简述 Windows 及 Linux 平台服务的安全加固
Web 安全加固
防止 web 中.mdb 数据库文件非法下载
管理工具->IIS 管理器->网站->Default Web Site->请求筛选->右键文件拓展名->拒绝文件拓展名,添加拓展名.mdb
限制目录执行权限,对 picture 和 upload 目录设置执行权限为无
管理工具->IIS 管理器->网站->web->picture/upload->处理程序映射,右键空白处->编辑功能权限,取消勾选执行
开启 IIS 的日志审计记录(日志文件保存格式为 W3C,只记录日期、时间、客户端 IP 地址、用户名、方法)
管理工具->IIS 管理器->网站->web->日志,格式选择 W3C,点击选择字段,只勾选日期、时间、客户端 IP 地址、用户名、方法
为了减轻网站负载,设置网站最大并发连接数为 1000
管理工具->IIS 管理器->网站->,右侧-设置网站默认设置,设置限制连接数值为 1000
防止文件枚举漏洞枚举网络服务器根目录文件,禁止 IIS 短文件名泄露
CMD 执行命令
1 | fsutil behavior set disable8dot3 1 |
关闭 IIS 的 WebDAV 功能增强网站的安全性
管理工具->IIS 管理器->主机名(WIN-242GA01GJ9K)->ISAPI 和 CGI 限制,右键 WebDav,点击拒绝
服务加固与防火墙策略
参考 服务加固与防火墙策略
主机加固
Linux
1.修改 ssh 的配置文件,禁止 root 直接登录
2.修改密码策略配置文件,确保密码最小长度为 8 位
3.确保错误登录 3 次,锁定此账户 5 分钟
4.禁止 su 非法[[提权]],只允许 root 和 wheel 组用户 su 到 root
5.不响应 ICMP 请求
6.设置登陆超时时间为 10 分钟
- 结束非法登录用户
Windows
修改 3389 端口
设置安全策略,不允许 SAM 帐户的匿名枚举,不允许 SAM 帐户和共享的匿名枚举
在组策略中设置阻止访问注册表编辑工具
开启审核对象访问,成功与失败;开启审核目录服务访问,成功与失败;开启审核系统事件,成功与失败
禁止 445 端口漏洞
设置屏幕保护在恢复时使用密码保护
设置 windows 密码策略:使密码必须满足复杂性,设置密码长度最小值为 8 位,设置密码最长存留期为 30 天
开启 Windows 防火墙,关闭 ping 服务,打开 3389、80 等服务
关闭系统默认共享
简述 Windows 及 Linux 平台服务的安全加固