中国投资网 百科 用Win 2003 server打造安全的个人Web服务器

用Win 2003 server打造安全的个人Web服务器

与Win2K相比,Win2003 Server的安全性有了很大的提高,但是用Win2003 Server做服务器真的安全吗?我们如何构建一个安全的个人web服务器?下面简单介绍一下。

一、Windows Server2003的安装

1.安装系统至少需要两个分区,分区格式为NTFS格式。

2.网络断开时安装2003系统。

3.安装iis,只安装必要的IIS组件(禁用不必要的服务,如FTP和SMTP)。默认情况下,不安装iis服务。在“添加/删除Win组件”中选择“应用程序服务器”,然后单击“详细信息”,双击Internet信息服务(IIS),并检查下列选项:

互联网服务经理;

公共文件;

后台智能传送服务(BITS)服务器扩展;

万维网服务。

如果您使用frontpage扩展的网站,请再次检查:frontpage 2002服务器扩展。

4.安装MSSQL和其他必需的软件,然后更新。

5.使用Microsoft提供的mbsa(Microsoft Baseline Security Analyzer)工具来分析计算机的安全配置,并确定缺少的修补程序和更新。下载地址:见页末链接。

二。设置和管理帐户

1.最好少建系统管理员账号,改默认管理员账号名称和描述。密码应该是数字、小写字母和数字的组合,长度不小于14位。

2.创建一个名为Administrator的新陷阱帐户,为其设置最小权限,然后随意输入一个不小于20位的组合密码。

3.禁用来宾帐户,更改其名称和描述,然后输入复杂的密码。当然现在也有DelGuest的工具。也许你也可以用它来删除来宾帐户,但我没有尝试过。

4.运行时输入gpedit.msc进入,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-帐户策略-帐户锁定策略,将帐户设置为“三次登录无效”、“锁定时间为30分钟”、“重置锁定计数设置为30分钟”。

5.在安全设置-本地策略-安全选项中,将“不显示最后一个用户名”设置为启用。

6.在“安全设置-本地策略-用户权利分配”中,只有Internet来宾帐户和启动IIS进程的帐户会保留在“从网络访问这台计算机”中。如果您使用Aspnet,您应该保留您的Aspnet帐户。

7.创建一个用户帐户并运行系统。如果要运行特权命令,请使用Runas命令。

三。网络服务安全管理

1.禁止C$、D$和ADMIN$的默认共享。

打开注册表HKEY _本地_机器\系统\当前控制集\服务\ lanmanserver \参数,并在右侧窗口创建一个新的Dword值,其名称设置为AutoShareServer,值设置为0。

2.解除NetBios与TCP/IP协议的绑定

右键单击网上邻居-属性-右键单击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

3.关闭不必要的服务。以下是建议的选项

浏览器:维护网络计算机更新,禁用

分布式文件系统:局域网管理共享文件,所以不需要禁用。

分布式linktracking客户端:用于更新局域网的连接信息,不需要禁用。

错误报告服务:禁止发送错误报告

Microsoft Serch:提供快速单词搜索,无需任何帮助即可禁用。

LMSecuritySupportProvider:由Telnet服务和Microsoft Serch使用,不需要禁用。

如果没有要禁用的打印机。

远程注册表:禁止远程修改注册表。

远程桌面帮助会话管理器:禁止远程协助。

第四,打开相应的审计策略。

输入gpedit.msc并回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审计策略。在创建审计项目时,需要注意的是,如果审计项目太多,生成的事件就越多,因此发现严重事件的难度就越大。当然,如果审核太少会影响你发现严重事件,你需要根据情况在两者之间进行选择。

建议审查的项目有:

登录事件成功但失败。

帐户登录事件成功和失败。

系统事件成功和失败。

策略更改成功但失败。

对象访问失败。

目录服务访问失败。

权限使用失败。

动词(verb的缩写)其他安全相关设置

1.隐藏重要文件/目录

可以修改注册表实现完全隐藏:' HKEY _本地_机器\软件\微软\ windows \当前版本\资源管理器\高级\文件夹\ hi-dden \ showall '右键单击' CheckedValue '选择修改,将值从1改为0。

2.启动系统自带的互联网连接防火墙,在设置服务选项中检查Web服务器。

3.防止SYN flood攻击

HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters

创建一个名为SynAttackProtect的新DWORD值,值为2

4.禁止响应ICMP路由通告消息。

HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters \ Interfaces \ interface

创建一个名为PerformRouterDiscovery的新DWORD值,其值为0

5.防止ICMP重定向消息的攻击

HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters

将EnableICMPRedirects值设置为0。

6.不支持IGMP协议。

HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters

创建一个新的DWORD值,名为IGMPLevel,值为0

7.禁用DCOM:

运行输入Dcomcnfg.exe。进入并单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。

对于本地计算机,请右键单击“我的电脑”并选择“属性”。选择默认属性选项卡。

清除“在这台计算机上启用分布式COM”复选框。

注意:我在第3-6项中使用了Server2000设置,但是我还没有测试它是否适用于2003。但有一点可以肯定,我花了一段时间才发现没有其他副作用。

不及物动词配置IIS服务:

1.不要使用默认网站。如果这样做,应该将IIS目录与系统盘分开。

2.删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。

3.删除系统盘下的虚拟目录,比如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4.删除不必要的IIS扩展映射。

右键单击“默认网站属性主目录配置”以打开应用程序窗口并删除不必要的应用程序映射。主要是。shtml,shtm,stm。

5.更改IIS日志的路径。

右键单击“默认网站属性-网站”,然后单击“启用日志记录”下的属性。

6.如果您使用的是2000,可以使用iislockdown来保护IIS,但不要求运行2003的IE6.0版本。

7.使用UrlScan

UrlScan是一个IsapI过滤器,它分析传入的HTTP数据包,并可以拒绝任何可疑的流量。最新版本是2.5。如果是2000Server,需要先安装1.0或2.0版本。请参见页面末尾的链接获取下载地址。

如果没有特殊要求,UrlScan默认配置就足够了。

但是如果你在服务器上运行ASP.NET程序并想调试它,你需要打开% windir % \ system32 \ inetsrv \ urlscan。

文件夹,然后在UserAllowVerbs部分添加调试谓词。请注意,此部分区分大小写。

如果您的网页是一个。asp网页,需要删除。DenyExtensions中的asp相关内容。

如果您的网页使用非ASCII代码,您需要在选项部分将AllowHighBitCharacters的值设置为1。

对URLScan.ini文件进行更改后,需要重新启动IIS服务才能生效。在快速方法运行中输入iisreset。

如果配置后有任何问题,可以通过添加/删除程序来删除UrlScan。

8.使用WIS (Web Injection Scanner)工具扫描整个网站的SQL注入漏洞。

下载地址:[http://www.fanvb.net/websample/othersample.aspx]VB.net恋人[/url]

七。配置Sql Server

1.系统管理员的角色最好不要超过两个。

2.如果在这台机器上,最好将身份验证配置为Win登录。

3.不要使用Sa帐户,并配置一个超级复杂的密码。

4.删除以下扩展存储过程格式:

使用母版

Sp_dropextendedproc '扩展存储过程名称'

Xp_cmdshell:这是操作系统的最佳捷径。删除

本文来自网络,不代表本站立场,转载请注明出处:https:

用Win,2003,server打造安全的个人Web服务器

中国投资网后续将为您提供丰富、全面的关于用Win,2003,server打造安全的个人Web服务器内容,让您第一时间了解到关于用Win,2003,server打造安全的个人Web服务器的热门信息。小编将持续从百度新闻、搜狗百科、微博热搜、知乎热门问答以及部分合作站点渠道收集和补充完善信息。