WIN2003 IIS SQL服务器安全加固措施详解

"这篇内容主要讨论的是如何对运行在Windows Server 2003上的IIS和SQL Server进行安全加固，以保护系统免受潜在的攻击。这些措施包括修改系统文件位置、设置强壮的账户策略、限制网络访问权限、调整NTFS文件权限以及配置系统注册表项等。" 在对WIN2003 IIS SQL服务器进行安全加固时，首先要关注的是降低系统的攻击面。以下是根据提供的内容列出的关键步骤： 1. **隐藏系统命令行工具**: 将`<systemroot>\System32\cmd.exe`移动或重命名可以防止恶意用户利用这个工具执行恶意命令。 2. **强化系统账号管理**: 尽量减少系统账号数量，并更改默认管理员账号名称和描述，同时设置复杂密码以增加破解难度。 3. **限制网络访问**: 阻止匿名用户和其他不必要的内置及服务账户通过网络访问计算机，例如拒绝匿名登录、内置管理员账户、Support_388945a0、Guest以及所有非操作系统服务账户。 4. **精细控制文件权限**: 对于不同类型的文件，给予不同的访问权限。一般用户通常只需读取权限，而管理员和System账户则需要完全控制。但在实际操作中，要谨慎处理可能导致正常程序无法运行的情况，确保在生产环境之前在测试环境中进行充分测试。 5. **NTFS文件权限设置**： - CGI文件：如`.exe`, `.dll`, `.cmd`, `.pl`，应允许Everyone执行，管理员和System完全控制。 - 脚本文件：如`.ASP`，同样需要Everyone执行权限，管理员和System完全控制。 - 包含文件：如`.inc`, `.shtm`, `.shtml`，设置与脚本文件相同。 - 静态内容：如`.txt`, `.gif`, `.jpg`, `.htm`, `.html`，根据需要设定权限，但一般建议Everyone至少有读取权限。 6. **关闭默认共享**：通过修改注册表，禁用C$、D$这样的默认共享，以及ADMIN$和IPC$共享，以降低被利用的风险。 7. **限制IPC$共享**: 修改注册表项`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous`，可以通过设置值来限制匿名用户的IPC$访问，但需要注意过度限制可能影响某些服务的正常运行。 8. **最小权限原则**: 只授予用户实际需要的权限，这是保障安全的重要原则。避免赋予不必要的权限，减少攻击面。 9. **开启审核策略**: 在本地安全策略中启用适当的审核，如登录事件、策略更改、对象访问等，以便跟踪和监控系统活动。 以上所述措施旨在提高系统安全性，减少被黑客利用的机会。然而，实施这些措施时需谨慎，确保不会影响到系统的正常功能。在生产环境中，应始终结合实际情况和最佳实践进行调整，以达到最佳的安全性和可用性平衡。