当前位置:文档之家 › WindowsServer2003网络服务器安全攻略

WindowsServer2003网络服务器安全攻略

  • 格式:docx
  • 大小:23.13 KB
  • 文档页数:10

下载文档原格式

  / 10

合集下载

Windows Server 2003 R2深度安全体验动手实验营

Windows Server 2003 R2深度安全体验动手实验营

Windows Server 2003 R2深度安全体验动手实验营实验手册1. 实验目的通过动手操作,深入了解如何保护Windows Server 2003 R2服务器安全的基本法则和最佳建议,了解强化各种类型服务器安全方面的方法。

•说明:•本课程以动手实验为主,讲稿仅用于给学员提供实验内容的基本概念和纲要。

•本课程共计6小时。

其中讲解2小时,学员操作4小时。

•关于本课程的任何问题、意见、建议,请与课程设计者联系:gxou@开始之前虚拟PC本课时需使用Microsoft® Virtual PC 2004,该应用程序使您可以在一个物理硬件上运行多台虚拟机。

在实验期间,您将在不同的窗口之间切换,这些窗口分别包含一台运行Microsoft Windows® Server™ 2003 或Windows® XP 的虚拟机。

在开始实验之前,请先熟悉一下Virtual PC 的基本操作:∙要将鼠标和键盘的焦点切换到虚拟机,请在虚拟机窗口内单击。

∙要将焦点从虚拟机中移走,请将鼠标指针移到虚拟机窗口的外部。

∙要在虚拟机中发出CTRL+ALT+DELETE 键盘组合,请改用<右>ALT+DELETE 组合键。

虚拟PC 将<右>ALT 键称为“热键”。

∙要扩大虚拟机窗口的大小,请拖动窗口的右下角。

∙要切换到全屏模式和从全屏模式返回,请按<右>ALT+ENTER 组合键。

本课时使用以下两台虚拟机。

∙一台虚拟计算机上运行Denver.nwtraders.msft。

这台计算机是域控制器。

∙一台虚拟计算机上运行London.contoso.msft。

这台基于Windows 2003 Server 的计算机被配置为域成员。

开始演示开始任何演示之前,都必须启动并登录到Denver 和London 的虚拟机上。

如果这时出现一条错误消息,警告您磁盘的父盘似乎已被修改,请单击“确定”继续。

Windows Server 2003网络操作系统第3讲

Windows Server 2003网络操作系统第3讲




如果所安装的是最新的硬件设备,而windows server 2003也检测不到这个尚未被支持的硬 件设备,或者硬件设备不支持即插即用,则可 以通过“添加硬件”向导添加此硬件。 “添加硬件”的步骤为: (1)在“开始”菜单中选择“控制面板”中 的“添加硬件”命令。 (2)选择需要添加的硬件即可。
(8)用户可以对指定的IP地址和子网掩码进 行“编辑”。 (9)在图3-3中,选定“DNS”选项卡,可以添 加更多的DNS服务器,并可以调节它们的优先 次序,如图3-5。 (10),设置完成后,单击“确定”按钮退出 安装,系统马上进行系统更新。
图3-5 添加DNS服务器
3.1.2 检查TCP/IP是否安装与 设置正常
图3-10 系统日志文件
图3-11 “事件属性”对话框
说明: 如果计算机内的网卡没有连上局域网的 话,例如,网络线没有接到集线器/交换器,或 者集线器/交换器的电源没有打开,则该计算机 的屏幕最右下角会有X符号。如图3-12所示。
3.利用ping命令测试


以下利用ping命令检测用户的计算机是否能够正确的 与网络上其他计算机沟通。 (1)执行“循环测试”。它可以验证网卡的硬件与 TCP/IP驱动程序是否可以正常接收和发送TCP/IP的信 息包。输入ping127.0.0.1命令,如果正常的话,会出 现类似如图3-13所示的窗口。 (2)ping 该主机自己的IP地址:以检查IP地址是否 与其他的主机重复。如果地址合法,会出现类似如图 3-14所示的窗口。如果其他的计算机已经使用了该IP 地址,与ping这两个工 具程序检查TCP/IP通信协议是否安装与 设置正确。通过“开始”→“程 序”→“附件”→“命令提示符”的途 径进入命令提示符的环境。

Windows Server 2003服务器配置

Windows Server 2003服务器配置

Windows Server 2003服务器配置一、DNS服务器的安装与配置实训目的1.掌握DNS服务器的相关配置。

2.完成DNS客户端的域名解析设置。

3.完成DNS服务的验证。

实训设备与环境一台Windows 2003 Server 域控制器,一台Windows xp Professional客户机。

两台机器按如图1所示,完成相关的设置。

图1 DNS服务配置实例图有图有真相实训内容1.DNS服务器的安装2.DNS客户端设置3.DNS服务器的配置与管理实训步骤1.如果在安装域控制器时,已经选择安装DNS服务器,则不需要再进行二次安装,如果原来没有DNS服务器;也可以单独安装DNS。

主要包括以下步骤:(1)选择一台已经安装好Windows 2003的服务器(名称为),确认其已安装了TCP/IP协议,先设置服务器自己TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】,鼠标右键单击【本地连接】,选择【属性】/【Internet协议(TCP/IP)】/【属性】,设置IP地址为192.168.100.1,子网掩码为255.255.255.0,DNS服务器地址为192.168.100.1。

(3)运行【控制面板】中的【添加/删除程序】选项,选择【添加/删除Windows组件】。

(4)选择【网络服务】复选框,并单击【详细信息】按钮。

(5)在【网络服务】对话框中,选择【域名系统(DNS)】,单击【确定】按钮,系统开始自动安装相应服务程序。

除组件添加方式也可以采用网络服务管理器.......实现添加DNS。

2.完成DNS客户端设置。

(1)选择一台装有Windows xp Professional的客户机(名称为work),确认其已安装了TCP/IP协议,设置TCP/IP协议的属性。

(2)运行【开始】/【设置】/【网络和拨号连接】,鼠标右键单击【本地连接】,选择【属性】/【Internet协议(TCP/IP)】/【属性】,设置IP地址为192.168.100.2,子网掩码为255.255.255.0,DNS服务器地址为192.168.100.1。

Windows 2003 Server网络操作系统

Windows 2003 Server网络操作系统

推荐CPU 主频 最小RAM 推荐最小RAM 最大RAM

133 MHz 基于x86 的计算机:133 基于x86 的计算机:400 133MHz MHz; MHz; 基于Itanium 的计算机: 基于Itanium 的计算机: 733 MHz 733 MHz 550 MHz 733 MHz 733 MHz 550MHz 128 MB 128 MB 256 MB 256 MB 4 GB 基于x86 的计算机:32 GB;基于Itanium 的计 算机:64GB 多达8 基于x86 的计算机:1.5 GB;基于Itanium 的计 算机:2 GB 512 MB 1 GB 128 MB 256 MB
5.1.2 常用的网络操作系统
• 目前局域网中主要存在以下几类网络操作系统: • 1. Windows 类 • 微软公司的Windows 系统不仅在个人操作系统中占有绝对优势, 它在网络操作系统中也是具有非常强劲的力量。缺点:对服务器 的硬件要求较高,且稳定性能不是很高,一般只是用在中低档服 务器中。 • 2.NetWare 类 • NetWare 操作系统对网络硬件的要求较低,且它兼容DOS 命令, 其应用环境与DOS 相似,具有相当丰富的应用软件支持,技术完 善、可靠。NetWare 服务器对无盘站和游戏的支持较好,常用于 教学网和游戏厅。
第五章
Windows 2003 Server网络操作系统
本章提要
• 网络操作系统概述
• Windows Server 2003 操作系统安装
网络操作系统概述
• 网络操作系统(NOS,Network Operating System)定义: • 网络操作系统一般被定义为:“是使网络上的各计算机能方便 而有效地共享网络资源以及为网络用户提供所需的各种服务的 软件和有关规程的集合”。 • 网络操作系统可分成两类:面向任务型的网络操作系统和通用 型的网络操作系统。 • 前者是针对某一种特殊的网络应用要求而设计;后者提供基本 的网络服务功能,以满足各个领域应用的需求,例如, NetWare、Windows NT/2000 Server 等。

Win Server2003常见问题及解决然方案

Win Server2003常见问题及解决然方案

Win Server2003常见问题及解决然方案2005-12-10 14:59:25 作者:来源:不详浏览次数:119 评论随着windows server 2003的上市在即,很多人可以用上的泄漏的版本,相对于工作站系统,服务器在由于做了更多的内核优化,所以在稳定性和安全性方面有很大的提高。

但是,很多人并不是需要Server的全部功能的,而且Server系统关闭了某些工作站系统所需要的服务,下面,我们将对如何优化windows server 2003并转换成一个工作站系统做出一些介绍。

1.禁用配置服务器向导由于不需要服务器设置功能,首先我们先禁止“配置你的服务器”(Manage Your Server)向导的出现,你可以在控制面板(Control Panel) -> 管理员工具(Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“登录时不要显示该页”(Don''t display this page at logon)。

2.建立一个新的用户账号windows server 2003不支持类似于Windows XP的登录欢迎屏幕。

你可以在首次进入系统后建立一个有你个性的新用户账号。

打开“开始”(Start) -> “运行”(Run) -> 键入“lusrmgr.msc ”,你将看到本地用户和组(Local Users and Groups ),右键点击左边窗口的“用户”(Users),选择“新用户”(New User).在弹出的对话框中输入账号信息,然后点击“建立”(Great)。

这样你的账号就可用了,当然,你可以选择把你的账号添加到管理员组,右键点击你新建的用户。

然后选择“属性”(Properties) -> 点击“隶属于” on Member of tab -> “添加”Add.. -> “高级”Advanced -> “现在查找”Find Now 。

计算机网络原理 安装Windows Server 2003

计算机网络原理 安装Windows Server 2003

计算机网络原理安装Windows Server 2003
2003年正式推向中国市场的Windows Server 2003是微软针对服务器操作系统的最新产品,其前期产品包括了Windows Server NT和Windows Server 2000。

Windows Server 2003家族系列,包括了用户所希望的、用以支撑关键任务Windows Server 操作系统提供的功能和特性,如高安全性、高可靠性、高可用性和高可扩展性。

其版本包括:
●Datacenter版(含32位和64位)这是专为要求强伸缩性和高可用性的企业而建
立的,它为建立用于数据库的关键任务解决方案、企业资源计划(ERP)软件、高容
量的实时事务处理和服务器合并提供了坚实的基础。

●企业版(含32位和64位)该版本适合中型与大型组织的关键使用。

●标准版它面向中小型企业及部门级应用,重点加强了文件服务、打印服务与协同
作业服务等基本功能。

●Web版专为快速开发、部署Web服务与应用程序的用户,提供Web托管与服务
系统平台。

Windows Server 2003是一个多任务操作系统,它在Windows 2000基础上进行了改进。

它能够按照用户的需要,以集中或分布的方式处理各种服务器角色。

其中的一些服务器角色包括:文件服务器、打印服务器、Web服务器和Web应用程序服务器、邮件服务器、终端服务器、远程访问/虚拟专用网络(VPN)服务器、目录服务器、域名系统(DNS)、动态主机配置协议(DHCP)服务器、Windows Internet命名服务(WINS)和流媒体服务器。

第2章 Windows 2003 Server


• 安装新系统前,要准备启动光盘或.iso文件。在上图中双 击“CD-ROM”,选择使用“Use ISO image”,将相应位 臵上的安装文件选中,点击“OK”即可。点击工具栏上的 “Power On”,出现启动画面,有BIOS的图标,内存自 检等,至此可以安装操作系统。
Page 14/88
十二2.1.4 五
Page 22/88
十二 五
2.2.1 活动目录与域
1. 活动目录(Active Directory,AD) AD是一种目录服务,主要用于增加可扩展和调整的 目录,它存储有关网络对象(如用户、组、计算机、共享 资源、打印机和联系人等)的信息,并将结构化数据存储 作为目录信息逻辑和分层组织的基础,使管理员和用户可 以方便地查找并使用这些网络信息。 AD的逻辑上是由对象、组织单位、域、域树和域林 构成的层次结构。首先是一个单一的域,为了方便管理, 将域划分成多个组织单位,AD为每个域建立一个目录数 据库的副本,这个副本只存储用于这个域的对象。 当组织单位或其中的对象过大时,可能划分多个域, 这些相互关系的域组成一棵域树。如果将域树结合,可构 成域林。
Page 16/88
十二2.1.4 五
Windows Server 2003的安装和操作基础
(5)进入图形界面安装 (6)输入产品密钥 (7)选择授权模式 • “每客户”模式:每台访问 Windows Server 2003服务 器的计算机都要有自己的客户端访问许可证(CAL),授 权方式是针对计算机而不是针对登录的用户。在服务器上 选择“每客户”授权模式,允许任意数量的授权计算机连 接该服务器。同时,一个拥有访问许可的客户端计算机可 以访问网络中所有的Windows Server 2003服务器。 • “每服务器”模式:对每一个与服务器的并发连接都需要 一个单独的 CAL。即服务器支持固定数量的连接。授权 方式同样是针对计算机而不是针对登录用户。例如,如果 选择了每服务器授权模式和五个并发连接,此服务器可以 同时连接五台客户计算机,而这些计算机不需要任何其他 许可证。

搭建网络操作系统winServer2003


Page 17
17
2.文本安装部分
(1)将Windows Server 2003安装光盘插入光驱,并从光盘引 导,光盘将自动引导系统启动,出现硬件检测屏幕。
Page 18
18
(2)装程序继续加载模块,搜索系统中的大容量设备,如SCSI和IDE控制器。 (3)检测完后,出现安装与恢复屏幕,按Enter键,开始安装Windows Server 2003。
3.1.3.服务器分类
按外观划分 :塔式服务器 机架式服务器 刀片服务器 按应用服务类型划分:文件服务器 数据 库数据服务器 邮件服务器 WEB服务器 多媒体服务 终端服务 主域控制器 按性能划分:入门级服务器 工作组级服 务器 部门级服务器 企业级服务器 按体系架构划分 务器
:X86服务器 非X86服
Page 9
9
按性能分类
入门级服务器:支持一个CPU,大 多采用SATA硬盘、支持RAID 1、冗 余性能差(电源、风扇等)。右边例 图为HP ML110内部图
工作组级服务器:支持双路CPU , 采用(SCSI)SAS硬盘、支持RAID 5,支持热插拔,冗余性能差(电源、 风扇等)。右边例图为HP ML150内 部图
Page 13
13
3.2.1.Windows Server 2003的新特性
(1)对称多处理与内存支持 (2)新的活动目录 (3)应用程序服务 (4)群集服务 (5)文件和打印服务 (6)Internet信息服务6.0(IIS 6.0) (7)管理服务 (8)安全性 (9)存储管理 (10)终端服务器 (11)Windows Media服务 (12)卷影副本 (13)网络和通信服务
Page 10
10

Windows 2003 server的完整配置


2 04 .61DN 1. 1 ., S为 2 29 .9 .7 0 0 . 126 ,然 后 单 击 8 “ 级” 高 ,在 I P地 址 栏 添 加 2 0 01.8和 1. .61 4 2 04 . . .内 网 :在 本 地 连 接 2属 性 的 1. 1 1 069 T PI C/ P协议 中输入 I P为 121811 子网掩码 9 .6 .., 为 2 5 5 . 50 。 5 . 52 . 2 5 b单 击“ . 开始 ” >“ 一 控制面板 ” 双击“ , 添加 / 除程序” 在 出现 的“ 删 , 添加 / 删除程 序” 对话 框中 , 选择“ 添加 , 删除程序组件 ”接着 弹出的 , 在 wn o s组件 向导 对 话框 中选 择 “ idw 网络服 务” 单击“ , 详细信息 ” 选择“ 动态 主机配置协议 D P和“ HC ” 域名 系统 D ” 再选 择 “ NS , 应用 程序 服务器”单 击“ , 详细信息” 选择“ne t Itme 信息服 务(I )和“ PN T 。 IS ” AS .E ” 然后单击“ 确定 ” 出选 退 择, 单击“ 下一步” 安装组 件。 c安装完成后 , . 在服务器上单击 “ 开始” > 一 “ 管理工具” >“ H P ,进入 D P控 制台 , 一 DC” HC 在服务器 fq上右键单击 , w 弹出下拉菜单点击 “ 所有任务” 下的“ 启动” 激活 DH P服务 。 , C d在 D C . H P控 制 台右 键 单 击 D P服 务 器 HC fq 选择“ w, 新建作用域 ”进入新 建作 用域向导 , , 在该 向导的作用域名对话框 中,输入作用域名 称“ 9 . 8 . 子 网” 然后单击“ 1 2 6 .0 1 1 , 下一步 ” 。 e 出现 的 I . 在 P地址范围对话框 中, 别在 分 “ 起始 I P地址 ”和 “ 束 I 结 P地址 ”中 输 入 121 811和 121 81 0 .然 后 单 击 “ 一 9 .6 .. 9 . .. 0 6 2 下 步 ” 。 £ 出现 的 添 加 排 除 对 话 框 中 , 入 要 排 在 输 除 的 I 地 址 范 围 12181 0 到 P 9 .6 .. 1 12 6 .3 , 9 . 8 . 然后点击添加 , 击“ 一步 ” 1 1O 单 下 。 g .在出现 的租约期 限对话 框中设置 I P地

实验 4 windows server 2003常用网络命令

实验四windows常用网络命令【实验目的】1.掌握BIOS等网络协议原理。

2.理解各种常用网络命令的功能,了解如何利用网络命令检查和排除网络故障。

3.熟练掌握windows server 2003下常用网络管理网络命令的用法。

【实验环境】虚拟机软件VM Ware6.0,Windows 2003 Server。

【实验原理】利用Arp工具检验MAC地址解析利用Hostname工具查看主机名利用ipconfig命令工具测验网络配置利用Nbstat命令查看NetBIOS使用情况利用netstat命令查看主机端口连接情况利用ping命令检测网络连通性利用Tracert进行路由检测【实验步骤】虚拟机设置静态IP地址设置为192.168.122.真机IP+100/8,网关设置为192.168.122.1,DNS地址制定为10.0.28.8,网卡模式设置为桥接一、通过ping检测网络故1.Ping 127.0.0.1,如果没有收到正确回应,就表示tcp/ip的安装或运行存在某些最基本问题(驱动未安装、网卡芯片损坏等)2. Ping 本地ip,如ping 192.168.122.真机IP+100,本地计算机始终都应该对该ping命令做出应答。

如果没有收到应答,则表示本地配置和安装存在问题。

出现此问题时,请断开网线,然后重新发送该命令。

如果正常,说明网络中有其他PC配置了跟本机相同的IP地址。

3.Ping 局域网内其他IP,如ping 192.168.122.74,该命令经过网卡及网线到达其他计算机,再返回,收到回送应答表明本地网络中的网卡和载体运行正确。

但如果没有收到回送应答,则表明子网掩码不正确,或者网络号配置错误,或网线有问题。

4.Ping 网关ip,该命令如果应答正确,表示局域网中网关正常运行。

5. Ping远程域名地址,如ping ,如果正常,说明DNS工作正常并且与该站点对应主机通信正常。

二、通过arp命令查看ARP高速缓存中信息1.使用arp –a命令输出arp缓存内容(本地主机只能缓存近期与本机通信过的主机MAC对应情况,因此如果输出列表为空时请先与其他目的地址建立通道,例如ping 局域网中其他IP)。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

WindowsServer2003网络服务器安全攻略 Win2003 Server的安全性较之Win2K确实有了很大的提高,但是用Win2003 Server作为服务器是否就真的安全了?如何才能打造一个安全的个人Web服务器?下面我们简单介绍一下……

一、Windows Server2003的安装 1、安装系统最少两需要个分区,分区格式都采用NTFS格式 2、在断开网络的情况安装好2003系统 3、安装IIS,仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,双击Internet信息服务(iis),勾选以下选项:

Internet 信息服务管理器; 公用文件; 后台智能传输服务 (BITS) 服务器扩展; 万维网服务。

如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions 4、安装MSSQL及其它所需要的软件然后进行Update. 5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置,并标识缺少的修补程序和更新。下载地址:见页末的链接 二、设置和管理账户 1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码

3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。

4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。

7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。 三、网络服务安全管理 1、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0

2、 解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3、关闭不需要的服务,以下为建议选项 Computer Browser:维护网络计算机更新,禁用 Distributed File System: 局域网管理共享文件,不需要禁用 Distributed linktracking client:用于局域网更新连接信息,不需要禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助

四、打开相应的审核策略 在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。

推荐的要审核的项目是: 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败

五、其它安全相关设置 1、隐藏重要文件/目录 可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。 3、防止SYN洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值,名为SynAttackProtect,值为2 4. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值,名为PerformRouterDiscovery 值为0 5. 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0 6. 不支持IGMP协议 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值,名为IGMPLevel 值为0 7、禁用DCOM: 运行中输入 Dcomcnfg.exe. 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。 清除“在这台计算机上启用分布式 COM”复选框。 注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。

六、配置 IIS 服务: 1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。 2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。 3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC.

4、删除不必要的IIS扩展名映射。 右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为。shtml, .shtm, .stm

5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性 6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。

7、使用UrlScan UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接

如果没有特殊的要求采用UrlScan默认配置就可以了。 但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan

文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。

如果你的网页是。asp网页你需要在DenyExtensions删除。asp相关的内容。 如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1

在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset

如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan. 8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描。

七、配置Sql服务器 1、System Administrators 角色最好不要超过两个 2、如果是在本机最好将身份验证配置为Win登陆 3、不要使用Sa账户,为其配置一个超级复杂的密码 4、删除以下的扩展存储过程格式为: use master sp_dropextendedproc ''扩展存储过程名'' xp_cmdshell:是进入操作系统的最佳捷径,删除 访问注册表的存储过程,删除 Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE自动存储过程,不需要删除 Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop

5、隐藏 SQL Server、更改默认的1433端口 右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。

八、如果只做服务器,不进行其它操作,使用IPSec 1、管理工具―本地安全策略―右击IP安全策略―管理IP筛选器表和筛选器操作―在管理IP筛选器表选项下点击