Windows_2003_WEB服务器安全配置方案
Windows2003服务器设置
Windows2003已经出现很久了,现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉,在这里,我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。
Win2003系统已经比Win2K系统增加了很多的安全性,所以现在选择Win2003系统作为服务器系统,将会是网络管理员的最佳选择。
本文假设你是一个服务器管理员,现在你的服务器使用Win2003服务器系统,你的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等)。
一、系统安装注意事项:首先,你得先把你的Win2003系统安装好,在安装系统时请选择使用NTFS文件系统分区,因为该分区可以对你的服务器资源进行加密、权限设置等,如果你的文件系统分区是使用FAT32的话,而你这台服务器作为一台虚拟主机,给客户提供空间,如果客户在空间里传了一个WebShell,如ASP木马等,而你使用的FAT32文件系统却不能为你的文件设置访问权限的话,那么黑客就能通过这个ASP木马取得你的服务器管理权了,那将是没有任何的安全性可言了。
为了系统的安全着想,系统安装好后,你还要给你的系统设置一个强壮的管理员口令,千万不要使用简单的口令,如123456等这样的简单登陆口令。
因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。
一个强壮的口令应该包括数字、英文字母、符号组成,如密码k3d8a^!ka76,设置好一个强壮的系统登陆口令后,我们就可以安装各种上面所述的组件服务支持了。
还是那句老话,最少的服务等于最大的安全,对于一切不须要的服务都不要安装,这样才能保证你服务器的安全性。
基于windows2003平台的web服务器安全分析
tnt ee l  ̄务 和Mi oo e h c sfsr 服务相关。Pi S ol : r t c r tpo r打印 n e 服务 , 如无连接 打印机禁用 。R m t R g t : e o eir 禁止远程 e sy 修改注册表。 3 除共享 。 n o s 删 Wi w 系统默认安装完成之后 , d 其实 系统 中所有分 区以及系统文件 夹其 实都 已经 自动共享 了, 称为默认共 享 , 这些共享 文件夹都是 隐藏 的。通过
一+
一+ 一— -+ — 十一
”+
“ +
一+
一十 -— 十一一 一”+ —+
他说 自己经历 了痛苦 的生死 搏斗 ,事实上是 衰败的身 体和飞升的精神进行 的搏斗 ,两者都不可能 独 自占据 远蒲 , 他们 的搏斗是永恒 的。 这也许就是残雪所说的艺 术 家的生存模 式 : 一方面是 ‘ 神的狂热追求 导致 了 对精
【 专题研讨 】
基 于wid ws 0 3 台 的we 1 务器 安 全 分析 n o 0平 2 b] l l
张奕谦 ( 广州华立科技职业学 院 , 广东 广州 5 10 ) 13 0
摘 要 : 文 基 于wid w sre 20  ̄ 台 上 架 构 a + ces 术 的we 服 务 器 , ̄ n o s 2 0 系统 安 全 、 本 n 0 s e r 03 v s acs p 技 b xwid w 03 l '
I 安全和acs I s ce 数据库下载等 问题进行探讨 , s 并从这三个方面分析一些常规的安全设 置, 保障we ̄ 务 器的安全。 bl K
关 键 宇 : id w 2 0 I安 全 ; 据 库 下载 w n o s 03 I ;S 数 中 图分 类号 : 7 2 G 1 文 献标 志码 : A 文 章 编 号 :6 4 9 2 (0 2 0 - 2 5 0 1 7 — 34 2 1 )7 02 — 3
Windows Server 2003 系统配置方案
C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。
3、系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
另外,还将:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就能拿到 system",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限。
图解Win2003 SP1 下使用SCW配置Web服务器
图解Win2003 SP1 下使用SCW配置Web服务器Windows Server 2003是大家最常用的服务器操作系统之一。
虽然它提供了强大的网络服务功能,并且简单易用,但它的安全性一直困扰着众多网管,如何在充分利用Windows Server 2003提供的各种服务的同时,保证服务器的安全稳定运行,最大限度地抵御病毒和黑客的入侵。
Windows Server 2003 SP1中文版补丁包的发布,恰好解决这个问题,它不但提供了对系统漏洞的修复,还新增了很多易用的安全功能,如安全配置向导(SCW)功能。
利用SCW功能的“安全策略”可以最大限度增强服务器的安全,并且配置过程非常简单,下面就一起来看吧!1.安装SCW,SCW功能虽然已经内置在SP1中,但是必须通过手动安装才能够正常使用。
安装的方法很简单,打开控制面板的添加Windows组件,选中安全配安装SCW置向导然后点下一步就可以完成安装SCW了。
2.启动SCW。
安装完SCW后,单击开始按钮选择程序中的管理工具选择安全配置向导,就可以启动安全配置向导了。
启动安全配置向导安全配置向导的启动界面启动安全配置向导后,点击下一步,就进入安全配置了。
3.在这里我们选择创建新的安全策略,点击下一步。
4.在这里我们选择输入安装计算机的名字Win2003,并单击下一步。
等待计算机完成初始化安全配置数据库,并点击下一步。
务器在网络中所扮演的角色。
单击下一步。
6.根据需要选择web服务器,把其他前面的勾去掉,单击下一步。
7.由于我们只需要web服务,不需要别的客户端功能,所以把所有的勾都去掉。
是服务器安全中很重要的一项,所以我们选中它。
版等等就选中它。
在这里我们选择禁用此服务。
点击下一步。
下一步。
12.下面进入了下一项,就是网络安全的配置。
点击下一步。
点下一步。
口(比如3389)都关闭了。
然后我们就进入下一个配置项目:注册表配置。
15.进入注册表设置了,点击下一步。
web服务器安全配置
web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。
为了确保网站的安全,正确的服务器安全配置是至关重要的。
本文将介绍一些重要的方法和步骤,以帮助您合理地配置和保护您的Web服务器。
1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。
这样可以确保您的服务器是基于最新安全补丁和修复程序运行的,以减少黑客和恶意软件的攻击风险。
2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。
黑客经常利用这些默认配置的弱点,因此应该定制和修改这些配置。
将默认的管理员账户名称和密码更改为强密码,并禁用不必要的服务和插件。
3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输,应该始终使用安全的传输协议,如HTTPS。
HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性,防止数据在传输过程中被黑客窃取或篡改。
4. 创建强大的访问控制使用防火墙和访问控制列表(ACL)来限制对服务器的访问。
只允许必要的IP地址访问您的服务器,并阻止来自已知恶意IP地址的访问。
使用强大的密码策略来保护登录凭证,并定期更改密码。
5. 防御举措采取一些额外的防御措施,例如使用Web应用程序防火墙(WAF)来检测和阻止恶意的HTTP请求。
WAF可以识别和封锁潜在的攻击,如跨站点脚本攻击(XSS)和SQL注入攻击。
6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。
通过监控服务器访问日志和相关指标,可以及时发现潜在的安全问题。
使用入侵检测系统(IDS)和入侵防御系统(IPS)来检测和阻止未经授权的访问和活动。
7. 数据备份和恢复计划及时备份服务器上的所有数据,并设置定期的备份计划。
这样,在服务器遭受攻击或数据丢失时,可以及时恢复数据并最小化损失。
8. 网络分割将Web服务器与其他敏感数据和系统隔离开来,建立网络分割可以减少攻击面,确保一次攻击不会导致整个网络或系统的崩溃。
探讨以Windows2003做WEB服务器的安全
Mi oo Widw 操作系统具有操作方便 、 c sf n o S r t 简单实用的特点 , 特别 是用 Widw 20 n o s0 3网络版的操作 系统更体现 出来 ,所 以现在大多数的 网站都是以 M c sfWid w 20 ir ot no s0 3作为 网络服务平 台。因为其 集成 了 o I 组件 , I s 架起 WE B服务器 非常简单 。即使是不太懂 电脑的人也可用 Widw 20 n o s0 3来 搭 建 WE B服务 器 。 但 Widw 2 0 n o s0 3的 安全 性 相 对 LN X系统来说相对弱 ,所以要求 网络管理员要对 Widw 2 0 IU n o s0 3的安 全性进行设置。本文提出以下几点来为 Widw 2 0 n o s0 3服务器的安全设
科技信息
计 算机 与 网络
总之 ,多媒体计算机作 为一种 现代教学媒体 ,我们不能过分的依 赖, 但也不能一概地摒弃 , 必须在现代教育技术理论的指导下才能发挥 巨大的作用 。与其他媒体 一样 ,多媒体计算机在教学 中的作用是有规 律、 有条件的 , 它只是在某 些方面 比其它媒体功能强 , 并不是 在所 有方 面都优 于其他。 我们要看具体的教学内容和教学环境而定 。 我们既会用 多媒体课件 , 又不能受其局限 , 又能够花功夫去备课 , 去探究教学规律 。 随着科学技术的发展 , 越来越多的高科技手段走进课 堂。 教师在使用这 些教学手段时 , 必须提高 自己的业 务水平 , 充分发挥它优势功 能, 能 才
置。
站的安全存在隐患, 的黑客可 以通过这些解释器拿到系统的控制权 , 有 进 而 破 坏 系 统 和 数据 ,所 以 我 们有 必 要 把 与 A P没 有 关 联 的 解 释 器删 S 除。 删除方法如下: 开始一程序一 管理工具一Itme 信息服务( S管理 ne t I) I 器, 在弹 出的 It e 信息服务fs管理 器对 话框 , ne t u r I) I 选择 “ 计算机机器名 下的 网站 , 选择 网站的属性 , 又在弹 出的网站属性对话 框里选择 主 目 录标签 , 单击 配置 , 再 又弹 出应用程 序配置的对话框 , 把里面的所有解 释器 删 除 , 了扩 展 名 为 . p 除 a 。 s 4只 打开 8 . O端 口
Windows 2003服务器安全配置终极技巧
Windows 2003服务器安全配置终极技巧1、安装系统补丁。
扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户,进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。
∙其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。
建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘,有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限,无只给Administrators 权限。
Windows 2003 网站目录安全权限设置指南
Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展,各高校所运维的网站数量和规模与日俱增。
与此同时,Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可,基于IIS WEB服务器软件的网站数量也越来越多。
通常情况,高校的大多数服务器,会由技术力量相对雄厚的网络中心等IT资源部门运维管理。
而网站程序的制作则一般由各单位、各部门自主负责:少数用户单位将会自主开发,或者请专业的IT公司代为开发。
而更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,便将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行着多个网站,其中某个网站存在着安全漏洞(例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站,取得权限,上传网页木马,得到了一个WEB SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有WEB站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便将感染上病毒,结果引来用户的严重不满和投诉,同时也严重损害了学校的形象。
为了避免类似事件的发生,我们有必要将网站和数据库分开部署,通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还是远远不够的,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限做严格的控制,实现各网站之间权限的隔离,做法如下:在WEB服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
windows 2003系统目前最完善最完美的安全权限方案
在“服务”里关闭 iis admin service 服务。 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为 20M 即:20480000) 存盘,然后重启 iis admin service 服务。 >> 解决 SERVER 2003 无法下载超过 4M 的附件问题 在“服务”里关闭 iis admin service 服务。 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 找到 AspBufferingLimit 把它修改为需要的值(可修改为 20M 即:20480000) 存盘,然后重启 iis admin service 服务。 >> 超时问题 解决大附件上传容易超时失败的问题 在 IIS 中调大一些脚本超时时间,操作方法是: 在 IIS 的“站点或虚拟目录”的“主目录”下点击 “配置”按钮, 设置脚本超时时间为:300 秒 (注意:不是 Session 超时时间) 解决通过 WebMail 写信时间较长后,按下发信按钮就会回到系统登录界面的问题 适当增加会话时间(Session)为 60 分钟。在 IIS 站点或虚拟目录属性的“主目录”下点击“配置--> 选项”, 就可以进行设置了(Windows 2003 默认为 20 分钟) >> 修改 3389 远程连接端口 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0000 端口号 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:0000 端口号 设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号 >> 本地策略--->用户权限分配 关闭系统:只有 Administrators 组、其它全部删除。 通过终端服务允许登陆:只加入 Administrators,Remote Desktop Users 组,其他全部删除 >> 在安全设置里 本地策略-用户权利分配,通过终端服务拒绝登陆 加入 ASPNET IUSR_ IWAM_ NETWORK SERVICE (注意不要添加进 user 组和 administrators 组 添加进去以后就没有办法远程登陆了) >> 在安全设置里 本地策略-安全选项 网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径; 网络访问:可远程访问的注册表路径和子路径; 将以上四项全部删除
实验5-Windows-2003-WWW、FTP服务器的配置与管理
实验5-Windows-2003-WWW、FTP服务器的配置与管理实验目的本实验旨在让学生通过实现Windows 2003服务器上的WWW、FTP服务的配置和管理,掌握Windows Server的基本操作方法,提高对服务器基本概念的理解。
实验环境•虚拟机软件:VMware Workstation 14 Pro•操作系统:Windows Server 2003 Enterprise Edition实验步骤配置WWW服务1.打开“服务器管理器”,打开“管理控制台”选项卡,选择“添加或删除组件”。
2.在“组件向导”中,选择“Internet 信息服务(IIS)”选项,并确定。
3.在“Searching for Required Files”对话框中,如果需要,可以插入Windows 2003安装光盘。
4.点击“完成”后,IIS将被安装和配置为Windows 2003服务器上的WWW服务。
管理WWW服务1.进入IIS管理界面,在“目录树”中选择“默认网站”。
2.在右侧选择“属性”选项卡,可以设置该网站的基本属性和默认文档。
3.点击“主页”选项卡,可以设置网站的主页信息。
4.点击“虚拟目录”选项卡,可以管理和创建虚拟目录。
5.该网站在IIS中的WWW服务的默认端口为80,修改该端口可以在“WWW服务扩展”中设置。
配置FTP服务1.打开“服务器管理器”,选择“角色”选项卡,点击“添加角色”。
2.在“添加角色向导”中,选择“应用程序服务器”选项,并确定。
3.选择“Internet 信息服务(IIS)”和“FTP服务器”选项,并完成向导。
4.在“FTP站点向导”中,选择“新建FTP站点”,并完成创建。
5.可以在IIS管理界面的“FTP站点”中修改FTP服务的基本设置。
管理FTP服务1.进入IIS管理界面,在“目录树”中选择“默认FTP站点”。
2.在右侧选择“属性”选项卡,可以设置FTP站点的基本属性和连接信息。
Windows 2003 Server 服务器安全配置(完全版)
Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services 中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
Windows2003的校园网Web服务器安全配置技术
基于Windows2003的校园网Web服务器安全配置技术王杨摘要:对基于Windows Server 2003系统下Web服务器的安全技术研究。
从操作系统本身入手,通过重新规划系统部分默认配置。
提高基Windows2003的校园网Web服务器的安全性。
关键词:web 服务器;安全;IIS;Windows Server 2003构建一个安全的Web服务平台是保障学校各项工作顺利开展的基础,是学校实现现代化教学的前提,也是保障整个互联网健康发展的一个重要因素。
随着各类黑客工具在网络上的大势传播,Web 服务器面临着前所未有的威胁Windows Server2003作为第一个内置支持.NET技术的操作系统,重写了内核代码,使得该系统更稳定、更安全。
以下分别从Windows Server2003 系统配置,IIS配置以及网站代码安全三个方面来探讨web 服务器的安全问题。
1 Windows Server2003 系统安全配置Web服务器所采用的操作系统,高性能、高可靠性和高安全性是其必备要素。
微软的企业级操作系统中, 如果说Windows2000 全面继承了NT 技术, 那么Windows Server2003 则是依据.Net 架构对NT技术作了重要发展和实质性改进, 凝聚了微软多年来的技术积累, 使得系统安全性方面得以更大提高。
1.1 采用NTFS磁盘分区格式NTFS系统提供了性能安全、可靠以及在其他文件系统格式没有的高级功能,可以实现文件及文件夹的加密、权限设置、磁盘配额和压缩等高级功能,并可以更好的利用磁盘空间,提高系统的运行速度。
自WindowsNT 系统问世以来,使用NTFS文件系统,进一步打造系统安全已逐渐成为一种共识。
1.2 关闭系统默认共享Windows Server2003 仍开启默认共享所有硬盘分区, 以及让进程通信而开放的命名管道IPC$和系统工作目录admin$共享,这就为系统的安全埋下隐患。
安全配置windows服务器
一、实验目的了解Windows服务器的安全配置内容二、实验环境Windows Server 2003三、实验内容与要求安全配置Windows服务器实验的实验内容主要包括:账号管理:这包括用户分配帐户,设定不同的账户和账户组,如管理员用户、数据库用户、审计用户和来宾用户等。
密码设置:要求密码符合复杂性策略要求,例如最短密码长度为6个字符,启用本机组策略中密码必须符合复杂性要求的策略。
账户锁定策略:设置账户锁定的时间和锁定的阈值等。
本地策略:这包括对登录事件、对象访问、账户登录和驱动程序等进行管控。
审计策略:获取并存储系统和应用程序生成的错误警告和其他信息,这些信息被存储为一条条记录,每条记录包括事件发生时间、事件源、事件号和所属类别、机器名、用户名和事件本身的详细描述。
在配置过程中,需要注意的实验环境包括服务器系统管理员、应用管理员和网络安全管理员。
本配置实验适用的范围包括各省公司各部门维护管理的WINDOWS主机。
1.端口配置1.1 :依次点击“开始”->“设置”->“网络连接”,打开“网络连接”窗口。
如图1所示图11.2:选择“本地连接”,右键单击,在快捷菜单中选择“属性”打开其属性窗口。
如图2所示图21.3:选中“Internet协议(TCP/IP)”,点击“属性”按钮,打开其属性对话框。
如图3所示图31.4:点击“高级”按钮,打开“高级TCP/IP 设置”对话框并切换到“选项”便签下。
如图4所示图41.5:点击“属性”按钮,打开“TCP/IP筛选”对话框,勾选“启用TCP/IP筛选(所有适配器)”,“T CP端口”框中选择“只允许”单选按钮(假设该服务器为IIS服务器,仅允许80端口开放),点击“添加”按钮添加端口“80”。
如图5所示图51.6:在此“TCP/IP筛选”对话框中,也可对UDP端口及IP协议进行过滤设置,一般情况下,负载量不大的服务器仅允许对外提供服务的IP协议生效。
终级Win2003服务器安全配置篇
终级Win2003服务器安全配置篇今天演示一下服务器权限的设置,实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示,此演示基本上保留系统默认的那些权限组不变,保留原味,以免取消不当造成莫名其妙的错误.看过这个演示,之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置:C:\WINDOWS\Application Compatibility Scripts 不用做任何修改,包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件,创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改,包括其下所有子目录C:\WINDOWS\inf不用做任何修改,包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改,包括其下所有子目录C:\WINDOWS\msagent 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改,包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限,取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改,其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改,包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改,包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限,其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限,给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改,包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。
windows2003服务器详解设置大全
Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统,它基于 Windows NT 的架构,具有非常好的稳定性、可靠性和安全性,适用于企业实施各种应用解决方案。
本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。
安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤:1.选择安装语言和安装选项,例如安装 Windows Server 2003 标准版或企业版等。
2.选择安装位置,可以选择已有分区上进行安装,也可以新建分区。
3.设置管理员密码,以保证服务器的管理安全。
4.完成安装后,系统会自动重启,启动时将进入 Windows Server 2003配置向导。
配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术:配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。
2.双击“Internet 协议(TCP/IP)”选项卡,进入“属性”对话框。
3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。
配置域名和 DNS1.在“控制面板”中选择“管理工具”,然后单击“DNS”。
2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名,也可以直接在“区域”下输入域名。
3.单击“新建区域”,输入相应的域名和 IP 地址。
可以在“区域域名”下找到设置的域名。
配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务),并选择“FTP站点”。
2.选择“FTP 站点”,点击“属性”按钮。
3.在“FTP 站点属性”对话框中,单击“高级”选项卡,随后将 FTP 主目录配置为指定目录。
配置防火墙1.在“控制面板”中找到“安全中心”,单击“Windows 防火墙”进行防火墙的配置。
2003服务器系统安全配置-中级安全配置
2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般入侵,需要高级服务器安全维护,请联系我。
我们一起交流一下!做为一个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的密码一定要强壮!服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。
)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
Windows Server 2003 Web服务器的配置与应用
WE B服 务器 , 我们 学 校 也 不 例 外 。那 么 对 于 网 管 人 员 来说 最初 服 务 器 的 建 立 工作 是 比 较 烦 杂 和 的 , 们 服 务 器 的 操 作 系统 为 我 Widw e e 0 3 在 We no s r r 0 , Sv 2 b服 务器 的 配 置 过 程 中 发 现 了许 多 与
Ab t c : i h e eo m e t f n e n t n d a d c mp n e e a O e tbi h i o e e e s I v s g t n h w h tI sr t a W t t e d v l p n tr e d wi eb n . o a is g n t s l h t er wn W b s r r. n et ai ss o ta — h o I a b a s v i o
当前 由 于 互 联 网 的 迅 猛 发 展 ,很 多 单 位 都 开 始 建 立 自 己 的
注 意 设 嚣 写 入 及 修 改 权 限 , 去 掉 目录 浏 览 权 限 。 而 由于 提 供 We b服 务 的 服 务 器 价 格较 高 ,而且 一 天 2 4小 时都 开 着 , 以 为 了节 约 成 本 和 提 高 服 务 器 的 利 用 率 , 们 有 时 候 就 所 我 需要在一 个 I P地 址 上 建 立 多 个 w b站 点 . I e 在 I S中 , 们 可 以通 我 过 设 置 达 到 这 个 目标 。
维普资讯
网 络 通 讯 与 安 全
电脑 知 识 与 技 术
W i WS ev r 0 3W e O re 0 b服务器的配置与应用 n d S 2
谢 晓勇
( 州职 业技 术 学 院 , 南 永 州 45 0 ) 永 湖 2 0 6 摘 要 : 着 It t 宽 带 网络 技 术 的 日益 发 展 , 多单 位 都 开 始 建 立 自己的 W e 随 ne me 和 很 b服 务 器 , 因为 I ( It n tnoma o e e) I 即 ne e Ifr t nSr r S r i v 的 方便 性 和 易 用性 , 经过 调 查 发 现 它 已经 成 为 最 受 欢 迎 的 W e b服 务 器软 件 之 一 。 么如 何 快 速 高效 的 配 置好 r , 充分 发 挥 它 的 功 能 , 那 r 并 s
Windowsserver2003web服务器配置教程
Windowsserver2003web服务器配置教程步骤1:安装Windows Server 2003首先,您需要安装Windows Server 2003操作系统。
确保您具有适当的许可证,并将光盘插入服务器。
按照屏幕上的提示进行操作,直到安装完成。
步骤2:安装IIS(Internet Information Services)一旦Windows Server 2003安装完成,您需要安装IIS作为Web服务器。
打开“控制面板”,然后选择“添加/删除程序”。
在左侧的“添加/删除Windows组件”中,找到“Internet信息服务(IIS)”并选中它。
点击“下一步”并按照屏幕上的提示进行操作,直到安装完成。
步骤3:配置IIS安装完成后,打开IIS管理器。
在“开始”菜单中找到“管理工具”文件夹,然后选择“Internet信息服务(IIS)管理器”。
在左侧的树状列表中,展开“计算机名”并选择“网站”。
右键单击“默认网站”并选择“属性”。
在属性窗口中,您可以更改默认网站的各种设置。
例如,您可以更改网站的端口号,将其从默认的80更改为其他端口(例如8080)。
您还可以设置主目录,选择将网站文件保存在哪个文件夹中。
步骤4:创建虚拟目录或应用程序池在IIS中,您可以创建虚拟目录来托管网站的文件。
虚拟目录是指一个不同于默认网站文件夹的文件夹。
要创建虚拟目录,右键单击“网站”并选择“新建”>“虚拟目录”。
在虚拟目录创建向导中,您需要提供虚拟目录的别名和路径。
别名是您将在浏览器中使用的URL路径,路径是实际文件夹的位置。
按照向导的指示完成创建虚拟目录的过程。
另一种选择是创建应用程序池。
应用程序池是一组进程,用于托管网站或应用程序。
要创建应用程序池,右键单击“网站”并选择“新建”>“应用程序池”。
提供应用程序池的名称和其他设置,然后单击“确定”。
步骤5:配置安全性在配置Web服务器时,确保设置适当的安全性。
WWW服务器配置管理
Windows 2003 WWW服务器配置管理
(2) 添加新的Web站点
①打开如图5所示【Internet信息服务(IIS)管理器】窗口, 鼠标右击网站,在弹出菜单中选择【新建】/【网站】,出 现【网站创建向导】,单击【下一步】继续。
图5【Internet信息服务(
IIS)管理器】窗口
Windows 2003 WWW服务器配置管理
Windows Server 2003 WWW服务器配置管理
能力目标: 掌握WWW服务器的配置和管理。
Windows 2003 WWW服务器配置管理
准备工作:将Windows Server 2003安装光盘放入计算机光 驱(或者将Windws Server 2003的iso映像文件载入虚拟 光驱)。 1. 安装IIS
图20 【自定义错误】属性对话框
Windows 2003 WWW服务器配置管理
2.4 Web站点的启动与停止
如果Web站点当前为“停止”状态,那么可以使用“活动工具 栏”中的“启动项目”按钮或右击该站点从弹出的菜单中执行“启动” 选项来启动该Web站点。如果Web站点当前为“启动”状态,那么可以 使用“活动工具栏”中的“停止项目”按钮或右击该站点从弹出的菜 单中选择“停止”选项来停止该Web站点。
图12 【主目录】属性对话框
Windows 2003 WWW服务器配置管理
① 选择“此计算机上的目录”,并在“本地路径”文本框中指定新的磁 盘或目录,如d:\web,即可将该Web网站的主目录修改至新的位置。 此时需必须使用绝对路径。 ② 选择“另一计算机上的共享位置”,此时“本地路径”变为“网络目 录”,采用该选项时,另一台计算机已经连入网络并必须能够实现网 络共享,而且必须是欲使用的共享目录。对于网络共享,必须使用统 一命名约定(UNC)服务器和共享名,即“\\服务器名\共享名”。 ③ 选择“重定向到URL”,此时“本地路径”变为“重定向到”,可以 将新的主目录指定到其他的URL。当浏览器访问该站点时,将自动指 向“重定向到”文本框所提供的目标URL,以便浏览器跳转到指定的 Web页。
WEB服务器安全设置
WEB 服务器安全设置WEB 服务器安全设置2010-06-07 162010-06-07 16::57 WEB 服务器安全设置参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢!一、系统的安装1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
安装在系统里面。
22、IIS6.0的安装开始菜单的安装开始菜单--控制面板控制面板--添加或删除程序加或删除程序--添加添加//删除Windows 组件应用程序组件应用程序(((可选可选可选)|--)|--)|--启用网络启用网络COM+COM+访问访问访问((必选必选)|--Internet )|--Internet 信息服务信息服务(IIS)---Internet (IIS)---Internet 信息服务管理器信息服务管理器((必选)|--)|--公用文件公用文件公用文件((必选必选)|--)|--)|--万维网服务万维网服务万维网服务---Active Server pages(---Active Server pages(---Active Server pages(必选必选必选)|--)|--Internet 数据连接器数据连接器((可选可选)|--WebDAV )|--WebDAV 发布发布((可选可选)|--)|--)|--万维网服务万维网服务万维网服务((必选必选)|--)|--)|--在在服务器端的包含文件服务器端的包含文件((可选可选))然后点击确定然后点击确定--下一步安装。
下一步安装。
((具体见本文附件1)3、系统补丁的更新点击开始菜单、系统补丁的更新点击开始菜单--所有程序所有程序-Windows Update -Windows Update 按照提示进行补丁的安装。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、Windows 2003安全配置■.确保所有磁盘分区为NTFS分区■.操作系统、Web主目录、日志分别安装在不同的分区■.不要安装不需要的协议,比如IPX/SPX, NetBIOS?■.不要安装其它任何操作系统■.安装所有补丁(用瑞星安全漏洞扫描下载)■.关闭所有不需要的服务* Alerter (disable)* ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration) * Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* Telephone Service (disable)■. 帐号和密码策略1)保证禁止guest帐号2)将administrator改名为比较难猜的帐号3)密码唯一性:记录上次的6 个密码4)最短密码期限:25)密码最长期限:426)最短密码长度:87)密码复杂化(passfilt.dll):启用8)用户必须登录方能更改密码:启用9)帐号失败登录锁定的门限:610)锁定后重新启用的时间间隔:720分钟■.保护文件和目录将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限■.注册表一些条目的修改1)去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中ShutdownWithoutLogon REG_SZ 值设为02)去除logon信息的cashing功能将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中CachedLogonsCount REG_SZ 值设为04)限制LSA匿名访问将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestricAnonymous REG_DWORD 值设为15)去除所有网络共享将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中AutoShareServer REG_DWORD 值设为0二、IIS的安全配置■.关闭并删除默认站点:默认FTP站点默认Web站点管理Web站点■.建立自己的站点,与系统不在一个分区,如D:\wwwroot3.建立E:\Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是:Administrators(完全控制)System(完全控制)■.删除IIS的部分目录:IISHelp C:\winnt\help\iishelpIISAdmin C:\system32\inetsrv\iisadminMSADC C:\Program Files\Common Files\System\msadc\删除C:\\inetpub■. 删除不必要的IIS映射和扩展:IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。
IIS 接收到这些类型的文件请求时,该调用由DLL 处理。
如果您不使用其中的某些扩展或功能,则应删除该映射,步骤如下:选择计算机名,点鼠标右键,选择属性:然后选择编辑然后选择主目录,点击配置选择扩展名\.htw\,\.htr\,\.idc\,\.ida\,\.idq\和\.printer\,点击删除如果不使用server side include,则删除\.shtm\ \.stm\ 和\.shtml\■. 禁用父路径:“父路径”选项允许您在对诸如MapPath 函数调用中使用“..”。
在默认情况下,该选项处于启用状态,应该禁用它。
禁用该选项的步骤如下:右键单击该Web 站点的根,然后从上下文菜单中选择“属性”。
单击“主目录”选项卡。
单击“配置”。
单击“应用程序选项”选项卡。
取消选择“启用父路径”复选框。
■. 在虚拟目录上设置访问控制权限主页使用的文件按照文件类型应使用不同的访问控制列表:CGI (.exe, .dll, .cmd, .pl)Everyone (X)Administrators(完全控制)System(完全控制)脚本文件(.asp)Everyone (X)Administrators(完全控制)System(完全控制)include 文件(.inc, .shtm, .shtml)Everyone (X)Administrators(完全控制)System(完全控制)静态内容(.txt, .gif, .jpg, .html)Everyone (R)Administrators(完全控制)System(完全控制)在创建Web站点时,没有必要在每个文件上设置访问控制权限,应该为每个文件类型创建一个新目录,然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。
例如,目录结构可为以下形式:D:\wwwroot\myserver\static (.html)D:\wwwroot\myserver\include (.inc)D:\wwwroot\myserver \script (.asp)D:\wwwroot\myserver \executable (.dll)D:\wwwroot\myserver\images (.gif, .jpeg)■. 启用日志记录确定服务器是否被攻击时,日志记录是极其重要的。
应使用W3C 扩展日志记录格式,步骤如下:打开Internet 服务管理器:右键单击站点,然后从上下文菜单中选择“属性”。
单击“Web 站点”选项卡。
选中“启用日志记录”复选框。
从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。
单击“属性”。
单击“扩展属性”选项卡,然后设置以下属性:* 客户IP 地址* 用户名* 方法* URI 资源* HTTP 状态* Win32 状态* 用户代理* 服务器IP 地址* 服务器端口删除Windows Server 2003默认共享首先编写如下内容的批处理文件:@echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share admin$ /del以上文件的内容用户可以根据自己需要进行修改。
保存为delshare.bat,存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。
然后在开始菜单→运行中输入gpedit.msc,回车即可打开组策略编辑器。
点击用户配置→Windows设置→脚本(登录/注销)→登录(如图3)。
本帖包含图片附件:在出现的“登录属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可(如图4)。
本帖包含图片附件:重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
2、禁用IPC连接IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
它是Windows NT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。
NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。
所有的这些,微软的初衷都是为了方便管理员的管理,但也为简称为IPC入侵者有意或无意的提供了方便条件,导致了系统安全性能的降低。
在建立IPC的连接中不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。
打开CMD后输入如下命令即可进行连接:net use\ipipc$ password /user:usernqme。
我们可以通过修改注册表来禁用IPC连接。
打开注册表编辑器。
找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接(如图5)。
本帖包含图片附件:四、清空远程可访问的注册表路径大家都知道,Windows 2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息(如图6)。
本帖包含图片附件:打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可(如图7)。
本帖包含图片附件:五、关闭不必要的端口对于个人用户来说安装中默认的有些端口确实是没有什么必要的,关掉端口也就是关闭无用的服务。