加固基于Windows 2003平台的WEB服务器配置

1. 运行 Regedt32 并转到此项:

 

　　HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp

　　注意:上面的注册表项是一个路径;它已换行以便于阅读。

　　2. 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。

　　要更改终端服务器上某个特定连接的端口，请按照下列步骤操作: 运行 Regedt32 并转到此项:

　　HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/WinStations/connection

　　注意:上面的注册表项是一个路径;它已换行以便于阅读。

　　3. 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。

　　注意:由于在终端服务器 4.0 版中尚未完全实现备用端口功能，因此只是“在合理的限度内尽量”提供支持，如果出现任何问题，Microsoft 可能要求您将端口重设为 3389。

　　原文来源:微软知识库KB187623。当然为了达到更加安全的访问，还可以采用IPSec来保护远程桌面的连接访问。

　　禁用不必要的服务不但可以降低服务器的资源占用减轻负担，而且可以增强安全性。下面列出了可以禁用的服务:

　　Application Experience Lookup Service

　　Automatic Updates

　　BITS

　　Computer Browser

　　DHCP Client

　　Error Reporting Service

　　Help and Support

　　Network Location Awareness

　　Print Spooler

　　Remote Registry

　　Secondary Logon

　　Server

　　Smartcard

　　TCP/IP NetBIOS Helper

　　Workstation

　　Windows Audio

　　Windows Time

　　Wireless Configuration

　　打开服务器本地计算机策略(gpedit.msc)，参考以下选择和修改对服务器进行加固:

　　1. 设置帐号锁定阀值为5次无效登录，锁定时间为30分钟;

　　2. 从通过网络访问此计算机中删除Everyone组;

　　3. 在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;

　　4. 为交互登录启动消息文本。

　　5. 启用 不允许匿名访问SAM帐号和共享;

　　6. 启用 不允许为网络验证存储凭据或Passport;

　　7. 启用 在下一次密码变更时不存储LANMAN哈希值;

　　8. 启用 清除虚拟内存页面文件;

　　9. 禁止IIS匿名用户在本地登录;

　　10. 启用 交互登录:不显示上次的用户名;

　　11. 从文件共享中删除允许匿名登录的DFS$和COMCFG;

　　12. 禁用活动桌面。

　　强化TCP协议栈:

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]

　　"SynAttackProtect"=dword:00000001

　　"EnablePMTUDiscovery"=dword:00000000

　　"NoNameReleaseOnDemand"=dword:00000001

　　"EnableDeadGWDetect"=dword:00000000

　　"KeepAliveTime"=dword:00300000

　　"PerformRouterDiscovery"=dword:00000000

　　"TcpMaxConnectResponseRetransmissions"=dword:00000003

　　"TcpMaxHalfOpen"=dword:00000100

　　"TcpMaxHalfOpenRetried"=dword:00000080

　　"TcpMaxPortsExhausted"=dword:00000005

　　安装和配置IIS

　　进入Windows组件安装，找到应用程序服务器，进入详细信息，勾选ASP.NET后，IIS必须的组件就会被自动选择，如果你的服务器需要运行ASP脚本，那么还需要进入Internet信息服务(IIS)-万维网服务下勾选Active Server Pages。完成安装后，应当在其他逻辑分区上单独建立一个目录用来存储WEB网站程序及数据。

　　一台WEB服务器上都运行着多个网站，他们之间可能互不相干，所以为了起到隔离和提高安全性，需要建立一个匿名WEB用户组，为每一个站点创建一个匿名访问账号，将这些匿名账号添加到之前建立的匿名WEB用户组中，并在本地计算机策略中禁止此组有本地登录权限。

　　最后优化IIS6应用程序池设置:

　　1. 禁用缺省应用程序池的空闲超时;

　　2. 禁用缓存ISAPI扩展;

　　3. 将应用程序池标识从NetworlService改为LocalService;

　　4. 禁用快速失败保护;

　　5. 将关机时间限制从