详解Windows_Server_2003_Web服务器安全设置
关于Windows Server 2003安全配置再设置的探讨
【 关键词 】 n o s e r 0 3 特 点; Wid w  ̄e 0 ; S 2 安全配置的再设 置
Th s u so fW i o e ve 0 3 S f s sto sI t l Ag e Dic s i n o nd wsS r r 2 0 a e Dipo ii n nsa l mn SHICh n u
一
、
三 年 以 后 , 一 个 时 代 英 雄 也 已 闪 亮 登 场— — 它 就 是 W idw e e 无 漏 洞 。 其次 , 确 设 置 磁 盘 的 安 全性 。 另 no sSr r v 正 具 体 如下 ( 虚拟 机 的安 全 设 置 , 我们 以 ap程 序 为例 子 ) 点 : s 重 20 。 果 你认 为 它 只足 Widw 00的 一个 简 单 升 级 版 本 , 就 错 03 如 n o s2 0 那 了 。微 软 在 Widw 0 0推 出 后 就对 这个 产 品 进行 过 多 次 彻 底 的修 n o s20 订 。 现 在 人们 对 Widw e e 0 3的 最 大 印 象 应 该 是 它 固若 金 汤 n o sS r r 0 v 2 的 安 全性 。 一 次 , 软在 安 全 性 能 上 大 作 文 章 , 却 丝 毫 没 有 影 响 到 这 微 但 系 统 的 可操 作 性 。 可 以 这 么 说 , n o s e e 0 3的 可 操 作 性 比 其 Wid w r r20 Sv 前 辈 的都 高 。l 1 I 微 软 在 Widw e e 0 3中 添加 了许 多 全 新 的 特 性 。 比如 , n o sSr r 0 v 2 类 似 于 Noel 的 “ av g i ” 的 “ 影 复 制 服 务 ” V l m h d w vl中 S a eB n l 卷 ( o eSa o u Cp e ie oySr c )就 是 其 中之 一 。管 理 人 员 一 旦 在 驱 动 器 中启 用 该 项 服 v 务, 服务 器 就 会 定 期对 驱 动器 进 行 快 照 记 录 。终 端 用 户 可 以利 用 这一
Windows2003服务器设置
Windows2003已经出现很久了,现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉,在这里,我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。
Win2003系统已经比Win2K系统增加了很多的安全性,所以现在选择Win2003系统作为服务器系统,将会是网络管理员的最佳选择。
本文假设你是一个服务器管理员,现在你的服务器使用Win2003服务器系统,你的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等)。
一、系统安装注意事项:首先,你得先把你的Win2003系统安装好,在安装系统时请选择使用NTFS文件系统分区,因为该分区可以对你的服务器资源进行加密、权限设置等,如果你的文件系统分区是使用FAT32的话,而你这台服务器作为一台虚拟主机,给客户提供空间,如果客户在空间里传了一个WebShell,如ASP木马等,而你使用的FAT32文件系统却不能为你的文件设置访问权限的话,那么黑客就能通过这个ASP木马取得你的服务器管理权了,那将是没有任何的安全性可言了。
为了系统的安全着想,系统安装好后,你还要给你的系统设置一个强壮的管理员口令,千万不要使用简单的口令,如123456等这样的简单登陆口令。
因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。
一个强壮的口令应该包括数字、英文字母、符号组成,如密码k3d8a^!ka76,设置好一个强壮的系统登陆口令后,我们就可以安装各种上面所述的组件服务支持了。
还是那句老话,最少的服务等于最大的安全,对于一切不须要的服务都不要安装,这样才能保证你服务器的安全性。
基于windows2003平台的web服务器安全分析
tnt ee l  ̄务 和Mi oo e h c sfsr 服务相关。Pi S ol : r t c r tpo r打印 n e 服务 , 如无连接 打印机禁用 。R m t R g t : e o eir 禁止远程 e sy 修改注册表。 3 除共享 。 n o s 删 Wi w 系统默认安装完成之后 , d 其实 系统 中所有分 区以及系统文件 夹其 实都 已经 自动共享 了, 称为默认共 享 , 这些共享 文件夹都是 隐藏 的。通过
一+
一+ 一— -+ — 十一
”+
“ +
一+
一十 -— 十一一 一”+ —+
他说 自己经历 了痛苦 的生死 搏斗 ,事实上是 衰败的身 体和飞升的精神进行 的搏斗 ,两者都不可能 独 自占据 远蒲 , 他们 的搏斗是永恒 的。 这也许就是残雪所说的艺 术 家的生存模 式 : 一方面是 ‘ 神的狂热追求 导致 了 对精
【 专题研讨 】
基 于wid ws 0 3 台 的we 1 务器 安 全 分析 n o 0平 2 b] l l
张奕谦 ( 广州华立科技职业学 院 , 广东 广州 5 10 ) 13 0
摘 要 : 文 基 于wid w sre 20  ̄ 台 上 架 构 a + ces 术 的we 服 务 器 , ̄ n o s 2 0 系统 安 全 、 本 n 0 s e r 03 v s acs p 技 b xwid w 03 l '
I 安全和acs I s ce 数据库下载等 问题进行探讨 , s 并从这三个方面分析一些常规的安全设 置, 保障we ̄ 务 器的安全。 bl K
关 键 宇 : id w 2 0 I安 全 ; 据 库 下载 w n o s 03 I ;S 数 中 图分 类号 : 7 2 G 1 文 献标 志码 : A 文 章 编 号 :6 4 9 2 (0 2 0 - 2 5 0 1 7 — 34 2 1 )7 02 — 3
图解Win2003 SP1 下使用SCW配置Web服务器
图解Win2003 SP1 下使用SCW配置Web服务器Windows Server 2003是大家最常用的服务器操作系统之一。
虽然它提供了强大的网络服务功能,并且简单易用,但它的安全性一直困扰着众多网管,如何在充分利用Windows Server 2003提供的各种服务的同时,保证服务器的安全稳定运行,最大限度地抵御病毒和黑客的入侵。
Windows Server 2003 SP1中文版补丁包的发布,恰好解决这个问题,它不但提供了对系统漏洞的修复,还新增了很多易用的安全功能,如安全配置向导(SCW)功能。
利用SCW功能的“安全策略”可以最大限度增强服务器的安全,并且配置过程非常简单,下面就一起来看吧!1.安装SCW,SCW功能虽然已经内置在SP1中,但是必须通过手动安装才能够正常使用。
安装的方法很简单,打开控制面板的添加Windows组件,选中安全配安装SCW置向导然后点下一步就可以完成安装SCW了。
2.启动SCW。
安装完SCW后,单击开始按钮选择程序中的管理工具选择安全配置向导,就可以启动安全配置向导了。
启动安全配置向导安全配置向导的启动界面启动安全配置向导后,点击下一步,就进入安全配置了。
3.在这里我们选择创建新的安全策略,点击下一步。
4.在这里我们选择输入安装计算机的名字Win2003,并单击下一步。
等待计算机完成初始化安全配置数据库,并点击下一步。
务器在网络中所扮演的角色。
单击下一步。
6.根据需要选择web服务器,把其他前面的勾去掉,单击下一步。
7.由于我们只需要web服务,不需要别的客户端功能,所以把所有的勾都去掉。
是服务器安全中很重要的一项,所以我们选中它。
版等等就选中它。
在这里我们选择禁用此服务。
点击下一步。
下一步。
12.下面进入了下一项,就是网络安全的配置。
点击下一步。
点下一步。
口(比如3389)都关闭了。
然后我们就进入下一个配置项目:注册表配置。
15.进入注册表设置了,点击下一步。
Windows 2003下WEB服务器安全设置攻略
一、安装补丁安装好Windows 2003操作系统之后,在托管之前一定要完成补丁的安装,配置好网络后,最好安装上SP1,然后点击开始选择Windows Update,安装所有的关键更新。
二、安装杀毒软件目前的杀毒软件种类很多,其中瑞星、诺顿、卡巴斯基等都是很不错的选择。
不过,也不要指望杀毒软件能够杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置,把服务器上面要用到的服务端口选中,例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389),在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号,如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
1、权限设置的原理1)WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。
在开始→程序→管理工具→计算机管理→本地用户和组,管理系统用户和用户组。
2)NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
文件(夹)上右键→属性→安全,在这里管理NTFS文件(夹)权限。
3)IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
web服务器安全配置
web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。
为了确保网站的安全,正确的服务器安全配置是至关重要的。
本文将介绍一些重要的方法和步骤,以帮助您合理地配置和保护您的Web服务器。
1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。
这样可以确保您的服务器是基于最新安全补丁和修复程序运行的,以减少黑客和恶意软件的攻击风险。
2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。
黑客经常利用这些默认配置的弱点,因此应该定制和修改这些配置。
将默认的管理员账户名称和密码更改为强密码,并禁用不必要的服务和插件。
3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输,应该始终使用安全的传输协议,如HTTPS。
HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性,防止数据在传输过程中被黑客窃取或篡改。
4. 创建强大的访问控制使用防火墙和访问控制列表(ACL)来限制对服务器的访问。
只允许必要的IP地址访问您的服务器,并阻止来自已知恶意IP地址的访问。
使用强大的密码策略来保护登录凭证,并定期更改密码。
5. 防御举措采取一些额外的防御措施,例如使用Web应用程序防火墙(WAF)来检测和阻止恶意的HTTP请求。
WAF可以识别和封锁潜在的攻击,如跨站点脚本攻击(XSS)和SQL注入攻击。
6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。
通过监控服务器访问日志和相关指标,可以及时发现潜在的安全问题。
使用入侵检测系统(IDS)和入侵防御系统(IPS)来检测和阻止未经授权的访问和活动。
7. 数据备份和恢复计划及时备份服务器上的所有数据,并设置定期的备份计划。
这样,在服务器遭受攻击或数据丢失时,可以及时恢复数据并最小化损失。
8. 网络分割将Web服务器与其他敏感数据和系统隔离开来,建立网络分割可以减少攻击面,确保一次攻击不会导致整个网络或系统的崩溃。
Windows 2003 网站目录安全权限设置指南
Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展,各高校所运维的网站数量和规模与日俱增。
与此同时,Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可,基于IIS WEB服务器软件的网站数量也越来越多。
通常情况,高校的大多数服务器,会由技术力量相对雄厚的网络中心等IT资源部门运维管理。
而网站程序的制作则一般由各单位、各部门自主负责:少数用户单位将会自主开发,或者请专业的IT公司代为开发。
而更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,便将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行着多个网站,其中某个网站存在着安全漏洞(例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站,取得权限,上传网页木马,得到了一个WEB SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有WEB站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便将感染上病毒,结果引来用户的严重不满和投诉,同时也严重损害了学校的形象。
为了避免类似事件的发生,我们有必要将网站和数据库分开部署,通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还是远远不够的,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限做严格的控制,实现各网站之间权限的隔离,做法如下:在WEB服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
Windows 2003 Server安全配置技术技巧
Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
功能还可以!Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。
实验5-Windows-2003-WWW、FTP服务器的配置与管理
实验5-Windows-2003-WWW、FTP服务器的配置与管理实验目的本实验旨在让学生通过实现Windows 2003服务器上的WWW、FTP服务的配置和管理,掌握Windows Server的基本操作方法,提高对服务器基本概念的理解。
实验环境•虚拟机软件:VMware Workstation 14 Pro•操作系统:Windows Server 2003 Enterprise Edition实验步骤配置WWW服务1.打开“服务器管理器”,打开“管理控制台”选项卡,选择“添加或删除组件”。
2.在“组件向导”中,选择“Internet 信息服务(IIS)”选项,并确定。
3.在“Searching for Required Files”对话框中,如果需要,可以插入Windows 2003安装光盘。
4.点击“完成”后,IIS将被安装和配置为Windows 2003服务器上的WWW服务。
管理WWW服务1.进入IIS管理界面,在“目录树”中选择“默认网站”。
2.在右侧选择“属性”选项卡,可以设置该网站的基本属性和默认文档。
3.点击“主页”选项卡,可以设置网站的主页信息。
4.点击“虚拟目录”选项卡,可以管理和创建虚拟目录。
5.该网站在IIS中的WWW服务的默认端口为80,修改该端口可以在“WWW服务扩展”中设置。
配置FTP服务1.打开“服务器管理器”,选择“角色”选项卡,点击“添加角色”。
2.在“添加角色向导”中,选择“应用程序服务器”选项,并确定。
3.选择“Internet 信息服务(IIS)”和“FTP服务器”选项,并完成向导。
4.在“FTP站点向导”中,选择“新建FTP站点”,并完成创建。
5.可以在IIS管理界面的“FTP站点”中修改FTP服务的基本设置。
管理FTP服务1.进入IIS管理界面,在“目录树”中选择“默认FTP站点”。
2.在右侧选择“属性”选项卡,可以设置FTP站点的基本属性和连接信息。
Windows 2003 Server 服务器安全配置(完全版)
Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services 中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
Windows2003的校园网Web服务器安全配置技术
基于Windows2003的校园网Web服务器安全配置技术王杨摘要:对基于Windows Server 2003系统下Web服务器的安全技术研究。
从操作系统本身入手,通过重新规划系统部分默认配置。
提高基Windows2003的校园网Web服务器的安全性。
关键词:web 服务器;安全;IIS;Windows Server 2003构建一个安全的Web服务平台是保障学校各项工作顺利开展的基础,是学校实现现代化教学的前提,也是保障整个互联网健康发展的一个重要因素。
随着各类黑客工具在网络上的大势传播,Web 服务器面临着前所未有的威胁Windows Server2003作为第一个内置支持.NET技术的操作系统,重写了内核代码,使得该系统更稳定、更安全。
以下分别从Windows Server2003 系统配置,IIS配置以及网站代码安全三个方面来探讨web 服务器的安全问题。
1 Windows Server2003 系统安全配置Web服务器所采用的操作系统,高性能、高可靠性和高安全性是其必备要素。
微软的企业级操作系统中, 如果说Windows2000 全面继承了NT 技术, 那么Windows Server2003 则是依据.Net 架构对NT技术作了重要发展和实质性改进, 凝聚了微软多年来的技术积累, 使得系统安全性方面得以更大提高。
1.1 采用NTFS磁盘分区格式NTFS系统提供了性能安全、可靠以及在其他文件系统格式没有的高级功能,可以实现文件及文件夹的加密、权限设置、磁盘配额和压缩等高级功能,并可以更好的利用磁盘空间,提高系统的运行速度。
自WindowsNT 系统问世以来,使用NTFS文件系统,进一步打造系统安全已逐渐成为一种共识。
1.2 关闭系统默认共享Windows Server2003 仍开启默认共享所有硬盘分区, 以及让进程通信而开放的命名管道IPC$和系统工作目录admin$共享,这就为系统的安全埋下隐患。
Windows_Server_2003服务器配置与管理(实验课件)
Windows Server 2003服务器配置与管理7.1 IIS服务器配置与管理IIS 6.0和Windows Server 2003在网络应用服务器的管理、可用性、可靠性、安全性与可扩展性方面提供了许多新的功能,增强了网络应用的开发与国际性支持,同时提供了可靠的、高效的、完整的网络服务器解决方案。
本节对IIS(Internet Information Server,互联网信息服务器)服务进行了概述,并在此基础上分别对WWW服务和FTP服务的工作原理进行了简要介绍。
7.1.1 IIS服务概述IIS是一种Web网页服务组件。
它是微软公司主推的服务器,最新的版本是Windows Server 2003里面包含的IIS 6.0。
IIS支持HTTP协议、FTP协议以及SMTP协议等。
IIS的一个重要特性是支持活动服务器网页(Active Server Pages,ASP)。
自从IIS 3.0版本以后引入了ASP,就可以很容易地发布动态Web网页内容和开发基于Web网页的应用程序。
对于诸如VBScript、JavaScript等开发的软件,或者由Visual Basic、Java、Visual C++等开发的系统,以及现有的公用网关接口(Common Gateway Interface,CGI)和WinCGI 脚本开发的应用程序,IIS都提供强大的本地支持。
7.1.2 WWW服务工作原理万维网(World Wide Web,WWW)是一个基于超文本(Hypertext)方式的信息查询工具,其最大特点是拥有非常友善的图形界面、非常简单的操作方法以及图文并茂的显示方式。
WWW系统采用客户机/服务器结构。
在客户端,WWW系统通过Netscape Navigator 或者Internet Explorer等工具软件提供了查阅超文本的方便手段。
在服务器端,定义了一种组织多媒体文件的标准——超文本标记语言(HyperText Markup Language,HTML),按HTML格式储存的文件被称作超文本文件。
终级Win2003服务器安全配置篇
终级Win2003服务器安全配置篇今天演示一下服务器权限的设置,实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示,此演示基本上保留系统默认的那些权限组不变,保留原味,以免取消不当造成莫名其妙的错误.看过这个演示,之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置:C:\WINDOWS\Application Compatibility Scripts 不用做任何修改,包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件,创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改,包括其下所有子目录C:\WINDOWS\inf不用做任何修改,包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改,包括其下所有子目录C:\WINDOWS\msagent 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改,包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限,取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改,其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改,包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改,包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限,其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限,给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改,包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。
Windows server 2003服务器配置
一.Windows2000 server 的安装,配置安装活动目录(Active Directory):选择“开始”→“程序”→“管理工具”→“配置服务器”,单击“下一步”。
单击对话框中的“Active Directory”,出现安装向导并由此配置直到安装成功。
创建工作组:启动WIN2000 SERVER,并以系统管理员(administrator)的身份登陆服务器。
选择“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”,并在其中创建组,在组中加入用户。
添加IIS (Internet信息服务)操作:控制面板→添加/删除程序→添加/删除Windows组件→Internet信息服务→全选二.DNS服务器的配置DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。
用户可以在该向导的指引下创建区域。
第1步,在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮,打开“选择配置操作”向导页。
在默认情况下适合小型网络使用的“创建正向查找区域”单选框处于选中状态。
第2步,打开“主服务器位置”向导页,如果所部署的DNS服务器是网络中的第一台DNS服务器,则应该保持“这台服务器维护该区域”单选框的选中状态,将该DNS服务器作为主DNS服务器使用,并单击“下一步”按钮第3步,打开“区域名称”向导页,在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“”),单击“下一步”按钮第4步,在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。
该文件是一个ASCII文本文件,里面保存着该区域的信息,默认情况下保存在“windowssystem32dns”文件夹中。
保持默认值不变,单击“下一步”按钮第5步,在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。
允许动态更新可以让系统自动地在DNS中注册有关信息,在实际应用中比较有用,因此点选“允许非安全和安全动态更新”单选框,单击“下一步”按钮第6步,打开“转发器”向导页,保持“是,应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。
windows2003服务器详解设置大全
Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统,它基于 Windows NT 的架构,具有非常好的稳定性、可靠性和安全性,适用于企业实施各种应用解决方案。
本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。
安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤:1.选择安装语言和安装选项,例如安装 Windows Server 2003 标准版或企业版等。
2.选择安装位置,可以选择已有分区上进行安装,也可以新建分区。
3.设置管理员密码,以保证服务器的管理安全。
4.完成安装后,系统会自动重启,启动时将进入 Windows Server 2003配置向导。
配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术:配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。
2.双击“Internet 协议(TCP/IP)”选项卡,进入“属性”对话框。
3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。
配置域名和 DNS1.在“控制面板”中选择“管理工具”,然后单击“DNS”。
2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名,也可以直接在“区域”下输入域名。
3.单击“新建区域”,输入相应的域名和 IP 地址。
可以在“区域域名”下找到设置的域名。
配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务),并选择“FTP站点”。
2.选择“FTP 站点”,点击“属性”按钮。
3.在“FTP 站点属性”对话框中,单击“高级”选项卡,随后将 FTP 主目录配置为指定目录。
配置防火墙1.在“控制面板”中找到“安全中心”,单击“Windows 防火墙”进行防火墙的配置。
WindowsServer2003基于Web服务器应用的网络安全策略
物理 安全 策略是保护计算机 系统 、 网络 服务 器 、 打印机等硬件 信息收集是突破 网络系统 的第一步 , 黑客可以使用下面几种 工 和通信线路免受 自然灾 害 、 人为破坏 和搭线 攻击 ; 验证 用户身份是 具来收集所需信息 : 一 否合法与使用权限 、 防止用户越权操作 ;保证 计算 机系统能够在 良 2 . 1 T r a c e R o u t e 程序 好的工作环境下运行 ; 建立一套完 善的安全管理制度 , 防止未 经授 T r a c e R o u t e 程序 ,得 出到达 目标主机所经过的网络数和路 由器 权的用户进入计算机机房以及各种盗窃 、 破坏活动的发生。 数。T r a e e r o u t e 程序是同 V a n J a c o b s o n编写的能深入探索 T C I  ̄ I P协 网络 的权 限控制是为网络访 问提供第一层访 问控制 。 它控制哪 议 的方便 可用 的工具 。T r a c e r o u t e 通过发送小I 白 勺 数据包 到 目的设备 些用 户能够登 录到服务器并 合法 获取 网络 资源 , 控制合法用户入网 直到其 返 回 ,来 测量 其需要 多 长时 间。 条路 径上 的每 个设 备 的时间和准许他们在哪 台工作站入 网。 T r a c e r o u t e 要测 3 次。 输 出结果 中包括每次测试 的时间( ms ) 和设备 的 1 s . 2 数据加密技术 名称 ( 如有的话 ) 及其 I P地址。 : 数据加密技术是为提高信息系统及数据的安全性 和保 密性 , 防 2 . 2 Wh o i s 协议 \ 止秘密数据被外部破译所采用的主要手段之一。 数据加密技术要 w h o i s 是用来查询域名的 I P以及所有者等信息 的传输协议 。简 求只有在指定的用户或 网络下 ,才能解除密码而获得原来的数据 , 单说 , w h o i s 就是一个用来查 询域 名是 否已经被注册 , 以及注册域名 这就需要给数据发送方和接受方 以一些特殊的信息用于加解 密 , 这 的详细信息的数据库 ( 如域名所有人 、 域名注册商 ) 。通过 w h o i s 来 就是所谓的密钥。其密钥的值是从大量 的随机数 中选取的 。 按加密 实现对域 名信息 的查询 。 早期 的 w h o i s 查询多以命令列接 口存在 , 但 算法分为专用密钥 和公开密钥两种。 是现在出现了一些 网页接 口简化的线上查 询工具 , 可 以一次 向不 同 1 I 3防火墙技术 的数据库查询。网页接 I = I 的查询工具仍然依赖 w h o i s 协议向服务器 防火墙是指隔离在本地 网络与外界 网络之 间的一道防御系统 , 发送 查询请求 ,命令 列接 口的工具仍然 被系统 管理员 广泛使用 。 是这一类 防范措施 的总称 。 在互联 网上防火墙是一种非常有效的网 w h o i s 通常使用 T C P协议 4 3端 口。每个域名 / I P的 w h o i s 信 息由对 络安 全模 型 ,通过它可以隔离风险 区域 ( i n t e me t 或有一定风 险的 应 的管理机构保存 。 网络 ) 与安全 区域( 局 域网 ) 的连接 , 同时不会妨碍 人们 对风 险区域 2 - 3 D N S服务器 的访 问。 D N S 服务器是计算机域名系统, 它是由解析器和域名服务器组 般 的防火墙都可以达到以下 目的 : ( 1 ) 可以限制他人 进入内 成 的。域 名服务器是指保存有该 网络 中所有 主机的域名和对应 I P 部网络 , 过滤掉不安全服务 和非法用户 ; ( 2) 防止入侵 者接近你 的 地址 , 并具有将域名转换为 I P地址 功能 的服务器。其 中域名必须对 防御设施 ;( 3) 限定用户访 问特殊站点 ;( 4 ) 为监视 I n t e r n e t 安全 应一个 I P地址 , 而I P地址不一定有 域名 。域名系统采用类似 目录
windowsserver2003IIs安装及配置
windows2003 web服务器配置目录1. Web服务器概述2. IIS简介3. IIS的安装4. Internet 信息服务(IIS)管理器5.在IIS中创建Web网站6.网站的基本配置7.虚拟目录8.访问权限9.常见问题Web服务器概述Web服务器又称为WWW服务器,它是放置一般网站的服务器。
一台Web服务器上可以建立多个网站,各网站的拥有者只需要把做好的网页和相关文件放置在Web服务器的网站中,其它用户就可以用浏览器访问网站中的网页了。
我们配置Web服务器,就是在服务器上建立网站,并设置好相关的参数,至于网站中的网页应该由网站的维护人员制作并上传到服务器中,这个工作不属于配置服务器的工作。
IIS简介IIS(Internet信息服务器)是 Internet Information Server 的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、SMTP等服务器组件。
它只能用于Windows操作系统。
IIS集成在Windows 2000/2003 Server版中,在Windows 2000 Server中集成的是IIS 5.0,在Windows Server 2003中集成的是IIS 6.0。
IIS 6.0不能用于Windows 2000中。
Windows 9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。
Windows XP里也能安装IIS5.0,但功能受到限制,只支持10个连接。
通常在Windows XP操作系统中安装IIS的目的是为了调试ASP等程序。
IIS的安装一般在安装操作系统时不默认安装IIS,所以在第一次配置Web服务器时需要安装IIS。
安装方法为:1、打开“控制面板”,打开“添加/删除程序”,弹出“添加/删除程序”窗口。
2、单击窗口中的“添加/删除Windows组件”图标,弹出“Windows组件向导”对话框。
图13、选中“向导”中的“应用程序服务器”复选框。
2003服务器系统安全配置-中级安全配置
2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般入侵,需要高级服务器安全维护,请联系我。
我们一起交流一下!做为一个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的密码一定要强壮!服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。
)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
Windows_Server_2003_服务器安全配置整理
二、用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。
为了保险起见,最好给Guest加一个复杂的密码。
你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户去掉所有的Duplicate User用户、测试用户、共享用户等等。
用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。
尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
这样可以让那些Hacker 们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
三、系统权限的设置1、磁盘权限系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给Administrators 组和SYSTEM 的完全控制权限另将<systemroot>\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。
Windowsserver2003web服务器配置教程
Windowsserver2003web服务器配置教程步骤1:安装Windows Server 2003首先,您需要安装Windows Server 2003操作系统。
确保您具有适当的许可证,并将光盘插入服务器。
按照屏幕上的提示进行操作,直到安装完成。
步骤2:安装IIS(Internet Information Services)一旦Windows Server 2003安装完成,您需要安装IIS作为Web服务器。
打开“控制面板”,然后选择“添加/删除程序”。
在左侧的“添加/删除Windows组件”中,找到“Internet信息服务(IIS)”并选中它。
点击“下一步”并按照屏幕上的提示进行操作,直到安装完成。
步骤3:配置IIS安装完成后,打开IIS管理器。
在“开始”菜单中找到“管理工具”文件夹,然后选择“Internet信息服务(IIS)管理器”。
在左侧的树状列表中,展开“计算机名”并选择“网站”。
右键单击“默认网站”并选择“属性”。
在属性窗口中,您可以更改默认网站的各种设置。
例如,您可以更改网站的端口号,将其从默认的80更改为其他端口(例如8080)。
您还可以设置主目录,选择将网站文件保存在哪个文件夹中。
步骤4:创建虚拟目录或应用程序池在IIS中,您可以创建虚拟目录来托管网站的文件。
虚拟目录是指一个不同于默认网站文件夹的文件夹。
要创建虚拟目录,右键单击“网站”并选择“新建”>“虚拟目录”。
在虚拟目录创建向导中,您需要提供虚拟目录的别名和路径。
别名是您将在浏览器中使用的URL路径,路径是实际文件夹的位置。
按照向导的指示完成创建虚拟目录的过程。
另一种选择是创建应用程序池。
应用程序池是一组进程,用于托管网站或应用程序。
要创建应用程序池,右键单击“网站”并选择“新建”>“应用程序池”。
提供应用程序池的名称和其他设置,然后单击“确定”。
步骤5:配置安全性在配置Web服务器时,确保设置适当的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、Windows 2003安全配置确保所有磁盘分区为NTFS分区、操作系统、Web主目录、日志分别安装在不同的分区不要安装不需要的协议,比如IPX/SPX, NetBIOS?不要安装其它任何操作系统安装所有补丁(用瑞星安全漏洞扫描下载)关闭所有不需要的服务二、IIS的安全配置三、删除Windows Server 2003默认共享以上文件的内容用户可以根据自己需要进行修改。
保存为delshare.bat,存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。
然后在开始菜单→运行中输入gpe dit.msc…回车即可打开组策略编辑器。
点击用户配置→Windows设置→脚本(登录/注销)→登录在出现的“登录属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
2、禁用IPC连接IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
它是Windows NT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。
NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。
所有的这些,微软的初衷都是为了方便管理员的管理,但也为简称为IPC入侵者有意或无意的提供了方便条件,导致了系统安全性能的降低。
在建立IPC的连接中不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。
打开CMD后输入如下命令即可进行连接:net use\ipipc$ password /user:usernqme。
我们可以通过修改注册表来禁用IPC连接。
打开注册表编辑器。
找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
四、清空远程可访问的注册表路径大家都知道,Windows 2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可。
五、关闭不必要的端口对于个人用户来说安装中默认的有些端口确实是没有什么必要的,关掉端口也就是关闭无用的服务。
139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。
139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。
但在Windows Server 2003中,只这样做是不行的。
如果想彻底关闭139端口,具体步骤如下:鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接属性”页,然后去掉“Microsoft网络的文件和打印共享”前面的“√”。
接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中,即任务完成。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
假如你的电脑中还装了IIS,你最好重新设置一下端口过滤。
步骤如下:选择网卡属性,然后双击“Internet协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选项”标签下的“TCP/IP 筛选”项,点“属性”按钮,会来到“TCP/IP 筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”,然后根据需要配置就可以了。
如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可。
六、杜绝非法访问应用程序Windows Server 2003是一种服务器操作系统,为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限来限制。
他们去调用应用程序。
实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。
然后依次打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略。
然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可。
七、设置和管理账户1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码。
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间20分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。
如果你使用了还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
八、网络服务安全管理1、禁止C$、D$、ADMIN$一类的缺省共享打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为02、解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的服务,以下为建议选项九、打开相应的审核策略在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败十、其它安全相关设置1、隐藏重要文件/目录可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWA LL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为02、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为24. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface新建DWORD值,名为PerformRouterDiscovery 值为05. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects 值设为06. 不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD 值,名为IGMPLevel 值为07、禁用DCOM:运行中输入Dcomcnfg.exe。
回车,单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
选择“默认属性”选项卡。
清除“在这台计算机上启用分布式COM”复选框。
注:3-6项内容采用的是Server2000设置,没有测试过对2003是否起作用。
但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
十一、配置IIS 服务:1、不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。