Windows 2003 安全加固配置指南
2012-06-06 00:12:07   来源：我爱运维网   评论：0 点击：

IIS虚拟根目录
把IIS虚拟根目录（如：C:\Inetpub）挪到第二个NTFS分区（比如E盘），避免Unicode和二次解码攻击。使用Reskit工具包里的robocopy工具和/SEC/MOVE参数，以保证复制ACL表
 
敏感目录ACL
使用cacls工具设置Web服务器卷上%systemroot%子目录及下级子目录的ACL为: “System: Full” ”Administrators: Full” ”Everyone: read”
关闭父路径设置项
IIS Admin-> 属性-> 主目录-> 应用程序设置-> 配置-> 应用程序选项-> 弃选 启用父路径
 
删除多余项目
关闭Administration（系统管理）站点并删除虚拟子目录IISAdmin和IISHelp
删除用不着的映射关系 （如.htr和.printer映射）
找出并删除ISAPI应用程序中的RevertToSelf调用，防止攻击者提升IUSR或IWAM帐号的权限；把IIS的应用程序保护选项设置为Medium或High
HTML和脚本文件里包含敏感文件或者子目录的路径名，需要删除
 
自定义返回给客户端的脚本错误消息
在脚本错误消息中，选中“发送文本错误消息给客户”，在下面的文本框中自定义一段错误提示。
 
其它相关设置
考虑是否真的需要远程对Web服务器进行管理，如果真的需要，为Web服务器专门建立一个单一功能的远程管理系统，部署在与Web服务器同一网段内某个位置
可以考虑安装UrlScan工具，以便限制恶意的HTTP调用
不要把敏感信息或私人数据保存在Active Server文件或头文件里。把服务器端数据明确地用<% %>标记括起来，防止“查看脚本源代码”攻击

8 其他安全配置

域控制器
SNMP
SQL Server安全措施
Terminal Server安全措施
IE

9 资源下载

最新的MBSA可以从下列地址下载：
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
 
Hfnetchk.exe下载地址：
http://hfnetchk.shavlik.com/
 
IIS Lockdown Tool 2.1下载地址：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&DisplayLang=en