下载文档原格式
Windows Server 2003安全设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator,并将其禁用b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成2.启用账户锁定策略开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”3.创建一个日常登录账户通过Runas或者鼠标右键“运行方式”切换管理员权限4.修改本地策略限制用户权限开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”,限制从网络访问该服务器的账户二、服务器性能优化,稳定性优化1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始运行中输入:services.mscb)停止并禁用以下服务puter Browser2.Distributed Link Tracking Client3.Print Spooler(如果没有打印需求可以停止该服务)4.Remote Registry5.Remote Registry(如果没有无线设备可以停止该服务)6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新我的电脑右键属性——自动更新Windows Server 2003会自动下载更新,无须人为打补丁。
2.关闭端口,减少受攻击面(此处以仅提供HTTP协议为例)a)开始运行中输入cmd,运行命令提示符b)在命令提示符中输入netstat -an命令察看当前打开端口图片中开放了TCP 135,139,445,1026四个端口,可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。
c)禁用TCP/IP 上的NetBIOS1.从“开始”菜单,右键单击“我的电脑”,然后单击“属性”。
Win2003 防木马、权限设置、IIS服务器安全配置整理一、系统的安装1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———(可选)|——启用网络 COM+ 访问(必选)|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)|——公用文件(必选)|——万维网服务———Active Server pages(必选)|——Internet 数据连接器(可选)|——WebDAV 发布(可选)|——万维网服务(必选)|——在服务器端的包含文件(可选)然后点击确定—>下一步安装。
(具体见本文附件1)3、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。
4、备份系统用GHOST备份系统。
5、安装常用的软件例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6、先关闭不需要的端口开启防火墙导入IPSEC策略在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
修改3389远程连接端口修改注册表.开始--运行--regedit依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。
Windows 2003 IIS安全权限设置解析系统默认用户情况为:administrators 超级管理员(组)system 系统用户(内置安全主体)guests 来宾帐号(组)iusr_服务器名匿名访问web用户iwam_服务器名启动iis进程用户www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组) 为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组■盘符安全访问权限△C:\盘administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△D:\盘(如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限△E:\盘administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△f:\盘administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△如有其他盘符类推下去.■目录安全访问权限▲c:\windows\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\windows\system32\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限▲c:\windows\temp\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限▲C:\WINDOWS\system32\config\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\Program Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Program Files\Common Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限▲c:\Documents and Settings\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限■禁止系统盘下的EXE文件:net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe △些文件都设置成administrators 完全控制权限■新建WWW(网站)根目录【administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限】▲根目录里新建wwwroot目录▲网站根目录、网页请上传到这个目录△administrators(组) 完全控制权限△www_cnnsc_org(用户)完全控制权限▲根目录里新建logfiles目录▲网站访问日志文件、本目录不占用您的空间△administrators(组) 完全控制权限▲根目录里新建database目录▲数据库目录、用来存放ACCESS数据库△administrators(组) 完全控制权限▲根目录里新建others目录▲用于存放您的其它文件、该类文件不会出现在网站上△administrators(组) 完全控制权限△www_cnnsc_org(用户)完全控制权限▲在FTP(登陆消息文件里填)IIS日志说明:〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒欢迎您使用本虚拟主机.请使用CUTEFTP或者LEAFTP等软件上传您的网页.注意、如果上传不了、请把FTP软件的PASV模式关掉再试.您登陆进去的根目录为FTP根目录\--wwwroot网站根目录、网页请上传到这个目录.\--logfiles 网站访问日志文件、本目录不占用您的空间.\--database 数据库目录、用来存放ACCESS数据库.\--others 用于存放您的其它文件,该类文件不会出现在网站上.为了保证服务器高速稳定运行、请勿上传江湖游戏、广告交换、博彩类网站、大型论坛、软件下载等耗费系统资源的程序.IIS日志说明\--Date 动作发生时的日期\--Time 动作发生时的时间\--s-sitename 客户所访问的Internet服务于以及实例号\--s-computername 产生日志条目的服务器的名字\--s-ip 产生日志条目的服务器的IP地址\--cs-method客户端企图执行的动作(例如GET方法)\--cs-uri-stem被访问的资源、例如Default.asp\--cs-uri-query 客户所执行的查询\--s-port 客户端连接的端口号\--cs-username通过身份验证访问服务器的用户名、不包括匿名用户\--c-ip 访问服务器的客户端IP地址\--cs(User-Agent) 客户所用的浏览器\--sc-status用HTTP或者FTP术语所描述的动作状态\--sc-win32-status用Microsoft Windows的术语所描述的动作状态〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒。
系统设置网上有一句话是“最小的权限+最少的服务=最大的安全”。
此句基本上是个人都看过,但我好像没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!最小的权限如何实现?NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户,进入系统盘:权限如下C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Installer 也是保留了Everyone权限.删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击默认IIS错误页面已基本上没多少人使用了。
建议删除C:\WINDOWS\Help\iisHelp目录删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500错误的时候使用OWA 或Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled” 数据为默认值“0”禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous” 数据值为“1” [2003默认为1]禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareServer” 数据值为“0”禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareWks” 数据值为“0”通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”值名为“SynAttackProtect” 数据值为“1”禁止dump file的产生dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。
Windows 2003网站安全权限设置指南Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可,基于IIS Web服务器软件的网站数量也越来越多。
通常情况下,高校的大多数服务器会由技术力量相对雄厚的网络中心等IT 资源部门运维管理。
而网站程序的制作则由各单位、各部门自主负责,少数用户单位会自主开发,或者请专业的IT公司代为开发。
更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此,各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行多个网站,其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站取得权限,上传网页木马,得到了一个Web SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有Web站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便会感染上病毒,不仅引来用户的严重不满和投诉,同时也使学校的形象严重受损。
为了避免类似事件的发生,我们有必要分开部署网站和数据库。
通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还远远不够,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限作出严格的控制,实现各网站之间权限的隔离,方法如下:在Web服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
2.在IIS管理控制台中,创建若干应用程序池,并分别为每个程序池分配不同的安全性用户。
3.将各个网站分配到相应的应用程序池。
完整windows server 2003系统安全配置教程网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端BT的2003服务器的安全配置,让更多的网管朋友高枕无忧。
我们配置的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。
先说关于系统的NTFS磁盘权限设置,大家可能看得都多了,但是2003服务器有些细节地方需要注意的,我看很多文章都没写完全。
1.C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
(右击‘c盘——>属性’)Windows目录要加上给users的默认权限,删除everyone即可。
否则ASP和ASPX等应用程序就无法运行。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:“只要给我一个webshell,我就能拿到system",这也的确是有可能的。
Win2003安全配置12009-10-17 00:46相对于2000Server,2003Server对系统的硬件配置要求并没有大的提升,足够的物理内存是保证其稳定快速运行的前提,256M应该是个基本的要求。
在相同的硬件配置下,2003Server的开机速度更快,应用程序的执行速度也有不错的表现。
2003Server平台秉承了2000Server良好的稳定性,同时将2000Server在使用中暴露的大量安全漏洞进行了修正,系统采用了更为严格的安全机制和默认配置,进一步提高了系统的安全性。
在界面方面与传统模式下的XP系统界面极为类似:----------------------------------------------------------------------一、禁用开机CTRL+ALT+DEL“开始-->运行”在弹出的窗口中输入gpedit.msc,点击确定即打开了组策略编辑器。
在组策略编辑器的左框内依次序展开(点前面的“+”号)-->计算机配置-->Windows设置-->安全设置-->本地策略,这时在本地策略下面可见到有“安全选项”,点击“安全选项”在右侧的框内找到“交互式登录:不要按CTRL+ALT+DEL”右键点击“交互式登录:不要按CTRL+ALT+DEL”,在弹出的菜单中点“属性”,在属性选项卡中点击“已启用”前的圆圈以选取它。
确认“已启用”前面的圆圈中在一黑色小点后,点击“确定”,然后关闭窗口。
这样以后启动计算机时就不必按“CTRL+ALT+DEL”组合键登陆了。
二、关闭WindowsServer2003的关机提示点桌面任务栏的“开始-->运行”在弹出的窗口中输入gpedit.msc,点击确定即打开了组策略编辑器。
在组策略编辑器的左框内依次序展开(点前面的“+”号)-->计算机配置-->管理模板,这时在“管理模板”下面可见到有“系统”(如果“管理模板”下面只有“网络”和“打印机”没有“系统”项目,请右键点击“管理模板”在弹出的菜单中点击“添加/删除模板”打开添加/删除模板窗口,再点击“添加”在弹出的对话框中选中“system.adm”后点“打开”,关闭添加/删除模板窗口,这时在“管理模板”下面可见到有“系统”),点击“系统”,在右侧的框内找到项目;右键点击“”,在弹出的菜单中点“属性”,在属性选项卡中点击“已禁用”前的圆圈以选取它。
Windows 2003 Server 服务器安全设置完整版第一步:一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。
如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
windows2003安全配置大全windows2003安全配置大全一直以来,很少在网络上看到关于windows服务器管理的全方面的文章,即使是在windows网络安全设置方面,虽然网络上有着不少的关于这个方面的话题,但是这些文章当中并没有完全彻底的贯彻“最少的服务+最小的权限=最大的安全”这一原则,笔者由于前段时间工作于一家虚拟主机提供商,因工作需要对此进行了深入的探索。
本文所有的环境均是在windows 2000 adv server上测试,因此部分内容可能不适合于windows 2003系统,但是大部分内容是通用的。
这里我们以虚拟主机为例来探讨。
第一部分服务器安全设置安装之前的准备工作很多时候,一部分的安全问题在你将windows安装光盘放入光驱中的时候就已产生,所以,在安装之前我们必须做好一些必要的准备工作。
主要包括安装源和物理介质的安全检查以及服务器的安全规划。
这部分内容主要包括以下几个方面:1.确保你的安装光盘没有任何问题,这里所说的是指光盘内容没有经过第三方加以修改和光盘没有遭到物理损坏。
对于刻录的安装光盘请确认你的源文件安全可靠,尽量使用集成了SP4的安装光盘,以减少后面打补丁的工作量。
2.确保你的硬盘没有任何问题,请尽量使用新硬盘,对于使用过的硬盘应先进行低级格式化。
无论新旧硬盘需要确认硬盘本身没有遭受到病毒感染。
3.规划好系统安装过程与服务器的所需要的程序、服务等并准备好这些安装程序且确保这些安装程序没有任何问题,尽量使用官方提供的安装程序。
规划好硬盘的分区以及各分区的功用。
分区方案建议分四个分区,将系统存放在C盘,应用程序放在D盘,备份文件和一些重要的日志等放在E盘,用户站点等放在F盘中,尽可能少的向系统盘写入非系统文件以减少系统备份的工作量,至于各分区的容量视情况而定。
不要安装任何多余的程序或组件,遵循“最少的服务+最小的权限=最大的安全”原则。
4.完成之后以上工作,对bios进行所需的相关设置,便可以进行安装了,如需要做raid,则需要在安装前完成raid的设置工作。
如何让Windows 2003系统更加安全Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP 系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。
但“金无足赤”任何事物也没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!无论你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让Server 2003更加安全,成为广大用户十分关注的问题。
一、取消IE安全提示对话框面对黑客组织恶意程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。
微软新一代的Server 2003操作系统在安全性能方面就得到了加强。
比如在使用Server 2003自带的IE浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。
不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。
其实我们可以通过下面的方法来让IE取消对网站安全性的检查:1.一旦系统打开安全提示页面时,你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令;3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了;5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。
经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!二、重新支持ASP脚本提起ASP(ActiveServerPage)大家都会联想到Windows,它以其强大的功能,简单易学的特点而受到广大开发人员的喜欢。
WINDOWS2003服务器目录权限设置推荐以下是详细的相应目录权限设置清单: Administrators 完全控制 System 完全控制 D:\盘权限 Administrators 完全控制 System 完全控制 E:\盘权限 Administrators 完全控制 System 完全控制如果你还有其他盘符如F、G..盘,权限和上面一样设置。
C:\Documents and Settings 目录权限Administrators 完全控制System 完全控制C:\Program Files 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\system 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\system32 目录权限Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取C:\windows\temp 目录权限Administrators 完全控制System 完全控制Everyone 完全控制WWWROOT(网站根目录)目录权限Administrators 完全控制System 完全控制Internet来宾账户读取和运行+列出文件夹目录+读取PHP目录权限:Administrators 完全控制System 完全控制Everyone 读取和运行+列出文件夹目录+读取Zend目录权限:Administrators 完全控制System 完全控制Everyone 完全控制Mysql目录权限: 3Administrators 完全控制System 完全控制User 读取和运行+列出文件夹目录+读取1.删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WORKWORK.1regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车Windows 2003 硬盘安全设置c:\administrators 全部system 全部iis_wpg 只有该文件夹列出文件夹/读数据读属性读扩展属性读取权限c:\inetpub\mailrootadministrators 全部system 全部service 全部c:\inetpub\ftprooteveryone 只读和运行c:\windowsadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部IIS_WPG 读取和运行,列出文件夹目录,读取Users 读取和运行(此权限最后调整完成后可以取消)C:\WINDOWS\administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部Users 读取和运行,列出文件夹目录,读取C:\WINDOWS\administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部Users 读取和运行,列出文件夹目录,读取C:\WINDOWS\\temporary Files administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部Users 全部c:\Program FilesEveryone 只有该文件夹不是继承的列出文件夹/读数据administrators 全部iis_wpg 只有该文件夹列出文件/读数据读属性读扩展属性读取权限c:\windows\tempAdministrator 全部权限System全部权限users 全部权限c:\Program Files\Common Filesadministrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部TERMINAL SERVER Users(如果有这个用户)修改,读取和运行,列出文件夹目录,读取,写入Users 读取和运行,列出文件夹目录,读取c:\Program Files\Dimac(如果有这个目录) Everyone 读取和运行,列出文件夹目录,读取administrators 全部c:\Program Files\ComPlus Applications (如果有) administrators 全部c:\Program Files\GflSDK (如果有) administrators 全部Creator owner不是继承的只有子文件夹及文件完全Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部TERMINAL SERVER Users修改,读取和运行,列出文件夹目录,读取,写入Users 读取和运行,列出文件夹目录,读取Everyone 读取和运行,列出文件夹目录,读取c:\Program Files\InstallShield Installation Information (如果有)c:\Program Files\Internet Explorer (如果有)c:\Program Files\NetMeeting (如果有)administrators 全部c:\Program Files\WindowsUpdateCreator owner不是继承的只有子文件夹及文件完全administrators 全部Power Users修改,读取和运行,列出文件夹目录,读取,写入system 全部c:\Program Files\Microsoft SQL(如果SQL安装在这个目录) administrators 全部Service 全部system 全部d:\ (如果用户网站内容放置在这个分区中)administrators 全部权限d:\FreeHost (如果此目录用来放置用户网站内容)administrators 全部权限SERVICE 读取与运行从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E: E:\(如果webeasymail安装在这个盘中)administrators 全部权限system 全部权限IUSR_*,默认的Internet来宾帐户(或专用的运行用户)读取与运行E:\WebEasyMail (如果webeasymail安装在这个目录中)administrators 全部system 全部权限SERVICE全部IUSR_*,默认的Internet来宾帐户 (或专用的运行用户)全部权限C:\php\uploadtempC:\php\sessiondataeveryone全部C:\php\administrators 全部system 全部权限SERVICE全部Users 只读和运行c:\windows\php.iniadministrators 全部system 全部权限SERVICE全部Users 只读和运行防止海洋木马列出WIN服务器的用户和进程禁用服务里面倒数第二个 workstation 服务,可以防止列出用户和服务设网站文件目录与数据库权限拒绝黑客入侵 2009年09月02日08:54 天极网极富创意灵感的Flash网站设计欣赏建资讯网站应该选择什么样的CMS产品“格式塔”原理在网页设计中的应用点击查看更多设计软件资讯>>在网站运营的过程中,最令站长头痛的可能就是网站被入侵了,实际上,如果提前设置好网站的目录权限,就可以保证网站能够经受大部分的漏洞攻击。
服务器系统环境配置操作手册V1.14编制说明及要求:编制本手册,是为了将运维的工作标准化、制度化,彻底避免操作层面上的错误以及人为的失误对业务正常运行的影响。
将本操作流程作为操作的标准严格执行,要细化到对操作系统有简单了解但不是专业技术人员可以按照执行的程度。
本手册根据Windows2003、IIS、SQL Server2000环境编写,有新的系统及应用环境时应及时补充和修改本手册。
如需对本手册修改,须经部门经理批准。
操作系统安装流程:1.备份数据到移动硬盘或其他服务器上2.断网3.服务器接软驱,将RAID驱动盘放入软驱SCSIRAID卡驱动光盘路径:Intel SRCZCRX:2000X:\Drivers\Windows\Win20002003X:\Drivers\Windows\Win2003Adaptec 2010S:2000X:\PACKAGES\WIN_2000\DRIVERIntel 7520:2000X:\Drivers\SATARAID\WindowsIntel 7501:2000 X:\...\ADPT_win_HostRAID_1.02.63_Alertutility.exe使用光盘新建raid驱动软盘的方法:将以上路径下文件直接copy至软盘。
注:各服务器RAID卡类型见机历本。
这一步可以不做.4.设置光盘启动,将win2003安装光盘放入光驱启动5.按F6进入RAID驱动安装界面,然后按S,然后回车这一步可以不做.6.格式化C盘为NTFS格式,开始安装系统C盘大小划分为10GB。
7.选择需要安装的组件和服务,安装时只选择需要的最小的安装不要安装Indexing Service(索引服务)安装IIS时只安装:Internet服务管理器、Word Wide Web服务器、公用文件注意要安装.NET组件。
并且不要安装2.0版本.设置administrator初始密码为:topsun按照命名规范设置机器名,记录于机历本,机器名与机器ID对应。
2003系统安全设置第一篇:2003系统安全设置Windows Server 2003(企业版32位)系统安全设置系统中最多装一个杀毒软件和RAR解压缩工具和很小的一个流量监控软件。
其他的无关软件也一律不要安装,甚至不用装office。
多一个就会多一份漏洞和不安全隐患。
开启系统自带防火墙是正确有效的防护,请相信微软的智商。
通过以下基本安全设置后,加上服务器管理员规范的操作,服务器一般不会出现什么意外了,毕竟我们的服务器不是用来架设多个WEB网站的,造成漏洞的可能性大大降低。
当然,没有绝对的事,做好服务器系统和OA数据备份是必须的。
如果对以下操作不太熟悉,建议先在本地机器练练,不要拿用户服务器测试,以免造成其他问题。
另赠送32位和64位的系统解释:windows server 200332位和64位操作系统的区别问:1、windows server 2003 32位和64位操作系统的区别2、32位windows server 2003是否可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上答:1、32位和64位的差别在于如果你的CPU是64位的,64位的OS能够完全发挥CPU的性能,而不需要使CPU运行在32位兼容模式下。
2、32位windows server 2003可以用在两路四核E5410 2.33GHz处理器和4x2GB内存上,通过PAE模式也可以支持4G以上内存。
另外补充一下,Windows Server 2003的硬件支持特性并不是由32位或64位来决定的,而是由OS本身的版本来决定的。
以Windows Server 2003为例,标准版可以支持的最大CPU数为4路,最大内存数为4G,而企业版则可以支持最大CPU数8路,最大内存数32G。
回正题:(一)禁用不需要的服务Alerter通知选定的用户和计算机管理警报。
Computer Browser维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。
Windows-Server-2003安全(ānquán)设置Windows-Server-2003安全(ānquán)设置2003总体感觉上安全做的还不错,交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置,使Windows Server 2003安全性大大加强。
一、安装过程中的安全问题1.NTFS系统。
老生长谈的话题了。
NTFS系统为一种高级的文件系统,提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能,通过它可以实现任意文件及文件夹的加密和权限设置(这是最直观的安全设置了),磁盘配额和压缩等高级功能。
通过它,你还可以更好的利用磁盘空间,提高系统运行速度……自WindowsNT系统以来,使用NTFS系统已经逐渐成了一种共识。
为了体验NTFS系统带来的这些免费的优惠,笔者特意把硬盘所有分区都转成了NTFS 系统。
如果你在安装时不选用NTFS系统,那么后面的很多安全配置如用户权限设置等你将都不能实现。
2.安装过程中有关安全的提示。
在安装过程中需要输入Administrator密码,新的Windows Server 2003提供了一个比较成熟的密码规则,当你输入的密码不符合规则时,就会以图片形式出现如下提示(由于安装未完成,不能抓图,请谅解。
内容已经抄下来了):您已经指定的管理员帐户的密码不符合密码的条件,建议使用的密码应符合下列条件之中的前二个及至少三个:- 至少6个字符- 不包含"Administrator"或"Admin"- 包含大写字母(A、B、C等等)- 包含小写字母(a、b、c等等)- 包含数字(0、1、2等等)- 包含非字母数字字符(#、&、~等等)您确定要继续使用当前密码吗?之所以说是“比较成熟”的密码规则,因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装,这就为以后的系统安全埋下了隐患。
windows2003安全配置打开注册表方法:regedit一:正确划分文件系统格式,选择稳定的操作系统安装盘为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式.二:禁用不必要的服务,提高安全性和系统效率Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。
要用打印机的朋友不能禁用这项 IPSEC Policy Agent管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件Alerter 通知选定的用户和计算机管理警报Error Reporting Service收集、存储和向 Microsoft 报告异常应用程序Messenger传输客户端和服务器之间的 NET SEND 和警报器服务消息Telnet允许远程用户登录到此计算机并运行程序三. 不支持IGMP协议IGMP是一种协议,对于Windows系统的用户是没有什么用途的,但现在也被用来作为蓝屏攻击的一种方法,建议关掉此功能,不会对用户造成影响。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为IGMPLevel 值为0四、禁止IPC空连接:黑客可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了,打开注册表,找到:Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把这个值改成”1”即可。
