關(guān)于2003服務(wù)器的安全設(shè)置

windows server2003是目前最為成熟的網(wǎng)絡(luò)服務(wù)器平臺(tái)，安全性相對(duì)于windows 2000有大大的提高,但是2003默認(rèn)的安全配置不一定適合我們的需要，所以，我們要根據(jù)實(shí)際情況來(lái)對(duì)win2003進(jìn)行全面安全配置。說(shuō)實(shí)話，安全配置是一項(xiàng)比較有難度的網(wǎng)絡(luò)技術(shù)，權(quán)限配置的太嚴(yán)格，好多程序又運(yùn)行不起，權(quán)限配置的太松，又很容易被黑客入侵，做為網(wǎng)絡(luò)管理員，真的很頭痛，因此，我結(jié)合這幾年的網(wǎng)絡(luò)安全管理經(jīng)驗(yàn)，總結(jié)出以下一些方法來(lái)提高我們服務(wù)器的安全性。

郾城網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、自適應(yīng)網(wǎng)站建設(shè)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)從2013年開(kāi)始到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

第一招：正確劃分文件系統(tǒng)格式，選擇穩(wěn)定的操作系統(tǒng)安裝盤(pán)

為了提高安全性，服務(wù)器的文件系統(tǒng)格式一定要?jiǎng)澐殖蒒TFS（新技術(shù)文件系統(tǒng)）格式，它比FAT16、FAT32的安全性、空間利用率都大大的提高，我們可以通過(guò)它來(lái)配置文件的安全性，磁盤(pán)配額、EPS文件加密等。如果你已經(jīng)分成FAT32的格式了，可以用CONVERT 盤(pán)符 /FS：NTFS /V 來(lái)把FAT32轉(zhuǎn)換成NTFS格式。正確安裝windows 2003 server,在網(wǎng)安聯(lián)盟;有windows 2003的企業(yè)可升級(jí)版，這個(gè)一個(gè)完全破解了的版本，可以直接網(wǎng)上升級(jí),我們安裝時(shí)盡量只安裝我們必須要用的組件，安裝完后打上最新的補(bǔ)丁，到網(wǎng)上升級(jí)到最新版本！保證操作系統(tǒng)本身無(wú)漏洞。

第二招：正確設(shè)置磁盤(pán)的安全性,具體如下(虛擬機(jī)的安全設(shè)置，我們以asp程序?yàn)槔?重點(diǎn)：

1、系統(tǒng)盤(pán)權(quán)限設(shè)置

C:分區(qū)部分：

c:\

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER 全部(只有子文件來(lái)及文件)

system 全部(該文件夾，子文件夾及文件)

IIS_WPG 創(chuàng)建文件/寫(xiě)入數(shù)據(jù)(只有該文件夾)

IIS_WPG(該文件夾，子文件夾及文件)

遍歷文件夾/運(yùn)行文件

列出文件夾/讀取數(shù)據(jù)

讀取屬性

創(chuàng)建文件夾/附加數(shù)據(jù)

讀取權(quán)限

c:\Documents and Settings

administrators 全部(該文件夾，子文件夾及文件)

Power Users (該文件夾，子文件夾及文件)

讀取和運(yùn)行

列出文件夾目錄

讀取

SYSTEM全部(該文件夾，子文件夾及文件)

C:\Program Files

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER全部(只有子文件來(lái)及文件)

IIS_WPG (該文件夾，子文件夾及文件)

讀取和運(yùn)行

列出文件夾目錄

讀取

Power Users(該文件夾，子文件夾及文件)

修改權(quán)限

SYSTEM全部(該文件夾，子文件夾及文件)

TERMINAL SERVER USER (該文件夾，子文件夾及文件)

修改權(quán)限

2、網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤(pán))

說(shuō)明：我們假設(shè)網(wǎng)站全部在E盤(pán)wwwsite目錄下，并且為每一個(gè)虛擬機(jī)創(chuàng)建了一個(gè)guest用戶，用戶名為vhost1...vhostn并且創(chuàng)建了一個(gè)webuser組，把所有的vhost用戶全部加入這個(gè)webuser組里面方便管理

E:\

Administrators全部(該文件夾，子文件夾及文件)

E:\wwwsite

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

service全部(該文件夾，子文件夾及文件)

E:\wwwsite\vhost1

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

vhost1全部(該文件夾，子文件夾及文件)

3、數(shù)據(jù)備份盤(pán)

數(shù)據(jù)備份盤(pán)最好只指定一個(gè)特定的用戶對(duì)它有完全操作的權(quán)限

比如F盤(pán)為數(shù)據(jù)備份盤(pán)，我們只指定一個(gè)管理員對(duì)它有完全操作的權(quán)限

4、其它地方的權(quán)限設(shè)置

請(qǐng)找到c盤(pán)的這些文件，把安全性設(shè)置只有特定的管理員有完全操作權(quán)限

下列這些文件只允許administrators訪問(wèn)

net.exe

net1.exet

cmd.exe

t

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號(hào)，更改描述

第三招：禁用不必要的服務(wù)，提高安全性和系統(tǒng)效率

Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表

Task scheduler 允許程序在指定時(shí)間運(yùn)行

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)

Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作

Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)

IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序

Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知

Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件

Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)

Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序

Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息

Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序

第四招:修改注冊(cè)表，讓系統(tǒng)更強(qiáng)壯

1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

2、啟動(dòng)系統(tǒng)自帶的Internet連接_blank"防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止響應(yīng)ICMP路由通告報(bào)文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報(bào)文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7.修改終端服務(wù)端口

運(yùn)行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進(jìn)制狀態(tài)下改成你想要的端口號(hào)吧，比如7126之類的，只要不與其它沖突即可。

2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號(hào)和上面改的一樣就行了。

8、禁止IPC空連接：

cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。打開(kāi)注冊(cè)表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。

9、更改TTL值

cracker可以根據(jù)ping回的TTL值來(lái)大致判斷你的操作系統(tǒng)，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實(shí)際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258，起碼讓那些小菜鳥(niǎo)暈上半天，就此放棄入侵你也不一定哦

10. 刪除默認(rèn)共享

有人問(wèn)過(guò)我一開(kāi)機(jī)就共享所有盤(pán)，改回來(lái)以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認(rèn)共享，必須通過(guò)修改注冊(cè)表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可

11. 禁止建立空連接

默認(rèn)情況下，任何用戶通過(guò)通過(guò)空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它安全手段

1.禁用TCP/IP上的NetBIOS

網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議（TCP/IP）屬性-高級(jí)-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無(wú)法用nbtstat命令來(lái)讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。

2. 賬戶安全

首先禁止一切賬戶，除了你自己，呵呵。然后把Administrator改名。我呢就順手又建了個(gè)Administrator賬戶，不過(guò)是什么權(quán)限都沒(méi)有的那種，然后打開(kāi)記事本，一陣亂敲，復(fù)制，粘貼到“密碼”里去，呵呵，來(lái)破密碼吧~！破完了才發(fā)現(xiàn)是個(gè)低級(jí)賬戶，看你崩潰不？

創(chuàng)建2個(gè)管理員用帳號(hào)

雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。 創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來(lái)收信以及處理一些*常事物，另一個(gè)擁有Administrators 權(quán)限的帳戶只在需要的時(shí)候使用?？梢宰尮芾韱T使用 “ RunAS” 命令來(lái)執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內(nèi)容改為META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;"這樣，出錯(cuò)了自動(dòng)轉(zhuǎn)到首頁(yè)

4. 安全日志

我遇到過(guò)這樣的情況，一臺(tái)主機(jī)被別人入侵了，系統(tǒng)管理員請(qǐng)我去追查兇手，我登錄進(jìn)去一看：安全日志是空的，倒，請(qǐng)記?。篧in2000的默認(rèn)安裝是不開(kāi)任何安全審核的！那么請(qǐng)你到本地安全策略-審核策略中打開(kāi)相應(yīng)的審核，推薦的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對(duì)象訪問(wèn) 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪問(wèn) 失敗

賬戶登錄事件 成功 失敗

審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍；審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看，這樣就失去了審核的意義

5. 運(yùn)行防毒軟件

我見(jiàn)過(guò)的Win2000/Nt服務(wù)器從來(lái)沒(méi)有見(jiàn)到有安裝了防毒軟件的，其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門(mén)程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了。不要忘了經(jīng)常升級(jí)病毒庫(kù),我們推薦mcafree殺毒軟件+blackice_blank"防火墻

6.sqlserver數(shù)據(jù)庫(kù)服務(wù)器安全和serv-u ftp服務(wù)器安全配置，更改默認(rèn)端口，和管理密碼

7.設(shè)置ip篩選、用blackice禁止木馬常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地安全策略和組策略的設(shè)置,如果你在設(shè)置本地安全策略時(shí)設(shè)置錯(cuò)了，可以這樣恢復(fù)成它的默認(rèn)值.

打開(kāi) %SystemRoot%\Security文件夾,創(chuàng)建一個(gè) "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個(gè)新建的子文件夾中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數(shù)據(jù)庫(kù)并將其改名,如改為"Secedit.old".

啟動(dòng)"安全配置和分析"MMC管理單元:"開(kāi)始"-"運(yùn)行"-"MMC",啟動(dòng)管理控制臺(tái),"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.

右擊"安全配置和分析"-"打開(kāi)數(shù)據(jù)庫(kù)",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開(kāi)".

當(dāng)系統(tǒng)提示輸入一個(gè)模板時(shí),選擇"Setup Security.inf",單擊"打開(kāi)".

如果系統(tǒng)提示"拒絕訪問(wèn)數(shù)據(jù)庫(kù)",不管他.

你會(huì)發(fā)現(xiàn)在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫(kù),在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數(shù)據(jù)庫(kù)重建成功.

WEB服務(wù)器環(huán)境配置及安全性配置應(yīng)該做哪些工作

除了配置基礎(chǔ)的網(wǎng)絡(luò)環(huán)境外，安全是重中之重。安全以服務(wù)器權(quán)限，web的代碼組合防火墻做安全。代碼需要由網(wǎng)站開(kāi)發(fā)人員改進(jìn)，服務(wù)器權(quán)限需要了解自己用系統(tǒng)。防火墻需要了解自己應(yīng)用的端口。一平網(wǎng)絡(luò)電子，請(qǐng)度娘。這里的學(xué)文很多，文述不如實(shí)際操作。

開(kāi)放云服務(wù)器ecs安全處理二端口有什么作用

開(kāi)放云服務(wù)器 ECS 安全處理二端口可以用于多種作用，具體取決于您的具體需求和配置。

通常情況下，開(kāi)放安全處理二端口主要是為了允許某些網(wǎng)絡(luò)協(xié)議或服務(wù)通過(guò)防火墻，從而實(shí)現(xiàn)安全訪問(wèn)和數(shù)據(jù)傳輸。以下是一些常見(jiàn)的使用場(chǎng)景：

遠(yuǎn)程管理：安全處理二端口通常用于遠(yuǎn)程管理，例如通過(guò) SSH 或遠(yuǎn)程桌面協(xié)議（RDP）訪問(wèn) ECS 服務(wù)器。

網(wǎng)絡(luò)服務(wù)：某些網(wǎng)絡(luò)服務(wù)，例如 FTP、SMTP、HTTP 等，需要開(kāi)放安全處理二端口才能在 ECS 上運(yùn)行。

數(shù)據(jù)庫(kù)訪問(wèn)：如果您的應(yīng)用程序需要訪問(wèn)云數(shù)據(jù)庫(kù)或其他數(shù)據(jù)庫(kù)，那么您需要打開(kāi)安全處理二端口以允許數(shù)據(jù)庫(kù)連接。

需要注意的是，開(kāi)放安全處理二端口會(huì)增加服務(wù)器的安全風(fēng)險(xiǎn)，因此應(yīng)該根據(jù)實(shí)際需求進(jìn)行謹(jǐn)慎配置，并加強(qiáng)服務(wù)器安全防護(hù)。

IIS高性能服務(wù)器安全設(shè)置的重要性是什么？

IIS高性能服務(wù)器安全設(shè)置的重要性在于首先是刪除不必要的端口，服務(wù)和用戶組和用戶以及刪除不必要的網(wǎng)站文件，特別是可以寫(xiě)入的程序文件。然后是給每個(gè)網(wǎng)站配置獨(dú)立的訪客賬戶，獨(dú)立的數(shù)據(jù)庫(kù)，獨(dú)立的應(yīng)用程序池以及給每個(gè)網(wǎng)站設(shè)置好讀寫(xiě)權(quán)限再然后它還可寫(xiě)入的不能有執(zhí)行權(quán)限，可執(zhí)行的不能有寫(xiě)入權(quán)限和給服務(wù)器系統(tǒng)打好安全補(bǔ)丁。之后它可以給網(wǎng)站系統(tǒng)打好安全補(bǔ)丁，給網(wǎng)站做好安全備份和給服務(wù)器做好殺毒措施，最后它可以做好網(wǎng)站后臺(tái)安全設(shè)置?！靖信d趣的話點(diǎn)擊此處，免費(fèi)了解一下】

IIS是一種Web（網(wǎng)頁(yè)）服務(wù)組件，其中包括Web服務(wù)器、FTP服務(wù)器、NNTP服務(wù)器和SMTP服務(wù)器，分別用于網(wǎng)頁(yè)瀏覽、文件傳輸、新聞服務(wù)和郵件發(fā)送等方面，它使得在網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)和局域網(wǎng)）上發(fā)布信息成了一件很容易的事。IIS是企業(yè)識(shí)別體系重要的有機(jī)組成部分，是互聯(lián)網(wǎng)時(shí)代企業(yè)必須關(guān)注的并進(jìn)行有效管理的領(lǐng)域。是企業(yè)在互聯(lián)網(wǎng)上的名片，能讓企業(yè)更好的擁抱互聯(lián)網(wǎng)時(shí)代。

億萬(wàn)克為民族高科技制造企業(yè)領(lǐng)導(dǎo)者，自主知識(shí)產(chǎn)權(quán)，十大關(guān)鍵核心技術(shù)，為黨政、金融、醫(yī)療、教育、電信、電力、交通和制造等各行業(yè)和領(lǐng)域的信息化發(fā)展和數(shù)字化轉(zhuǎn)型提供安全可靠的自主創(chuàng)新解決方案。億萬(wàn)克服務(wù)器真正做到了自主研發(fā)、能力內(nèi)化、安全可信和安全可控。

分享標(biāo)題：服務(wù)器安全配置的用途 服務(wù)器安全策略
文章出自：http://chinadenli.net/article42/dogedhc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、微信小程序、營(yíng)銷型網(wǎng)站建設(shè)、品牌網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、軟件開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)