原理篇
我们将从入侵者入侵的各个环节来作出对应措施
一步步的加固windows系统.
加固windows系统.一共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计
我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.
1.扫描
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽
2.下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段
来阻止特定结尾的文件的执行
3.上传文件
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的.
通过regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.
如果需要使用.
那就为每个站点建立一个user用户
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件.实时杀除上传上来的恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.
4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
https://www.doczj.com/doc/336157365.html,work
https://www.doczj.com/doc/336157365.html,work.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下的CLSID键的内容
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除
5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.
6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL
7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的. 所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问.
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马. 所以在端口限制中.由本地访问外部网络的端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口.
阻断所有的反弹木马.
8.擦除脚印
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性. evtsys工具(https://https://www.doczj.com/doc/336157365.html,/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统. 推荐使用kiwi syslog deamon.
我们要达到的目的就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录的文件
即使操作了其他目录的文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.
额外措施:
我们可以通过增加一些设备和措施来进一步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出的包进行内容过滤.
设置对HTTP REQUEST内的request string或者form内容进行过滤
将SELECT.DROP.DELETE.INSERT等都过滤掉.
因为这些关键词在客户提交的表单或者内容中是不可能出现的.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.
本文提到的部分软件在提供下载的RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项.
实践篇
下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减
1.WINDOWS本地安全策略端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地80
外->本地20
外->本地21
外->本地PASV所用到的一些端口
外->本地25
外->本地110
外->本地3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地1433
外->本地3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外53 TCP,UDP
本地->外25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地所有协议阻止
2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG 以及TERMINAL USER等等
3.目录权限
将所有盘符的权限,全部改为只有
administrators组全部权限
system 全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone默认的读取及运行列出文件目录读取三个权限
C:\WINDOWS\ 开放Everyone默认的读取及运行列出文件目录读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.
4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的
5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators 全部权限
system 全部权限
单独建立的用户(或者IUSER) 选择高级->打开除完全控制,遍历文件夹/运行程序,取得所有权3个外的其他权限.
如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.
6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
[Copy to clipboard] CODE:
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险的扩展.
7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe root用户所有权限
net.exe root用户所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令
8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC
9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的. 而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.
10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation
11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
https://www.doczj.com/doc/336157365.html,work
https://www.doczj.com/doc/336157365.html,work.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值全部删除
12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改成功,失败
审核系统事件成功,失败
审核帐户登陆事件成功,失败
审核帐户管理成功,失败
教你配置IIS服务器详细步骤 安装IIS 在WindowsXP专业版中,IIS并不是默认安装的,而是作为可选的组件,现在我们要建立一个站点,就可以选择安装它,方法很简单,放入XP光盘,然后运行光盘,在运行界面中选择添加组件,或者打开控制面板然后打开添加或者删除文件,选择添加Windows组件。在弹出对话框中选择internet信息服务(IIS)。然后点击确定安装就可以了。或者您在“控制面板中选择”“添加或删除程序”然后在弹出的窗口中选择“添加或删除Windows组件”选择“Internet信息服务(IIS)”。完成安装过程,非常简单。 架设Web网站 在控制面板中打开“管理工具”-->“internet信息服务”如下图: 当然大家也可以根据自己的需要和爱好来设置。 最后测试: 在运行中,打开cmd,然后输入ftp192.168.1.12(刚才设置的IP地址)回车,输入用户名anonymous. 然后回车,要求输入密码,因为密码为空,按回车即可!(日后为了网站的安全,可以设置禁止匿名访问,并加强密码,这里为了测试方便所以设置匿名用户)如果和下图一样那么祝贺你,ftp网站配置成功,剩下的就是你丰富自己的站点内容了。 大家可能都看到了上图有个“默认网站”选项,你既可以修改默认的Web站点为你的新站点,也可以重新命名一个新的Web站点,方法是在“默认网站”上点击鼠标右键选择重命名然后输入你想要的名字,大家可以自己随意修改。比如可以将其其修改为“网页教学网”。
在IIS中配置有关Web服务器 要想网站顺利运行还得配置IIS,在命名后的站点上右击鼠标键 选择属性如图: 在上图的主目录中定义网页内容的来源,图中设置为e:/mysite,本地路径可以根据你的需要设置,一般从安全性角度上考虑不要设 置在系统分区,可以在另外的分区重新建立一个路径。 上图在网站选项框中可以设置网站的描述,指定IP地址,连接 超时的时间限制,这些都可以根据实际需要来随意设置,但是为了 保证计算机网络的安全性,我们最好设置一下日志记录,以便于我 们能很好的观察,这也是一个好的网管应该具备的素质啊!点击属性 按钮如下图: 更正:上图中日志文件目录:E:mysite 设置日志属性,一般新建日志时间设置为每小时,下面可以设置日志文件目录,自己设置一个日志存放的目录,不建议使用默认路径。 设置“文档”选项卡:确保“启用默认文档”一项已选中,再增加需要的默认文档名并相应调整搜索顺序即可。此项作用是,当在 浏览器中只输入域名(或IP地址)后,系统会自动在“主目录”中按“次序”(由上到下)寻找列表中指定的文件名,如能找到第一个则 调用第一个;否则再寻找并调用第二个、第三个……如果“主目录” 中没有此列表中的任何一个文件名存在,则显示找不到文件的出错 信息。如下图: 启动 Web站点 上述设置好了之后可以去启动IE了,然后在IE地址栏内输入:HTTP://11.11.11.188回车大家观察一下,是不是IE中显示出了你 的网站啊!呵呵(当然你的程序要是没问题的话就可以正确显示了, 如果有错误你还要去修改啊!)备注:这样设置后在你所在的局域网 里的其他计算机也是可以直接在地址栏里输入网址访问你的网页的。
当安装网站默认网站停止,双击发生错误:0x8ffe2740时,解决办法:改下端口号。 1、安装IIS服务器:控制面板——添加删除程序——添加删除windows组建——勾选(Internet 信息服务(IIS))并双击——勾选(万维网服务)——确定——下一步——插入光盘安装成功。 2、配置IIS:打开Internet信息服务——右击默认网站——新建虚拟目录——按提示下一步 直到安装成功。其中一步勾选: 3、右击新建的目录——属性——文档——添加——写上默认文档名(即要打开的文件名)——确定。 4、打开浏览器,写上http://127.0.0.1/12.7/12.7.asp即可。其中12.7是文件夹名,12.7.asp是文件名,不用写路径。 5、若不显示,则按以下写: 1.单击“开始”,依次指向“所有程序”、“附件”,然后单击“命令提示符”。 2.在“命令提示符”窗口中,键入Regsvr32 C:\Windows\System32\Msxml.dll, 然后按Enter 键。 3.如果收到以下消息,请单击“确定”: C:\Windows\System32\Msxml.dll DLL 中的DllRegisterServer 成功。 4.键入Regsvr32 C:\Windows\System32\Msxml2.dll,然后按Enter 键。 5.如果收到以下消息,请单击“确定”: C:\Windows\System32\Msxml2.dll DLL 中的DllRegisterServer 成功。 6.键入Regsvr32 C:\Windows\System32\Msxml3.dll,然后按Enter 键。 7.如果收到以下消息,请单击“确定”: C:\Windows\System32\Msxml3.dll DLL 中的DllRegisterServer 成功。 8.关闭“命令提示符”窗口。
如何配置本地IIS服务器(XP系统) 一、安装:我的电脑----添加删除程序----添加删除windows组件------勾选IIS服务-----详细 信息----全部勾选-----下一步,插上windows安装光盘,(没有光盘下载IIS安装包)自动安装。安装完成后在ie浏览器地址栏输入:http://localhost回车,看看能不能出来IIS 帮助文件,若出来则证明安装成功,否则,安装或者配置过程中有问题。 二、故障排除: 1.输入这个网址http://localhost/IISHelp/iis/misc/default.asp,看看网页有什么应。如果能够 正常显示IIS的欢迎页面,证明你IIS安装的就没有问题了。 2.http500错误:这是你的电脑服务没有配置好,不是IIS的问题。解决方法是:①在 “开始”-“设置”-“控制面板”-“管理工具”-“服务”中,查看Distributed Transaction Coordinator服务(即DTC)和COM +Event System服务是否启动,若没有启动,请将这两个服务都启动。另外,我的机子上又出现现一个问题,就是DTC服务无法启动,这时候就在cmd窗口中先后执行下列两条命令:(1)msdtc -resetlog (2)net start msdtc 执行完这两条语句后,DTC就能启动成功了。②执行完上述操作后,接下来就在cmd窗口中再先后执行以下三条命令:(1)cd %windir%\system32\inetsrv (2)rundll32 wamreg.dll,CreateIISPackage (3)regsvr32 asptxn.dll 这三条命令中,第二条的CreateIISPackage一定要注意,区别大小写,否则会出错。 三、配置IIS服务器: 1.控制面板----管理工具----Internet信息服务-----网站----默认网站-----属性------如图
如何配置IIS服务器 在控制面板中打开“管理工具”-->“internet信息服务”如下图: 当然大家也可以根据自己的需要和爱好来设置。 最后测试: 在运行中,打开cmd,然后输入ftp192.168.1.12(刚才设置的 IP地址)回车,输入用户名anonymous. 然后回车,要求输入密码,因为密码为空,按回车即可!(日后为了网站的安全,可以设置禁止匿名访问,并加强密码,这里为了测 试方便所以设置匿名用户)如果和下图一样那么祝贺你,ftp网站配 置成功,剩下的就是你丰富自己的站点内容了。 大家可能都看到了上图有个“默认网站”选项,你既可以修改默认的Web站点为你的新站点,也可以重新命名一个新的Web站点, 方法是在“默认网站”上点击鼠标右键选择重命名然后输入你想要 的名字,大家可以自己随意修改。比如可以将其其修改为“网页教 学网”。 在IIS中配置有关Web服务器 要想网站顺利运行还得配置IIS,在命名后的站点上右击鼠标键 选择属性如图: 在上图的主目录中定义网页内容的来源,图中设置为e:/mysite,本地路径可以根据你的需要设置,一般从安全性角度上考虑不要设 置在系统分区,可以在另外的分区重新建立一个路径。 上图在网站选项框中可以设置网站的描述,指定IP地址,连接 超时的时间限制,这些都可以根据实际需要来随意设置,但是为了 保证计算机网络的安全性,我们最好设置一下日志记录,以便于我
们能很好的观察,这也是一个好的网管应该具备的素质啊!点击属性 按钮如下图: 更正:上图中日志文件目录:E:mysite 设置日志属性,一般新建日志时间设置为每小时,下面可以设置日志文件目录,自己设置一个日志存放的目录,不建议使用默认路径。 设置“文档”选项卡:确保“启用默认文档”一项已选中,再增加需要的默认文档名并相应调整搜索顺序即可。此项作用是,当在 浏览器中只输入域名(或IP地址)后,系统会自动在“主目录”中按“次序”(由上到下)寻找列表中指定的文件名,如能找到第一个则 调用第一个;否则再寻找并调用第二个、第三个……如果“主目录” 中没有此列表中的任何一个文件名存在,则显示找不到文件的出错 信息。如下图: 启动 Web站点 上述设置好了之后可以去启动IE了,然后在IE地址栏内输入:HTTP://11.11.11.188回车大家观察一下,是不是IE中显示出了你 的网站啊!呵呵(当然你的程序要是没问题的话就可以正确显示了, 如果有错误你还要去修改啊!)备注:这样设置后在你所在的局域网 里的其他计算机也是可以直接在地址栏里输入网址访问你的网页的。 当然这些都是最基本的设置,你还可以配置一些关于性能和安全的设置,例如限制带宽和哪些用户可以访问此Web页等,其实要想 建立一个相对安全的网站这些还远远不够,限于篇幅及本文的主题 限制在此不再讲述了,有兴趣与此的朋友可以参阅相关资料。 建立ftp服务器 FTP是FileTransportProtocol的简称,其作用是使连接到服务 器上的客户可以在服务器和客户机间传输文件。除WWW服务外,FTP 也算是使用最广泛的一种服务了。在此介绍一下利用IIS建立FTP 服务器的方法。
IIS服务器的安装与配置 实验名称:IIS服务器安装与配置 实验准备:信息服务(IIS)管理器、在实验之前对IIS应该有个初步的了解实战任务: 掌握IIS服务器的安装与配置: 安装IIS服务器; 网站设置; FTP站点设置; SMTP服务器设置; NNTP服务器设置; SMTP管理--配置SMTP虚拟服务器等等 实验内容及步骤: 任务一:IIS服务器安装与网站管理/0.5 1.安装IIS服务器; 2.IIS管理器打开; 3.网站设置; 4.FTP站点设置; 5.SMTP服务器设置; 6.NNTP服务器设置; 7.网站管理--命名网站; 8.网站管理--启动与停止网站; 9.网站管理--将请求重定向到文件、目录或程序。 任务二:IIS服务器应用,FTP管理、NNTP管理、SMTP管理/0.5 1.FTP网点管理--更改FTP站点主目录; 2.FTP网点管理--在FTP站点中使用虚拟目录;
3.FTP网点管理--创建多个FTP站点; 4.FTP网点管理--隔离FTP用户; 5.NNTP管理--启动和停止网站; 6.NNTP管理--创建虚拟目录; 7.NNTP管理--限制对新闻组的访问; 8.NNTP管理--按IP地址限制访问; 9.NNTP管理--创建新闻组; 10.NNTP管理--审查新闻组; 11.NNTP管理--编辑和删除新闻组; 12.NNTP管理--配置过期策略; 13.SMTP管理--配置SMTP虚拟服务器; 14.SMTP管理--设置连接; 15.SMTP管理--启用协议日志记录。 实验结果:成功地完成了IIS服务器的安装与配置 实验总结: (一)IIS的安装与配置 1、安装IIS (1)插入windows xp安装光盘,打开控制面板,然后打开其中的“添加/删除程序” (2)在添加或删除程序窗口左边点击“添加/删除Windows组建” (3)捎带片刻系统会启动Windows组建向导,在Internet信息服务(IIS)前面选勾,点击下一步: (4)系统安装成功,系统会自动在系统盘新建网站目录,默认目录为:C:\Inetpub\wwwroot (5)打开控制面板-性能和维护-管理工具-Internet信息服务: (6)在默认网站上点击右键-选择属性: (7)点击主目录:在本地路输入框后点击浏览可以更改网站所在文件位置,默认目录为:C:\Inetpub\wwwroot
IIS配置WEB服务器 创建Web和FTP服务器是创建Internet信息服务器(IIS)的最重要的内容,通过Web服务器,用户可以有效直观的将信息发布给内部用户和Internet远程用户;通过FTP服务器,可实现服务器和客户机之间的快速文件传输。 IIS安装好之后,会自动创建一个默认的Web站点和一个默认的FTP站点,供用户快速发布内容。用户也可自己创建Web站点和FTP站点,以扩大和丰富自己的Web服务器和FTP服务器上的信息。对于Web服务器来说,还可利用服务器扩展功能来增强Web站点的功能。 一、IIS 提供的基本服务: ?WWW服务:支持最新的超文本传输协议(HTTP)1.1标准,运行速度更快,安全性 更高,还可以提供虚拟主机服务。WWW服务是指在网上发布可以通过浏览器观看的用HTML标识语言编写的图形化页面的服务。IIS允许用户设定数目不限的虚拟Web 站点。 ?FTP服务:支持文件传输协议(FTP)。主要用于网上的文件传输。IIS允许用户设定数 目不限的虚拟FTP站点,但是每一个虚拟FTP站点都必须拥有一个唯一的IP地址或端口。IIS不支持通过主机名区分不同的虚拟FTP站点。 ?SMTP服务:支持简单邮件传输协议(SMTP)。IIS 允许基于Web的应用程序传送和 接收信息。启动SMTP服务需要使用NT操作系统的NTFS文件系统。 ?除上述服务之外,IIS还可以提供NNTP Service等服务。本篇将主要讨论其中最重要的 WWW服务,读者在真正熟悉WWW服务之后,其它类型的服务也可做到触类旁通。 二、主目录(注:文章中“客户”指Web站点的访问者,“用户”指IIS 的使用者) 主目录是Web或FTP站点发布树的顶点,也是站点访问者的起点,它不但包含一个主页,而且还包含指向其他网页的链接。如果要通过主目录发布信息,请将信息文件置于主目录中,或将其组织到主目录的子目录中。 主目录及其子目录中的所有文件自动对站点访问者开放。如果访问者知道所需访问文件的正确路径和文件名,即使主页中没有指向这些文件的链接,访问者也可查看该文件。因此,请将那些需访问者查看的文件保存在主目录或子目录中。 每个Web站点必须有一个主目录,对Web站点的访问实际上是对站点主目录的访问。主目录之所以能被其他访问者访问,是因为它被映射到站点的域名。例如,如果站点的Internet 域名是https://www.doczj.com/doc/336157365.html,,而主目录是D:\Website\LWH,则客户浏览器使用 https://www.doczj.com/doc/336157365.html,/可访问D:\Website\LWH 目录中的文件。 IIS的默认主目录为\Inetpub\wwwroot,通过它可快速、轻松地发布信息,但是,如果用户想发布的所有文件已经位于一个目录中,可以将默认主目录更改为文件目前所在的目录,而不要移动文件。
(售后服务)系统IIS服务 安装与配置
M3-3Windows系统IIS服务安装和配置 1.1教学目的和要求 1.1.1教学目的 主要要求学生通过该能力模块的学习,能够熟练掌握IIS服务的安装和配置能力。 1.1.2教学要求 1.教学重点 ?FTP模式 ?配置且安装WEB服务器 ?配置且安装FTP服务器 2.教学难点 ?FTP模式及权限 1.2本能力单元涉及的知识组织 1.2.1本能力单元涉及的主要知识点 1.配置且安装WEB服务器 2.配置且安装FTP服务器 1.2.2本能力单元需要解决的问题 1.根据不同网络应用的需求,掌握FTP的安装和配置 2.根据不同网络应用的需求,掌握WEB的安装和配置 1.3核心技术和知识的理解 1.3.1FTP工作原理 1.FTP功能 FTP服务器的功能除了单纯的进行文件的传输和管理之外,依据服务器软
件的设定架构,他仍能够提供几个主要的功能: 不同等级的用户身份: FTP服务器于预设的情况下,依据使用者登入的情况而分为三种不同的身份,分别是 实体账号,realuser; 访客,guest; 匿名登录者,anonymous 这三种身份的用户于系统上面的权限差异很大。例如实体用户取得系统的权限比较完整,所以能够进行比较多的动作;至于匿名登录者,壹般情况下就仅提供他下载壹下资源而已,且不许匿名者使用太多服务器的资源。 2、FTP工作流程 FTP的传输使用的是可靠的TCP协议,TCP这种封包格式于建立联机会话前会先进行三次握手。不过FTP服务器是比较麻烦壹些,因为FTP服务器使用了俩个联机会话会话,分别是控制信道和数据流通道(ftp-data)。这俩个联机会话会话均需要经过三次握手。 图3-1FTP工作原理 简单的联机会话就如上图所示,联机会话的步骤如下所示: 1.建立控制信道的联机会话 如上图壹所示,客户端会随机取壹个大于1024之上的端口和FTP服务器端的port21建立联机会话,这个过程当然需要三次握手。达成联机会话后客户端便能够通过这个联机会话来对FTP服务器下达指令,包括查询文件名、下载、上传等等指令均是利用这个通道来下达的; 2.通知FTP服务器端使用active且告知连接的端口号 FTP服务器的21端口号主要用于命令的下达,可是当牵涉到数据流时,就不是使用这个联机会话了。客户端于需要数据的情况下,会告知服务器端要用什么方式来联机会话,如果是主动式(active)联机会话时,客户端会先随机启用壹个端口,且通过命令通道告知FTP服务器这俩个信息,且等待FTP服务器的联机会话; 3.FTP服务器主动向客户端联机会话 FTP服务器由命令通道了解客户端的需求后,会主动的由20这个端口号向客户端的随机端口联机会话,这个联机会话当然也会经过三次握手。此时FTP的客户端和服务器端共会建立俩条联机会话,分别用于命令的下达和数据的传递。而预设FTP服务器端使用的主动联机会话端口号就是port20。 如此壹来则成功的建立起“命令”和“数据传输”俩个信道。不过,要注
用自己的机子架设服务器放动网的论坛,要怎么做?总而言之,大家水平不同,问的问题也不一样,但这是关系到设置是否成功和动网论坛是否能正常使用,于是我在网上去帮大家找了这篇文章,讲得要多详细有多详细了,如果你也想架设一部属于自己的服务器,请好好看看这篇吧 看到别人精美的个人主页,你一定会有所心动,而如今免费资源却是越来越少,往往你花大量时间去寻找免费主页空间时,最后却因它们的不稳定而给自己带来一些遗憾。此外,在信息社会中,我们经常需要转移、暂存一些文档和资料,或与别人实现文件共享,FTP服务会经常作为我们的最佳信息传输方式。但在很多时候,当我们来回穿梭于那些免费的FTP 服务器时,却因为苦于没有匿名帐号或人数过多而不能正常登录。其实,我们完全可以避开这些尴尬,全力打造一个属于自己的个人服务器,从此不再搭便车,开始体会拥有的快感!下面随我一起开始个人服务器的网络架设之旅。 WWW服务器的架设 我们几乎每天都会浏览形形色色的网站来获取各种各样的信息,WWW服务器就是提供此类服务的,目前有很多信息提供商提供WWW服务器架设的付费服务。其实,我们完全可以自己打造WWW的个人服务器,在网上发布一些个人信息,并且体会做管理员的乐趣。WWW服务器的架设有很多种方式,下面介绍一些主流的实现方法: 1.通过微软提供的IIS 目前很大一部分的WWW服务器都架设在微软公司的IIS之上。它使用的环境为WinNT/2000/XP+Internet Information Service(IIS),相信很多用户现在使用的都是Win2000或WinXP系统,在Win2000 Professional和WinXP系统中,默认的情况下,它们在系统初始安装时都不会安装IIS(目前版本为IIS5.0),因此得将这些组件添加到系统中去。 第一步:IIS的安装 A.在控制面板中选择“添加/删除程序”,在出现的对话框中选择“添加/删除Windows组件”(如图1)。 B.在出现的复选框中选择安装Internet信息服务(IIS)(如图2),这一组件约需19MB的空间。 C.点击“下一步”,并将Win2000安装光盘放入光驱,安装程序即可将程序文件复制到硬盘中,点击“结束”即可完成。 第二步:IIS中Web服务器的基本配置 IIS中Web服务器的基本配置主要包括如下几部分: A.打开IIS服务器的配置窗口,选择“开始”→“程序”→“管理工具”→“Internet服务管理器”,或者“选择”→“控制面板”→“管理工具”→“Internet服务管理器”也可,打开的窗口如图3。 B.在打开的窗口中鼠标右击“默认Web站点”,选择“属性”菜单。 C.在出现的“默认Web站点属性”窗口中,选择“主目录”标签,用以设置Web内容在硬盘中的位置,默认目录为“C:\Inetpub\Wwwroot”,你可根据需要自己设置(如图4)。
windows 2003粉墨登场,很多赶时髦的用户已经早就试用了,但尽管2003号称安全性有很大突破,但其默认支持.net架构,而抛弃使用了很久的大众化的Asp的路线缺饱受质疑,需要我们手动去配置很多东西。 在 IIS 6.0 中,默认设置是特别严格和安全的,这样可以最大限度地减少因以前太宽松的超时和限制 而造成的攻击。比如说默认配置数据库属性实施的大ASP 张贴大小为 204,800 个字节,并将各个字段限制为 100 KB。在 IIS 6.0 之前的版本中,没有张贴限制。导致我们的应用系统往2003移植经常会出错。现汇总解决方案如下。 一、启用Asp支持 Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6,还需要单独开启对于ASP 的支持。 第一步,启用Asp,进入:控制面板 -> 管理工具->IIS(Internet 服务器)- Web服务扩展 -> Active Server Pages -> 允许 控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> 在服务端的包含文件 -> 允许 第二步,启用父路径支持。
IIS-网站-主目录-配置-选项-启用父路径 第三步,权限分配 IIS-网站-(具体站点)-(右键)权限-Users完全控制 二、解决windows2003最大只能上载200K的限制。 先在服务里关闭iis admin service服务 找到windows\system32\inesrv\下的metabase.xml, 打开,找到ASPMaxRequestEntityAllowed 把他修改为需要的值, 然后重启iis admin service服务 1、在web服务扩展允许 active server pages和在服务器端的包含文件 2、修改各站点的属性 主目录-配置-选项-启用父路径 3、使之可以上传大于 200k的文件(修改成您要的大小就可以了,如在后面补两个0,就允许20m了)
IIS技巧:网站服务器搭建与配置IIS(Internet Information Server)是微软公司推出Web服务器程序。安装windows 2000 Server 或Windows 2000 Advanced Server时,将自动安装IIS 并建立默认站点。如果计算机安装Windows 2000 Professional 或安装Windows 2000时没有安装IIS,则需要手工安装IIS。 IIS只能运行于基于NT技术Windows平台,因此不能在Windows 98或Windows Me上安装。 如果你机子里没有IIS,那么可以按下面所介绍方法安装IIS。 1. IIS安装 IIS安装步骤如下: (1)准备好Windows 2000安装光盘,放置于光盘驱动器中。 (2)单击【开始】【设置】【控制面板】命令,打开【控制面板】窗口,然后再打开【添加/删除程序】对话框。 (3)单击【添加/删除Windows组件】按钮,弹出【Windows 组件向导】。在这里,可以看到目前系统中已经安装和没有安装各种Windows组件。前面打勾项是已经安装组件,空白是没有安装组件,打勾但是颜色发灰是部分安装组件。我们将要安装是“Internet信息服务(IIS)”,如图所示。 (4)用鼠标选中“Internet信息服务(IIS)”,然后单击右下角【详细信息】按钮,将看到如图1-11所示选择界面。 可见Internet信息服务(IIS)组件是一系列有关在Internet上发布信息组件集合。建立一个基本动态交互WWW网站至少需要如下几个组件: ▲公用文件:各组件都需要通用程序和数据文件。
实验二 iis服务器的配置与使用及DNS服 务器的配置与使用 学校名称:北京开放大学 学院名称:北京开放大学直属学院 年纪专业:2014秋计算机(本科) 姓名:胡江 完成日期:2015.06.06
一、实验目的 掌握在windows操作系统上建立web服务器的方法,学会设置默认网站主目录,虚拟目录的创建,理解虚拟目录和实际目录的关系。 理解DNS在互联网上的应用,掌握域名注册、DNS配置、建立虚拟网站的方法。 二、实验内容 1.用windows操作系统建立web服务器 2.建立虚拟目录 3.安装Microsoft DNS服务组件 4.创建DNS区域 5.为主DNS区域添加资源记录 6.设置DNS服务器 三、实验环境 1.两台安装有windows系统的计算机,其中一台安装有windows server2003 2. windows server2003系统光盘或者源文件 四、实验过程和主要步骤 1.安装和配置IIS 将windows server2003插入光驱,在“开始”-“程序”-“管理工
具”-“配置服务器”中选择“高级”,出现“windows组件向导”,单击“下一步”后选中“internet信息服务(IIS)”,继续下一步,完成安装。完成安装后,启动浏览器,在地址栏中输入localhost。若显示网页则表示安装成功。 2.设置默认网站主目录 进入“控制面板”--“管理工具”--“internet信息服务(IIS)”,在弹出的对话框中展开“本地计算机”列表,展开“web站点”,单击右键“默认网站”选择“属性”。输入默认网站的主目录,以及为该文件夹启用脚本权限。至此完成对Web服务器的安装配置。详见图一 图一
Windows Server 2008安装IIS7.0 1、概述 windows2008里面的IIS它默认安装好IIS服务后,集成了两种IIS,一种是IIS6.0,这个版本是以前2003上使用的,还有一种就是目前的新产品IIS7.0(在安装IIS服务时,可以勾选是否安装IIS6.0以及是否安装FTP服务)。 2、安装IIS 1)、打开“控制面板=》程序和功能=》打开或关闭windows功能”,在弹出的服务管理器窗口中点击角色,添加角色。 2)、没说的,默认点下一步 3)、在弹出的窗口里,勾选需要安装的“Web服务器(IIS)”,继续下一步。
4)、 Web服务器简介(IIS),直接单击下一步。 5)、接下来,会出现IIS需要安装的一些组件,因为我们的WEB服务端,使用ASP程序,所以我们必须勾选“应用程序开发”和安全性下面的“基本身份验证”和“windows身份验证”也勾选上,下图红色部分都是默认不勾选的。
6)、然后点下一步,再点击安装,等待安装完成。 7)、安装完后,就可以在服务器管理器=》角色里看到“WEB服务器(IIS)”。 3、设置 1)、在管理工具里面找到“Internet信息服务(IIS)管理器”打开,就看到如下的界面; 2)、因为我们的WebSearch是直接使用IP访问,所以我们要在默认网站上做设置,设置WebSearch的服务器目录,点击基本设置,弹出窗口中设置路;
3)、设置默认文档,设置完成后一定要记得单击启用; 4)、目录浏览默认是禁用的,选择启用目录浏览。
5)、添加虚拟目录,这个和以前6.0的版本相同。
如何配置IIS服务器? 篇一:20XX的web服务器配置方法 windows20XX的web服务器配置方法 windowsserver20XX没有安装IIs6.0,要通过控制面板来安装。具体做法为: 1.进入“控制面板”。 2.双击“添加或删除程序”。 3.单击“添加/删除windows组件”。 4.在“组件”列表框中,双击“应用程序服务器”。 5.双击“Internet信息服务(IIs)”。 6.从中选择“万维网服务”及“文件传输协议(FTp)服务”。 7.双击“万维网服务”,从中选择“Activeserverpages”及“万维网服务”等。 安装好IIs后,接着设置web服务器,具体做法为: 1.在“开始”菜单中选择“管理工具→Internet信息服务(IIs)管理器”。 2.在“Internet信息服务(IIs)管理器”中双击“本地计算机”。 3.右击“网站”,在弹出菜单中选择“新建→网站”,打开“网站创建向导”。 4.依次填写“网站描述”、“Ip地址”、“端口号”、“路径”和“网站访问权限”等。最后,为了便于访问还应设置默认文档(Index.asp、
Index.htm)。 上述设置和windows2000server网站设置基本相同,但此时web服务还仅适用于静态内容,即静态页面能正常浏览,常用Activeserverpages(Asp)功能没有被启用。所以还应在“Internet信息服务(IIs)管理器”的“web服务扩展”中选择允许“Activeserverpages”。另外,还应注意如果web服务主目录所在分区是nTFs格式,而Asp 网页有写入操作时(如用到新闻后台管理功能的),要注意设置写入及修改权限。 一、架设web服务器 默认安装的windowsserver20XX没有配置IIs服务,需要我们手工安装。进入控制面板,执行“添加或删除程序→添加/删除windows组件”进入windows组件向导窗口,勾选“应用程序服务器→Internet 信息服务”,“确定”后返回windows组件向导窗口点击“下 一步”即可添加好IIs服务。在控制面板的管理工具中执行“Internet 信息服务(IIs)管理器”进入IIs管理器主界面(如图),在图上可以看出windowsserver20XX下的IIs默认支持静态网站,若要执行动态页面还需设置web服务扩展属性,比如要执行Asp网站则要在“web 服务扩展”列表中选中“Activeserverpages”然后单击“允许”按钮来启用该功能。接下来就可以具体配置web站点了。 1.网站基本配置。在“默认网站”的右键菜单中选择“属性”进入“默认网站属性”窗口,在“网站”选项卡上的“描述”里可以为网站取一个标示名称,如果本机分配了多个Ip地址,则要在Ip地址框
Windows Server 2008 IIS 服务器安装与配置 2010 年 10 月 22 日原创抢板凳 Windows Server 2008 IIS 服务器安装与配置 本文关键字:Windows Server 2008 IIS 服务器安装与配置,IIS服务器 本文来源:https://www.doczj.com/doc/336157365.html, IIS(Inetnet Information Services, Internet信息服务管理器)是一个用于配置应用程序池或网站,FTP站点,SMTP或NNTP站点基于MMC控制台管理程序,它是Windows Server 2003/2008操作系统自带的组件,无须安装第三方程序即可用来搭建各种网站并管理服务器中的所有站点。 IIS服务不仅提供了FTP服务,SMTP服务,NNTP服务以及IIS管理服务,还可以实现信息发布,文件传输及用户通信,并管理这些服务。 在Windows Server 2008服务器中安装IIS之前,应确认一下几个准备事项。一,为IIS服务器指定IP地址 二,为WEB网站指定DNS域名,并注册到DNS服务器内 三,WEB网页最好保存在NTFS格式的分区内,这样可以通过设置NTFS格式的权限来增加网站的安全性 下面开始安装配置IIS:
(1) 运行“开始”–“程序”–“管理工具”–“服务器管理器”打开: 选择“WEB服务器(IIS)”,注意:首次安装IIS的时候,当你点击“下一步”的时候会提示“是否添加WEB服务器所需的功能”对话框。提示在安装IIS时,必须同时安装“Windows进程激活服务”。单击“添加必须的功能”按
windows2003 web服务器配置 目录 1. Web服务器概述 2. IIS简介 3. IIS的安装 4. Internet 信息服务(IIS)管理器 5.在IIS中创建Web网站 6.网站的基本配置 7.虚拟目录 8.访问权限 9.常见问题
Web服务器概述 Web服务器又称为WWW服务器,它是放置一般网站的服务器。一台Web服务器上可以建立多个网站,各网站的拥有者只需要把做好的网页和相关文件放置在Web服务器的网站中,其它用户就可以用浏览器访问网站中的网页了。 我们配置Web服务器,就是在服务器上建立网站,并设置好相关的参数,至于网站中的网页应该由网站的维护人员制作并上传到服务器中,这个工作不属于配置服务器的工作。 IIS简介 IIS(Internet信息服务器)是 Internet Information Server 的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、SMTP等服务器组件。它只能用于Windows操作系统。 IIS集成在Windows 2000/2003 Server版中,在Windows 2000 Server中集成的是IIS 5.0,在Windows Server 2003中集成的是IIS 6.0。IIS 6.0不能用于Windows 2000中。 Windows 9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。Windows XP里也能安装IIS5.0,但功能受到限制,只支持10个连接。通常在Windows XP操作系统中安装IIS的目的是为了调试ASP等程序。 IIS的安装 一般在安装操作系统时不默认安装IIS,所以在第一次配置Web服务器时需要安装IIS。安装方法为: 1、打开“控制面板”,打开“添加/删除程序”,弹出“添加/删除程序”窗口。 2、单击窗口中的“添加/删除Windows组件”图标,弹出“Windows组件向导”对话框。
使用IIS Express 来启动并运行网站 1. IIS Express介绍 IIS Express可以称为轻量级独立版的IIS 7X,是微软近日发布的一款免费的Web服务器,具有IIS 7.5的全部性能优点和轻量级的Web服务器功能。它可以快速从硬盘上的某个文件夹中启动网站程序。 2.IIS Express的应用 如果我们不能或不想使用IIS作为Web 服务器,可以使用IIS Express 来运行网站(如果电脑安装有IIS,可以完全不用理会)。 3. 如何配置并启动一个临时的网站 有些情况下,我们需要启动一个临时的网站(比如快速创建一个临时服务器等),便可以用类似的命令行来创建: iisexpress /path:<网站目录> /port:<端口> /clr:
实训1 使用IIS配置Web服务器 目的:理解Web服务及其工作原理,掌握使用IIS搭建和配置Web站点的方法与步骤。 内容:创建Web网站,对Web网站进行基本设置,设置默认网页,设置虚拟目录,通过IP地址限制访问,利用多IP地址、多端口号以及多主机头的方法在同一台计算机上创建多个Web网站,利用浏览器访问多网站。 要求:能够创建Web网站,能够对Web网站进行基本设置和管理,掌握在同一台计算机上创建多个Web网站的方法。 1. 配置任务 在网络中配置一台Web服务器,使用户可以通过完全合格域名(如sale.abc.com)来访问它上面的Web网站,具体的配置环境如实图1所示。 实图1 配置实例图 2.配置工作 (1)配置Web服务器 在IP地址为192.168.1.1的计算机上执行以下工作。 1)安装IIS 步骤1:单击[开始]→[设置]→[控制面板]→[添加或删除程序]→[添加/删除Windows
组件]。 步骤2:选择[应用程序服务器],然后单击[详细信息]按钮。 步骤3:选择[Internet信息服务(IIS)],然后单击[确定]按钮。 步骤4:单击[下一步]按钮,系统复制相关文件后,单击[完成)按钮。 这样就完成了IIS的安装过程: 2)建立Web站点 步骤1:单击[开始]→[程序]→[管理工具]→[Intemet信息服务(IIS)管理器]。
步骤1:右键单击[网站],在弹出的快捷菜单中单击[新建]→[网站]。 步骤3:在出现“网站创建向导”窗口时,单击[下一步]按钮。
步骤4:在“网站描述”界面中输入该网站的描述文字(如Web网站1),然后单击[下一步]按钮。 步骤5:在“IP地址和端口设置”界面中的[网站IP地址]处选定这个网站使用的IP地址“192.168.1.1”,在[网站TCP端口(默认值:80)]处输入端口号“80”,在[此网站的主机头(默认:无)]处输入一个主机头名称“sale.abc.com”,然后单击[下一步]按钮。