2022年安全Web服务器快照 .pdf

《2022年安全Web服务器快照 .pdf》由会员分享，可在线阅读，更多相关《2022年安全Web服务器快照 .pdf（11页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、安全Web 服务器快照组件特征修补程序和更新程序Windows、IIS 和 .NET Framework 中应用了最新的service pack 和修补程序。服务禁用不需要的服务。NNTP 、SMTP 和 FTP 也被禁用（除非需要）。禁用或保护WebDAV（如果使用）。服务帐户特权最少。如果不需要ASP.NET Session State service，则禁用它。协议服务器未启用NetBIOS 和SMB 协议。已强化TCP 堆栈。（见附件）帐户已删除不使用的帐户。禁用了Guest 帐户。默认的administrator 帐户已重命名，且使用强密码。禁用默认的匿名帐户(IUSR_Machin

2、e)。自定义匿名帐户用于匿名访问。强制强密码策略。限制远程登录。禁用空会话（匿名登录）。需要时对帐户委派进行审批。不使用共享帐户。限制本地administrators组的成员（理想情况是两个成员）。要求管理员以交互方式登录（或实施安全的远程管理解决方案）。文件和目录Everyone组没有系统、 Web 或工具目录的访问权限。匿名帐户没有Web 站点内容目录和系统实用工具的访问权限。删除或保护工具、实用工具和SDK 。删除示例文件。删除不需要的DSN 。共享已从服务器中删除不使用的共享。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - -

3、- 名师精心整理 - - - - - - - 第 1 页，共 11 页 - - - - - - - - - 组件特征对必需共享的访问已经过保护（除非必要， 否则不在 “Everyone”组启用共享） 。如果不需要管理共享（C$ 和 Admin$），则删除它们。端口阻止除80 和 443 (SSL) 以外的所有端口，尤其是易受攻击的端口135 139 和 445 。注册表防止注册表的远程管理。已保护了SAM （仅限独立服务器）。审核和日志记录将登录失败记入日志。记录Everyone组访问对象时的失败。将日志文件从%systemroot%system32LogFiles 进行重定位，并使用ACL

4、保护它们： Administrators 和 System 有完全控制权限。启用IIS 日志记录。定期存档日志文件供脱机分析。对访问metabase.bin 文件的情况进行审核。配置IIS 进行W3C 扩展日志文件格式审核。IIS 站点和虚拟目录Web 根目录和虚拟目录分别位于与系统卷不同的卷。禁用父路径设置。已删除危险的虚拟目录（IIS Samples、MSADC 、IISHelp、Scripts 和IISAdmin）。已删除或保护RDS 。Web 权限限制不适当的访问。限制Include 目录使用 “ 读取 ”Web 权限。限制匿名访问文件夹使用“ 写入 ” 和“ 执行 ”Web 权限。允

5、许内容创作的安全文件夹可使用“ 脚本源访问 ”Web 权限，但所有其他文件夹不能使用这些权限。如果不需要FPSE ，则删除它。脚本映射不使用的脚本映射都映射至404.dll： .idq 、 .htw 、 .ida 、 .shtml、 .shtm、 .stm 、idc 、.htr 、.printer。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 11 页 - - - - - - - - - 组件特征注意： 404.dll 在运行IIS Lockdown 工具时安装。ISA

6、PI 筛选器已删除不使用的ISAPI 筛选器。IIS 元数据库已使用NTFS 权限对IIS 元数据库的访问进行了限制。横幅信息已限制；隐藏HTTP 响应标头中的内容位置。Machine.config HttpForbiddenHandler受保护的资源都映射至System.Web.HttpForbiddenHandler远程处理已禁用 .NET 远程处理。 跟踪跟踪信息和详细错误信息都不返回至客户端： 编译禁用调试编译 customErrors 不将错误详细信息返回至客户端： 一般错误页将错误写入事件日志。sessionState 如果不需要会话状态，则禁用它： 代码访问安全性代码访问安全性已

7、在计算机中启用代码访问安全性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 11 页 - - - - - - - - - 组件特征caspol -s OnLocalIntranet_Zone本地Intranet 区域没有权限：PermissionSet=NothingInternet_ZoneInternet 区域没有权限：PermissionSet=Nothing附件：如何强化TCP/IP 堆栈安全目标使用本模块可以实现：?强化服务器的TCP/IP 堆栈安全?保护服务

8、器免遭“ 拒绝服务 ” 和其他基于网络的攻击?在检测到攻击时启用SYN 洪水攻击保护?设置用于确认是什么构成攻击的阈值适用范围本模块适用于下列产品和技术：?Microsoft Windows 2000 Server 和 Windows 2000 Advanced Server 如何使用本模块默认情况下，本模块中的一些注册表项和值可能不存在。在这些情况下，请创建这些注册表项、值和数值数据。有关Windows 2000 控制的TCP/IP 网络设置的注册表的详细信息，请参阅白皮书“Microsoft Windows 2000 TCP/IP Implementation Details”，网址为ht

9、tp:/ 的工作方式。 Web 服务器的特征将确定触发拒绝服务对策的最佳阈值。对于客户端的连接，一些值可能过于严格。在将本模块的建议部署到产品服务器之前，要对这些建议进行测试。摘要TCP/IP 堆栈负责处理传入和传出的IP 数据包，并将数据包中的数据路由到要处理它们的应用程序。默认情况下， TCP/IP 天生就是一个不安全的协议。但是，Microsoft? Windows? 2000 版本允许您配置其操作，以抵御网络级别的大多数拒绝服务攻击。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -

10、 第 4 页，共 11 页 - - - - - - - - - 本模块解释如何强化TCP/IP 堆栈的安全， 以及如何在Windows 注册表内配置各种TCP/IP 参数， 以便保护服务器免遭网络级别的拒绝服务攻击，包括SYS 洪水攻击、 ICMP 攻击和SNMP 攻击。必备知识可以在Windows 注册表内配置各种TCP/IP 参数，以便保护服务器免遭网络级别的拒绝服务攻击，包括SYS 洪水攻击、 ICMP 攻击和SNMP 攻击。可以配置注册表项，以便：?在检测到攻击时启用SYN 洪水攻击保护机制。?设置用于确认构成攻击的阈值。本“ 如何 ” 向管理员介绍必须配置哪些注册表项和注册表值，以抵

11、御基于网络的拒绝服务攻击。注意这些设置会修改服务器上TCP/IP 的工作方式。 Web 服务器的特征将确定触发拒绝服务对策的最佳阈值。对于客户端的连接，一些值可能过于严格。在将本文档的建议部署到产品服务器之前，应当测试这些建议。TCP/IP 天生就是一个不安全的协议。但是，Windows 2000 版本允许您配置其操作，以抵御网络级别的拒绝服务攻击。 默认情况下， 本“ 如何” 中引用的一些注册表项和值可能不存在。在这些情况下，请创建这些注册表项、值和值数据。有关Windows 2000 的注册表所控制的TCP/IP 网络设置的详细信息，请参阅白皮书“Microsoft Windows 200

12、0 TCP/IP Implementation Details”，网址为http:/ SYN 攻击SYN 攻击利用了TCP/IP 连接建立机制中的安全漏洞。要实施SYN 洪水攻击，攻击者会使用程序发送大量TCP SYN 请求来填满服务器上的挂起连接队列。这会禁止其他用户建立网络连接。要保护网络抵御SYN 攻击，请按照下面这些通用步骤操作（这些步骤将在本文档的稍后部分进行说明）：?启用SYN 攻击保护?设置SYN 保护阈值?设置其他保护启用 SYN 攻击保护启用SYN 攻击保护的命名值位于此注册表项的下面：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServ

13、ices。值名称 ： SynAttackProtect建议值 ： 2 有效值 ： 0 2 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 11 页 - - - - - - - - - 说明 ：使TCP 调整SYN-ACK 的重传。配置此值后，在遇到SYN 攻击时，对连接超时的响应将更快速。在超过TcpMaxHalfOpen或 TcpMaxHalfOpenRetried的值后，将触发SYN 攻击保护。设置 SYN 保护阈值下列值确定触发SYN 保护的阈值。这一部分中的所有注

14、册表项和值都位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices的下面。这些注册表项和值是：?值名称 ： TcpMaxPortsExhausted建议值 ： 5 有效值 ： 0 65535 说明 ：指定触发SYN 洪水攻击保护所必须超过的TCP 连接请求数的阈值。?值名称 ： TcpMaxHalfOpen建议的数值数据： 500 有效值 ： 100 65535 说明 ：在启用SynAttackProtect后，该值指定处于SYN_RCVD 状态的TCP 连接数的阈值。在超过SynAttackProtect后，将触发SYN 洪水攻击保护。

15、?值名称 ： TcpMaxHalfOpenRetried建议的数值数据： 400 有效值 ： 80 65535 说明 ：在启用SynAttackProtect后，该值指定处于至少已发送一次重传的SYN_RCVD 状态中的TCP 连接数的阈值。在超过SynAttackProtect后，将触发SYN 洪水攻击保护。设置其他保护这一部分中的所有注册表项和值都位于注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices的下面。这些注册表项和值是：?值名称 ： TcpMaxConnectResponseRetransmissions 建议的数值数据： 2

16、 有效值 ： 0 255 说明 ：控制在响应一次SYN 请求之后、在取消重传尝试之前SYN-ACK 的重传次数。?值名称 ： TcpMaxDataRetransmissions建议的数值数据： 2 有效值 ： 0 65535 说明 ：指定在终止连接之前TCP 重传一个数据段（不是连接请求段）的次数。?值名称 ： EnablePMTUDiscovery建议的数值数据： 0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 11 页 - - - - - - - - - 有效值

17、： 0, 1 说明 ：将该值设置为1（默认值）可强制TCP 查找在通向远程主机的路径上的最大传输单元或最大数据包大小。攻击者可能将数据包强制分段，这会使堆栈不堪重负。对于不是来自本地子网的主机的连接，将该值指定为0 可将最大传输单元强制设为576 字节。?值名称 ： KeepAliveTime建议的数值数据： 300000 有效值 ： 80 4294967295 说明 ：指定TCP 尝试通过发送持续存活的数据包来验证空闲连接是否仍然未被触动的频率。?值名称 ： NoNameReleaseOnDemand建议的数值数据： 1 有效值 ： 0, 1 说明 ：指定计算机在收到名称发布请求时是否发布其

18、NetBIOS 名称。使用表1 中汇总的值可获得最大程度的保护。表 1：建议值值名称值 (REG_DWORD) SynAttackProtect2 TcpMaxPortsExhausted 1 TcpMaxHalfOpen500 TcpMaxHalfOpenRetried400 TcpMaxConnectResponseRetransmissions 2 TcpMaxDataRetransmissions 2 EnablePMTUDiscovery 0 KeepAliveTime 300000（5 分钟）NoNameReleaseOnDemand 1 抵御 ICMP 攻击这一部分的命名值都位于

19、注册表项HKLMSystemCurrentControlSetServicesAFDParameters的下面值：EnableICMPRedirect建议的数值数据： 0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 11 页 - - - - - - - - - 有效值 ：0（禁用）， 1（启用）说明 ：通过将此注册表值修改为0，能够在收到ICMP 重定向数据包时禁止创建高成本的主机路由。使用表2 中汇总的值可以获得最大程度的保护：表 2：建议值值名称值 (REG_DW

20、ORD) EnableICMPRedirect0 抵御 SNMP 攻击这一部分的命名值位于注册表项HKLMSystemCurrentControlSetServicesTcpipParameters的下面。值：EnableDeadGWDetect建议的数值数据： 0 有效值 ：0（禁用）， 1（启用）说明 ：禁止攻击者强制切换到备用网关使用表3 中汇总的值可以获得最大程度的保护：表 3：建议值值名称值(REG_DWORD) EnableDeadGWDetect0 AFD.SYS 保护下面的注册表项指定内核模式驱动程序Afd.sys 的参数。 Afd.sys 用于支持Windows Socket

21、s 应用程序。这一部分的所有注册表项和值都位于注册表项HKLMSystemCurrentControlSetServicesAFDParameters的下面。这些注册表项和值是：?值 EnableDynamicBacklog建议的数值数据： 1 有效值 ：0（禁用）， 1（启用）说明 ： 指定AFD.SYS 功能，以有效处理大量的SYN_RCVD 连接。有关详细信息， 请参阅 “Internet Server Unavailable Because of Malicious SYN Attacks”，网址为http:/ ： MinimumDynamicBacklog建议的数值数据： 20 有效

22、值 ： 0 4294967295 说明 ：指定在侦听的终结点上所允许的最小空闲连接数。如果空闲连接的数目低于该值，线程将被排队，以名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 11 页 - - - - - - - - - 创建更多的空闲连接?值名称 ：MaximumDynamicBacklog 建议的数值数据： 20000 有效值 ： 0 4294967295 说明 ：指定空闲连接以及处于SYN_RCVD 状态的连接的最大总数。?值名称 ： DynamicBacklog

23、GrowthDelta建议的数值数据： 10 有效值 ： 0 4294967295 默认情况下是否出现：否说明 ：指定在需要增加连接时将要创建的空闲连接数。使用表4 中汇总的值可以获得最大程度的保护。表 4：建议值值名称值 (REG_DWORD) EnableDynamicBacklog1 MinimumDynamicBacklog20 MaximumDynamicBacklog20000 DynamicBacklogGrowthDelta 10 其他保护这一部分的所有注册表项和值都位于注册表项HKLMSystemCurrentControlSetServicesTcpipParameters

24、的下面。保护屏蔽的网络细节网络地址转换(NAT) 用于将网络与传入连接屏蔽开来。攻击者可能规避此屏蔽，以便使用IP 源路由来确定网络拓扑。值：DisableIPSourceRouting建议的数值数据： 1 有效值 ：0（转发所有数据包），1 （不转发源路由数据包），2（丢弃所有传入的源路由数据包）。说明 ：禁用IP 源路由，后者允许发送者确认数据报在网络中应采用的路由。避免接受数据包片段处理数据包片段可以是高成本的。虽然拒绝服务很少来自外围网络内，但此设置能防止处理数据包片段。值：EnableFragmentChecking建议的数值数据： 1 名师资料总结 - - -精品资料欢迎下载 -

25、- - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 11 页 - - - - - - - - - 有效值 ：0（禁用）， 1（启用）说明 ：禁止IP 堆栈接受数据包片段。切勿转发去往多台主机的数据包多播数据包可能被多台主机响应，从而导致响应淹没网络。值：EnableMulticastForwarding 建议的数值数据： 0 有效范围 ：0 (false)，1 (true) 说明 ：路由服务使用此参数来控制是否转发IP 多播。此参数由路由和远程访问服务创建。只有防火墙可以在网络间转发数据包多主机服务器切勿在它所连接的网络

26、之间转发数据包。明显的例外是防火墙。值：IPEnableRouter建议的数值数据： 0 有效范围 ：0 (false)，1 (true) 说明 ：将此参数设置为1 (true) 会使系统在它所连接的网络之间路由IP 数据包。屏蔽网络拓扑结构细节可以使用ICMP 数据包请求主机的子网掩码。只泄漏此信息是无害的；但是，可以利用多台主机的响应来了解内部网络的情况。值：EnableAddrMaskReply建议的数值数据： 0 有效范围 ：0 (false)，1 (true) 说明 ：此参数控制计算机是否响应ICMP 地址屏蔽请求。使用表5 中汇总的值可以获得最大程度的保护。表 5：建议值值名称值(

27、REG_DWORD) DisableIPSourceRouting1 EnableFragmentChecking1 EnableMulticastForwarding 0 IPEnableRouter0 EnableAddrMaskReply0 缺陷名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 11 页 - - - - - - - - - 在测试这些值的变化时，请参照在产品中所期望的网络流量进行测试。这些设置会修改被认为正常并偏离了测试默认值的项目的阈值。一些阈值可能由于范围太小而无法在客户端的连接速度剧烈变化时可靠地支持客户端。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 11 页 - - - - - - - - -