器是 Intranet (企业 内部网)网站的核心,其中的数据资料非常重要
,安全部署WEB 服务器是企业面临的一项重要工作,系统安装、安全策略和 IIS 安全策略
对企业 WEB 服务器安全、稳定、高效地运行至关重要。 关键词:Intranet ;安全策略;组
策略 WEB 服务器是企业网 Intranet 网站的核心,其中的数据资料非常重要,一旦遭
到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好 WEB 服务器中的资源
,是一项至关重要的工作。本文主要介绍WEB 服务器安全策略方面的相关知识。 1
系统安装、系统安全策略配置 使用 NTFS 格式分区、设置不同的用户访问服务器的不
同权限是搭建一台安全 WEB 服务器的最低要求。 Windows 2003 安装策略: ①
系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安
全”为基本理念,只安装所必需的服务和协议,如 DNS、DHCP ,不需要的服务和协议一律
不安装;只保留 TCP/IP 一项并禁用 NETBOIS ;安装Windows2003 最新补丁和防病毒软
件。 ②关闭 windows2003 不必要的服务。 关闭 Computer Browser 、Task
scheduler 、Routing and Remote Access、Removable storage 、Remote Registry Service
、Print Spooler、IPSEC Policy Agent 、Distributed Link Tracking Client、Com+ Event
System 、Alerter、Error Reporting Service 、Messenger 、Telnet 服务。 ③设置磁盘
访问权限。 系统磁盘只赋予 administrators 和 system 权限,系统所在目录(默认时
为 Windows )要加上 users 的默认权限,以保障 ASP 和 ASPX 等应用程序正常运行。其他
磁盘可以此为参照,当某些第三方应用程序以服务形式启动时,需加 system 用户权限,
否则启动不成功。 ④注册表
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA ,将DWORD 值
RestrictAnonymous 的键值改为 1 ,禁止 Windows 系统进行空连接。 ⑤关闭不需要
的端口、更改远程连接端口。 本地连接→属性→Internet 协议(TCP/IP)→高级→选项
→TCP/IP 筛选→属性→把勾打上,添加需要的端口(如: 21、80)。 更改远程连接端
口:开始→>运行→>输入 regedit 查找 3389 :将
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp 和
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp 下的 PortNumber=3389 改为自宝义的端口号并重新启动服
务器。 ⑥编写批处理文件 delshare.bat 并在组策略中应用,以关闭默认共享的空连
接。(以服务器有 4 个逻辑驱动器为例) net share C$ /delete net share D$
/delete net share E$ /delete net share F$ /delete net share admin$
/delete
将以上内容写入 delshare.bat 并保存到系统所在文件夹下的
system32\GroupPolicy\User\Scripts\Logon 目录下。运行 gpedit.msc 组策略编辑器,用
户配置→Windows 设置→脚本(登录/注销
