1.1.1Windows Server的安裝 安裝系統最少兩需要個分區,分區格式都採用NTFS格式;
在斷開網路的情況安裝好作業系統;
安裝IIS,僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP 服務);
安裝MSSQL及其它所需要的軟體然後進行Update;
使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析電腦的安全配置,並標識缺少的Hotfix和更新。
1.1.2設定和管理賬戶 系統管理員賬戶最好少建,更改預設的系統管理員帳戶名(Administrator)和描述,密碼最好採用數字加大小寫字母加數位上檔鍵組合,長度最好不少於14位;
建立一個名為Administrator的陷阱帳號,為其設定最小的許可權,然後隨便輸入組合的最好不低於20位的密碼將Guest賬戶禁用並更改名稱和描述,然後輸入一個複雜的密碼;
在運行中輸入gpedit.msc斷行符號,開啟組策略編輯器,選擇電腦配置-Windows設定-安全設定-賬戶策略-賬戶鎖定策略,將賬戶設為“三次登陸無效”,“鎖定時間為30分鐘”,“複位鎖定計數設為30分鐘”;
在安全設定-本地策略-安全選項中將“不顯示上次的使用者名稱”設為啟用;
在安全設定-本地策略-使用者權利分配中將“從網路訪問此電腦”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶;
建立一個User賬戶,運行系統,如果要運行特權命令使用Runas命令。
1.1.3網路服務安全管理 禁止C$、D$、ADMIN$一類的預設共用;
解除NetBios與TCP/IP協議的綁定;
關閉不需要的服務。
1.1.4開啟相應的稽核原則(推薦的要審核的項目) 登入事件 成功 失敗
賬戶登入事件 成功 失敗
系統事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗;
特權使用 失敗。
1.1.5安全相關設定 隱藏重要檔案/目錄;
啟動系統內建的Internet串連防火牆,在設定服務選項中勾選Web伺服器;
防止SYN洪水攻擊;
禁止響應ICMP路由通告報文;
防止ICMP重新導向報文的攻擊;
不支援IGMP協議;
禁用DCOM。
1.1.6配置 IIS 服務 不使用預設的Web網站,如果使用也要將 將IIS目錄與系統磁碟分開。
刪除IIS預設建立的Inetpub目錄(在安裝系統的盤上)。
刪除系統硬碟下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
刪除不必要的IIS副檔名映射;
去掉不必要的應用程式對應。主要為.shtml, .shtm, .stm;
更改IIS日誌的路徑
利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描。