下载文档原格式
如何配置IIS服务器?篇一:2003的Web服务器配置方法Windows 2003的Web服务器配置方法Windows Server 2003没有安装IIS 6.0,要通过控制面板来安装。
具体做法为:1. 进入“控制面板”。
2. 双击“添加或删除程序”。
3. 单击“添加/删除Windows 组件”。
4. 在“组件”列表框中,双击“应用程序服务器”。
5. 双击“Internet 信息服务(IIS)”。
6. 从中选择“万维网服务”及“文件传输协议(FTP)服务”。
7. 双击“万维网服务”,从中选择“Active Server Pages” 及“万维网服务”等。
安装好IIS后,接着设置Web服务器,具体做法为:1. 在“开始”菜单中选择“管理工具→Internet信息服务(IIS)管理器”。
2. 在“I nternet 信息服务(IIS)管理器”中双击“本地计算机”。
3. 右击“网站”,在弹出菜单中选择“新建→网站”,打开“网站创建向导”。
4. 依次填写“网站描述”、“IP 地址”、“端口号”、“路径”和“网站访问权限”等。
最后,为了便于访问还应设置默认文档(Index.asp、Index.htm)。
上述设置和Windows 2000 Server网站设置基本相同,但此时Web服务还仅适用于静态内容,即静态页面能正常浏览,常用Active Server Pages(ASP)功能没有被启用。
所以还应在“Internet 信息服务(IIS)管理器”的“ Web 服务扩展”中选择允许“Active Server Pages”。
另外,还应注意如果Web服务主目录所在分区是NTFS格式,而ASP网页有写入操作时(如用到新闻后台管理功能的),要注意设置写入及修改权限。
一、架设Web服务器默认安装的Windows Server 2003没有配置IIS服务,需要我们手工安装。
进入控制面板,执行“添加或删除程序→添加/删除Windows 组件”进入Windows组件向导窗口,勾选“应用程序服务器→Internet 信息服务”,“确定”后返回Windows 组件向导窗口点击“下一步”即可添加好IIS服务。
文档从互联网中收集,已重新修正排版,word 格式支持编辑,如有帮助欢迎下载支持。
- 1 -word 格式支持编辑,如有帮助欢迎下载支持。
IIS Web 服务器安全加固步骤:步骤注意:安装和配置 WindowsServer 2003。
1. 将<systemroot>\System32\cmd.exe 转移到其他目录或更名;2. 系统帐号尽量少,更改默认帐户名(如Administrator )和描述,密码尽量复杂;3. 拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest ;所有非操作系统服务帐户)4.建议对一般用户只给予读取权限,而只给管理员和System 以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。
5.NTFS 文件权限设定(注意文件的权限优先级别比文件夹的权限高):文件类型建议的 NTFS 权限 CGI 文件(.exe 、.dll 、.cmd 、.pl ) 脚本文件 (.asp)包含文件(.inc 、.shtm 、.shtml )静态内容(.txt 、.gif 、.jpg 、.htm 、.html ) Everyone (执行)Administrators (完全控制) System (完全控制)6.禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer 、REG_DWORD 、0x0 7.禁止ADMIN$缺省共享文档从互联网中收集,已重新修正排版,word格式支持编辑,如有帮助欢迎下载支持。
- 2 -word格式支持编辑,如有帮助欢迎下载支持。
win2003iis设置完全篇一、启用Asp支持Windows Server2003默认安装,是不安装IIS6的,需要另外安装。
安装完IIS6,还需要单独开启对于ASP的支持。
第一步,启用Asp,进入:控制面板->管理工具->IIS(Internet服务器)-Web服务扩展->Active Server Pages->允许控制面板->管理工具->IIS(Internet服务器)-Web服务扩展->在服务端的包含文件->允许第二步,启用父路径支持。
IIS-网站-主目录-配置-选项-启用父路径第三步,权限分配IIS-网站-(具体站点)-(右键)权限-Users完全控制二、解决windows2003最大只能上载200K的限制。
先在服务里关闭iis admin service服务找到windows\system32\inesrv\下的metabase.xml,打开,找到ASPMaxRequestEntityAllowed把他修改为需要的值,然后重启iis admin service服务1、在web服务扩展允许active server pages和在服务器端的包含文件2、修改各站点的属性主目录-配置-选项-启用父路径3、使之可以上传大于200k的文件(修改成您要的大小就可以了,如在后面补两个0,就允许20m了)c:\WINDOWS\system32\inetsrv\MetaBase.xml(企业版的windows2003在第592行,默认为AspMaxRequestEntityAllowed="204800"即200K阿胶将其加两个0,即改为,现在最大就可以上载20M了。
AspMaxRequestEntityAllowed="20480000"本分步指南介绍了如何在Windows Server2003环境中设置一个用于匿名访问的WWW服务器。
一、安装补丁安装好Windows 2003操作系统之后,在托管之前一定要完成补丁的安装,配置好网络后,最好安装上SP1,然后点击开始选择Windows Update,安装所有的关键更新。
二、安装杀毒软件目前的杀毒软件种类很多,其中瑞星、诺顿、卡巴斯基等都是很不错的选择。
不过,也不要指望杀毒软件能够杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置,把服务器上面要用到的服务端口选中,例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389),在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号,如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
1、权限设置的原理1)WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。
在开始→程序→管理工具→计算机管理→本地用户和组,管理系统用户和用户组。
2)NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
文件(夹)上右键→属性→安全,在这里管理NTFS文件(夹)权限。
3)IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
Windows 2003服务器安全配置终极技巧1、安装系统补丁。
扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户,进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。
∙其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。
建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘,有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限,无只给Administrators 权限。
Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展,各高校所运维的网站数量和规模与日俱增。
与此同时,Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可,基于IIS WEB服务器软件的网站数量也越来越多。
通常情况,高校的大多数服务器,会由技术力量相对雄厚的网络中心等IT资源部门运维管理。
而网站程序的制作则一般由各单位、各部门自主负责:少数用户单位将会自主开发,或者请专业的IT公司代为开发。
而更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,便将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行着多个网站,其中某个网站存在着安全漏洞(例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站,取得权限,上传网页木马,得到了一个WEB SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有WEB站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便将感染上病毒,结果引来用户的严重不满和投诉,同时也严重损害了学校的形象。
为了避免类似事件的发生,我们有必要将网站和数据库分开部署,通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还是远远不够的,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限做严格的控制,实现各网站之间权限的隔离,做法如下:在WEB服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
Server security configuration(服务器安全配置)Security reinforcement scheme for WIN2003 serverBecause of the convenience and ease of use of IIS (Internet, Information, Server), it has become one of the most popular Web server software. But the security of IIS has always been a concern. How to build a secure Web server using IIS is a topic that many people care about. To create a secure Web server, double security must implement the Windows 2003 and IIS, because IIS users also Windows 2003 users, NTFS and IIS file system directory permissions on Windows access control, so the first step in IIS security protection is to ensure that the Windows 2000 operating system security, so to the server security, in order to avoid attacks by hackers, causing serious consequences.Two. We will strengthen your system through several aspects:1. system security reinforcement: we strengthen your system by configuring directory permissions, system security policies, protocol stack strengthening, system services and access control, and overall improve the security of the server.2.IIS manual reinforcement: manual reinforcement of IIS can effectively improve the security of iWeb sites, reasonable allocation of user rights, configuration of appropriate security policies, effectively prevent IIS users from overflowing rights.3. system application consolidation provides application security, such as the security configuration of SQL andsecurity enhancement of server applications.Three. Safety reinforcement of the system:1. directory permissions configuration:1.1 in addition to the system partition where all the partitions are assigned to the Administrators and SYSTEM had complete control, then the subdirectory of the separate directory permissions, if the WEB site directory, you must assign a directory permissions for the corresponding anonymous access account and give it if you want to modify the permissions. To make the site more robust, and can assign read-only write permissions on special directory.The root directory in the partition under the 1.2 system is set to do not inherit the parent permissions, and then the partition gives full control to Administrators and SYSTEM only.1.3 because the server only administrators have local login permissions, where to configure Documents and Settings, this directory permissions reserved only Administrators and SYSTEM have full control, the subdirectories are the same. There is also a hidden directory that requires the same operation. Because if you install PCAnyWhere, then all of his configuration information is stored under it, and you can easily retrieve this configuration file using webshell or FSO.1.4 configure the Program files directory to give full control to Administrators and SYSTEM for all directories other than the Common Files directory.1.5 configure the Windows directory, it is a major according to their own situation if you use the default security settings is also feasible, but should enter the SYSTEM32 directory, cmd.exe, ftp.exe, net.exe, scrrun.dll, shell.dll these killer procedures to give the anonymous account access denied.1.6 review MetBase.bin, C:\WINNT\system32\inetsrv directory only administrator, only allow Administrator users to read and write.2. sets of policy configuration:Under user rights assignment, delete Power Users and Backup Operators from this computer accessed through the network;Enable anonymous access to SAM accounts and shares;Enable storage credentials or Passport for network authentication is not allowed;Delete DFS$and COMCFG that allow anonymous logins from file sharing;Enable interactive logon: do not display last user name;Enables the LANMAN hash value not stored when the next password change occurs;Prohibit IIS anonymous users from logging in locally;3. local security policy settings:Start Menu > Administration Tool > local security policyA, local policy > audit policyAudit policy changes failed successfullyAudit logon event failed successfullyAudit object access failedAudit process tracking without auditAudit directory service access failedAudit privilege usage failedThe audit system event failed successfullyAudit account logon event failed successfullyAudit account management failed successfullyNote: when setting up the audit landing event, the selection fails, so the security log in the event viewer will record the information that failed to log in.B, local policy > user rights assignmentClose the system: only Administrators group, all other deleted.Through terminal service refused to login: join Guests, User groupThrough terminal services to allow landing: only join the Administrators group, the other all deletedC, local policy > Security OptionsInteractive login: not last user name is enabledNetwork access: SAM anonymous accounts and shared anonymous enumerations are not allowedNetwork access: saving credentials for network authentication is not allowedNetwork access: shared access that can be accessed anonymously, all deletedNetwork access: anonymous access to all deleted livesNetwork access: remote access to the registry path, all deletedNetwork access: remotely accessible registry paths and sub paths are all deletedAccount: Rename guest accounts, rename an accountAccount: rename the system administrator account and rename an account4. local account policy:Set the account password policy in - strategy:Password complexity required to enableThe minimum password length is 6 bitsForce password history 5 timesThe longest stay is 30 daysIn the account account lockout policy set - strategy:Account locked 3 times wrong loginLock time 20 minutesReset lock count for 20 minutes5. modify registry configuration:5.1 by changing the registryLocal_machine\system\currentcontrolset\control\lsa-restrict anonymous = 1 to disable 139 null connections5.2 modify the packet lifetime (TTL) valueHkey_local_machine\system\currentcontrolset\services\tcpip\parametersDefaultttl reg_dword 0-0xff (0-255 decimal, default 128)5.3 prevent SYN Flood attacksHkey_local_machine\system\currentcontrolset\services\tcpip\ parametersSynattackprotect reg_dword 0x2 (defaults to 0x0)5.4 prohibit responding to ICMP routing notification messageHkey_local_machine\system\currentcontrolset\services\tcpip\parameters\interfaces\interfacePerformrouterdiscovery reg_dword 0x0 (defaults to 0x2)5.5 prevent ICMP redirection messages from attackHkey_local_machine\system\currentcontrolset\services\tcpip\ parametersEnableicmpredirects reg_dword 0x0 (defaults to 0x1)5.6, the IGMP protocol is not supportedHkey_local_machine\system\currentcontrolset\services\tcpip\ parameters5.7 modify the default port of 3389:Run Regedt32 and go to this item:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp, find the PortNumber subkey, and you'll see the value 00000D3D, which is the sixteen hexadecimal representation of 3389. Use the sixteen decimal value to modify this port number and save the new value.Disabling unnecessary services can not only reduce the server's resource footprint, reduce the load, but also enhance security. Listed belowigmplevel reg_dword 0x0(默认值为0x2)5.8设置ARP缓存老化时间设置hkey_local_machine \系统\ CurrentControlSet \服务\ TCPIP \参数arpcachelife reg_dword 0-0xffffffff(秒数,默认值为120秒)arpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默认值为600)5.9禁止死网关监测技术hkey_local_machine \系统\ CurrentControlSet \服务\ TCPIP \参数enabledeadgwdetect reg_dword 0x0(默认值为OX1)5.10不支持路由功能hkey_local_machine \系统\ CurrentControlSet \服务\ TCPIP \参数ipenablerouter reg_dword 0x0(默认值为0x0)。
Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services 中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
基于Windows2003的校园网Web服务器安全配置技术王杨摘要:对基于Windows Server 2003系统下Web服务器的安全技术研究。
从操作系统本身入手,通过重新规划系统部分默认配置。
提高基Windows2003的校园网Web服务器的安全性。
关键词:web 服务器;安全;IIS;Windows Server 2003构建一个安全的Web服务平台是保障学校各项工作顺利开展的基础,是学校实现现代化教学的前提,也是保障整个互联网健康发展的一个重要因素。
随着各类黑客工具在网络上的大势传播,Web 服务器面临着前所未有的威胁Windows Server2003作为第一个内置支持.NET技术的操作系统,重写了内核代码,使得该系统更稳定、更安全。
以下分别从Windows Server2003 系统配置,IIS配置以及网站代码安全三个方面来探讨web 服务器的安全问题。
1 Windows Server2003 系统安全配置Web服务器所采用的操作系统,高性能、高可靠性和高安全性是其必备要素。
微软的企业级操作系统中, 如果说Windows2000 全面继承了NT 技术, 那么Windows Server2003 则是依据.Net 架构对NT技术作了重要发展和实质性改进, 凝聚了微软多年来的技术积累, 使得系统安全性方面得以更大提高。
1.1 采用NTFS磁盘分区格式NTFS系统提供了性能安全、可靠以及在其他文件系统格式没有的高级功能,可以实现文件及文件夹的加密、权限设置、磁盘配额和压缩等高级功能,并可以更好的利用磁盘空间,提高系统的运行速度。
自WindowsNT 系统问世以来,使用NTFS文件系统,进一步打造系统安全已逐渐成为一种共识。
1.2 关闭系统默认共享Windows Server2003 仍开启默认共享所有硬盘分区, 以及让进程通信而开放的命名管道IPC$和系统工作目录admin$共享,这就为系统的安全埋下隐患。
终级Win2003服务器安全配置篇今天演示一下服务器权限的设置,实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示,此演示基本上保留系统默认的那些权限组不变,保留原味,以免取消不当造成莫名其妙的错误.看过这个演示,之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置:C:\WINDOWS\Application Compatibility Scripts 不用做任何修改,包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件,创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改,包括其下所有子目录C:\WINDOWS\inf不用做任何修改,包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改,包括其下所有子目录C:\WINDOWS\msagent 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改,包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限,取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改,其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改,包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改,包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限,其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限,给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改,包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。
Windows Server 2003 防木马、权限设置、IIS服务器安全配置整理参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢!一、系统的安装1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———(可选)|——启用网络COM+ 访问(必选)|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)|——公用文件(必选)|——万维网服务———Active Server pages(必选)|——Internet 数据连接器(可选)|——WebDAV 发布(可选)|——万维网服务(必选)|——在服务器端的包含文件(可选)然后点击确定—>下一步安装。
(具体见本文附件1)3、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。
4、备份系统用GHOST备份系统。
5、安装常用的软件例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6、先关闭不需要的端口开启防火墙导入IPSEC策略在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP 上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
修改3389远程连接端口修改注册表.开始--运行--regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。
为了保险起见,最好给Guest加一个复杂的密码。
你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户去掉所有的Duplicate User用户、测试用户、共享用户等等。
用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。
尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
这样可以让那些Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。
(该项为可选)7、不让系统显示上次登录的用户名默认情况下,登录对话框中会显示上次登录的用户名。
这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。
修改注册表可以不让对话框里显示上次登录的用户名。
方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置1、使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。
因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码这是一个很简单也很有必要的操作。
设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。
如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置1、磁盘权限系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给Administrators 组和SYSTEM 的完全控制权限另将<systemroot>\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。
并且要一个一个目录查看,包括下面的所有子目录。
删除c:\inetpub目录2、本地安全策略设置开始菜单—>管理工具—>本地安全策略A、本地策略——>审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略——>用户权限分配关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除C、本地策略——>安全选项交互式登陆:不显示上次的用户名启用网络访问:不允许SAM帐户和共享的匿名枚举启用网络访问:不允许为网络身份验证储存凭证启用网络访问:可匿名访问的共享全部删除网络访问:可匿名访问的命全部删除网络访问:可远程访问的注册表路径全部删除网络访问:可远程访问的注册表路径和子路径全部删除帐户:重命名来宾帐户重命名一个帐户帐户:重命名系统管理员帐户重命名一个帐户3、禁用不必要的服务开始-运行-services.mscTCP/IPNetBIOS Helper提供TCP/IP 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络Server支持此计算机通过网络的文件、打印、和命名管道共享Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允许程序在指定时间运行Messenger 传输客户端和服务器之间的NET SEND 和警报器服务消息Distributed File System: 局域网管理共享文件,不需要可禁用Distributed linktracking client:用于局域网更新连接信息,不需要可禁用Error reporting service:禁止发送错误报告Microsoft Serch:提供快速的单词搜索,不需要可禁用NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用PrintSpooler:如果没有打印机可禁用Remote Registry:禁止远程修改注册表Remote Desktop Help Session Manager:禁止远程协助Workstation 关闭的话远程NET命令列不出用户组以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
4、修改注册表修改注册表,让系统更强壮1、隐藏重要文件/目录可以修改注册表实现完全隐藏HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为02、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为2新建EnablePMTUDiscovery REG_DWORD 0新建NoNameReleaseOnDemand REG_DWORD 1新建EnableDeadGWDetect REG_DWORD 0新建KeepAliveTime REG_DWORD 300,000新建PerformRouterDiscovery REG_DWORD 0新建EnableICMPRedirects REG_DWORD 03. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface新建DWORD值,名为PerformRouterDiscovery 值为04. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects 值设为05. 不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为IGMPLevel 值为06、禁止IPC空连接:cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
