计算 
数据库 
存储 
网络 
安全 安全配置
配置说明
本文档主要是针对Windows操作系统和IIS web server安全配置的简单说明。
文档内容包括:操作系统、云管理平台的相关安全配置,仅供参考。
操作系统配置
启用并配置Windows update
以下多数操作是在Windows组策略设置中完成。
- 在Windows任务栏左边的图标上打开右键菜单,选择其中的“运行”。
- 输入:gpedit.msc,点击“确定”,打开“本地组策略编辑器”
配置Windows update策略
组策略(gpedit.msc),管理模板,Windows组件,Windows更新
启用:配置自动更新
允许自动更新立即安装
这里仅指自动安装某些不中断Windows服务,也不需要重启Windows的更新。
配置帐户密码策略
设置密码长度最小值和密码使用期限
组策略(gpedit.msc),Windows设置,安全设置,帐户策略
设置帐户锁定阈值
审核策略配置
设置“审核策略”有两个版本,传统版本需要在安全选项中禁用“强制审核策略替代功能”。
在“本地策略”,“审核策略”中配置。
也可以在启用“强制审核策略替代功能”情况下,到“高级审核策略配置”中进行审核策略的配置。
其他“安全选项”
交互式登录:不显示上次登录,建议启用。
交互式登录:计算机帐户锁定阈值,建议设置。
帐户:重命名系统管理员帐户,根据个人偏好而定。
注意,一旦重命名了系统管理员帐户,那么下次登录这台服务器(包括远程桌面登录)就得使用这个重命名的帐户名称。
帐户:重命名来宾帐户,根据个人偏好而定。
软件限制策略
软件限制策略,默认为空。打开右键菜单,选择“创建软件限制策略”。
然后在“其他规则”的右键菜单中,选择“新建路径规则”
将web 根目录(根据服务器的实际情况选择web根目录),限定为不允许执行可执行文件。
防病毒软件
安装防病毒软件,如eset nod32 server版,或者在windows安全中心中,启用“病毒和威胁防护”。
系统防火墙
有必要检查系统防火墙的开启状态,在windows安全中心中,开启防火墙。
防火墙规则参考
原则:
1、关闭所有不必要的端口开放;
2、需要开放的端口,确定开放的范围,并配置相应的允许策略;
IIS web server配置
准备工作
为网站建立一个操作系统用户,设置复杂口令并记住,后面涉及网站的运行权限都会指定为这个用户。
指定属于“IIS_IUSERS”用户组就可以。
网站根目录
无论服务器上部署一个,还是多个网站。建议将所有网站都放置在指定的目录中,并且为每个网站指定独立的目录作为网站根目录。
要求:
网站根目录,web访问日志存放目录独立;
网站根目录设置为指定用户访问;
网站根目录,针对网站运行用户设置为“只读”,特定有需求的文件夹(比如网站的上传文件夹)设置为“可写”,但请在IIS中删除该文件夹的“脚本执行权限”;
网站应用程序池
建议为每一个网站建立各自独立的应用程序池,并使用指定用户作为网站应用程序池的标识。
添加应用程序池:
应用程序池建立后,在“高级设置”中,更改其“标识”。
不要选择默认的“ApplicationPoolIdentity”,改为“自定义帐户”
网站运行用户
1、设定网站运行的指定用户。
首先设置网站“匿名身份验证”。选中指定网站,打开“身份验证”。
选择“匿名身份验证”,点击右边的“编辑”按钮。
在弹出的“编辑匿名身份验证凭据”窗口中,可以选择“特定用户”,然后手工输入指定用户名和口令,也可以选择“应用程序池标识”(前提是已经在应用程序池中指定标识)。
2、设定网站的连接用户。
在IIS中选中网站后,点击右边的“基本设置”。
在弹出的“编辑网站”窗口中,点击“连接为”按钮。
在弹出的“连接为”窗口中,可以选择“特定用户”,然后手动输入指定用户名和口令,也可以勾选“应用程序用户”(前提是已经在应用程序池中指定标识)。
在设置完连接用户后,可以在“编辑网站”窗口,点击“测试设置”按钮来检查网站运行用户的设置是否正确,以及网站在设置了运行用户后是否可以正常运行。
取消特定目录“脚本执行权限”
针对某些特定目录,比如网站保存上传文件的目录。这个目录需要“写入”权限,同时因为只是保存上传的图片、文本等文件,所以不需要脚本执行权限。
取消这些特定目录的“脚本执行权限”,有助于网站的安全防护。
在IIS中选中该特定目录,双击打开“处理程序映射”。
然后选择“编辑功能权限”,在弹出的窗口中,去掉“脚本”的勾选即可。
网站日志
设置网站日志的保存目录。
建议为网站日志添加“自定义字段”(X-Forwarded-For),在很多场景下,网站访问用户的源地址会使用“X-Forwarded-For”来记录。设置该“自定义字段”后,在网站的访问日志中可以记录来自“X-Forwarded-For”的IP地址信息。
