本站内容搜索:
   您的位置:素材中国>>教程 >>服务器 >>服务器架设 >>服务器架设及安全设置 提交错误报告
服务器架设及安全设置
[ 来源:素材中国 | 作者:iecool| 时间:2005-07-14 13:14:34 | 浏览:人次 ]

 
 

一、系统的安装

   正常情况下Internet 信息服务(IIS)只需要选择三项:
Internet服务管理器 + Word Wide Web服务器 + 公用文件
附件和工具可以全部勾除(平常是用不到的),再加上终端服务即可,其它统统勾除!

关于磁盘分区: 正常情况下,C盘分10G已经非常足够使用,其它的应用软件均安装到D盘,如提供FTP服务的SERV-U,以免系统崩溃后要全新安装系统 的时间需要备份C盘数据。

 


二、补丁安装

   装完系统后,如果安装的系统是没有打过SP4的,请先安装WINDOWS 2000 sp4,然后进入Windows Update在线更新所有补丁。也可以下载补丁集(chinaz.com有提供)直接安时间排序打上,以免浪费时间,微软的网站有时候非常慢的。

 

三、系统安全设置

    1,用户管理
       删除TsInternetUser用户!
       将Guest用户改名禁用并且更改一个复杂的密码!
       更改Administrator的用户名以及密码!

    2,不让系统显示上次登录的用户名,具体操作如下: 
   修改注册表“HKLM\Software\Microsoft\WindowsNT\Current Version\Winlogon\Dont Display
 Last User Name”的键值,把REG_SZ 的键值改成1。

    3,禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。可以通过以下两步禁止
建立空连接。 
(1)修改注册表 
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 
(2)修改Win 2000的本地安全策略 
设置“管理工具→本地安全策略→安全设置→本地策略→安全选项”中的“对匿名连接的额外限制”修改为“不允许枚举SAM账号和共享”。

    4,打开安全审核
       管理工具--本地安全策略--本地策略--审核策略,正常情况下一共是9项  

推荐设置为:
   审核策略更改:成功 失败
   审核登录事件:成功 失败
   审核对象访问:失败
   审核过程追踪:无审核
   审核目录服务访问:失败
   审核特权使用:失败
   审核系统事件:失败
   审核账户登录事件:成功 失败
  审核账户管理:成功 失败


   审核策略不需要全部打开,如对象访问的成功项。否则将会占用过多的系统资源。

 

    5,IP安全策略的配置。
       可下载现成的策略直接导入(详细配置方法可见网上文章),如http://1982y.com/temp/www.ipsec ,下载后在管理工具--本地安全策略--IP安全策略 点右键选择-所有任务--导入策略,导入后,指派为新IP安全策略,然后在管理工具--本地安全策略--安全设置 点右键选择重新加载

    6,关闭不必要和危险的系统服务

一个新安装好的windows 2000 server系统,默认应该是存在以下服务,设置为以下状态:

     Alerter  -    禁用      Application Management -    禁用

     Automatic Updates -    可禁用

     Background Intelligent Transfer Service   -    禁用

     ClipBook -    禁用

     COM+ Event System -    手动

     Computer Browser  -    禁用

     DHCP Client   -    禁用

     Distributed File System     -    禁用

     Distributed Link Tracking Client -    禁止

     Distributed Link Tracking Server -    禁用

     Distributed Transaction Coordinator  -    禁止

     DNS Client    -    自动

     Event Log     -    自动

     Fax Service   -    禁用

     File Replication  -    禁用

     IIS Admin Service    -  自动

     Indexing Service   -  禁用

     Internet Connection Sharing   -  手动

     Intersite Messaging     禁用

     IPSEC Policy Agent  - 自动

     Kerberos Key Distribution Center - 禁用

     License Logging Service   -  禁用

     Logical Disk Manager -  自动

     Logical Disk Manager Administrative Service - 手动

     Messenger   -  禁用

     Microsoft Search - 禁用 (本服务在装了SQLSERVER2000 SP3后出现)

     Net Logon - 手动

     NetMeeting Remote Desktop Sharing - 手动

     Network Connections - 自动

     Network DDE - 手动

     Network DDE DSDM - 手动

     NT LM Security Support Provider  - 手动

     Performance Logs and Alerts  - 手动

     Plug and Play 自动

     Print Spooler 禁用

     Protected Storage 自动

     QoS RSVP   - 手动

     Remote Access Auto Connection Manager   - 手动

     Remote Access Connection Manager   - 手动

     Remote Procedure Call (RPC) - 自动

     Remote Procedure Call (RPC) Locator  - 手动

     Remote Registry Service         禁用

     Removable Storage       -    自动

     Routing and Remote Access  - 禁用

     RunAs Service   - 禁用

     Security Accounts Manager       自动

     Smart Card   - 手动

     Smart Card Helper   - 手动

     System Event Notification       自动

     Task Scheduler              禁用

     TCP/IP NetBIOS Helper Service   禁用

     Telephony       - 手动

     Telnet   禁用

     Terminal Services        - 自动

     Uninterruptible Power Supply   - 手动

     Utility Manager   - 手动

     Windows Installer   - 手动

     Windows Management Instrumentation                 自动

     Windows Management Instrumentation Driver Extensions    自动

     Windows Time   - 手动

     Wireless Configuration   - 手动

     Workstation       自动

     World Wide Web Publishing Service    自动


7,修改注册表
 

删除如下目录的任何键:
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\OS/2 Subsystem for NT

删除以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Os2LibPath

删除以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Optional
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Posix

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\Os2
 
 
 

8,修改终端服务的默认端口(如有必要才需要此操作,默认为3389,可随意修改为1-65535的端口)
打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处
找到类似RDP-TCP的子键,修改PortNumber值。

 

9,网卡的端口筛选(看具体情况配置,正常情况不需要做此配置,此项配置需重启才能生效)

网卡属性里的tcp/ip协议属性--->高级-->选项-->tcp/ip筛选属性-->

第一项:TCP端口:
只允许: ---(看具体这台服务器提供什么服务添加)
80   (www服务)
21   (一般的ftp默认)
53   (DNS服务)
110   (MAIL的SMTP服务)
25   (MAIL的POP3服务)
还有例如你的远程终端的端口(默认为3389,也有可能你改为别的端口,如6666,则加上6666)
 

第二项UDP端口:
此项可不添加,因为限制了以后,服务器则不能打开网页等操作(当然,也安全多了)


第三项IP协议:
ip协议:只允许6
 


10,IIS安全配置    开始-->程序-->管理工具-->Internet 服务管理器
   默认的设置是有一个叫“默认站点”的站点,删除。
   在IIS管理器中右击主机,进入属性,会出来一个叫 "*机器名属性"的窗口,在主属性下选择"WWW服务",进入编辑
   到主目录选项卡,进入应用程序设置下的配置,在应用程序映射里,你可以看到有htw, htr, idq, ida等扩展名的映射,
   除了asp,asa,shtml,sthm,stm外,其它的统统删除,因为其余的映射几乎每个都有安全方面的漏洞。(这是在未装cgi之类服务的情况下,像cgi,安装后也会在这里自动添加映射,没有映射可就运行不了cgi程序了,同理,php或asp.net也一样)
   默认的iis发布目录为c:\Inetpub,将这个目录删除。在d盘或e盘新建一个目录(目录名随意),然后新建一个站点,将主目录指向你新建的目录。
   这样做的目的是为了将站点和系统分开。不至于站点的安全设置出问题时危及到系统安全。

 

11,其它

网卡属性里的tcp/ip协议属性--->高级-->WINS-->选择 "禁用TCP/IP 上的NetBIOS"

删除C:\WINNT\Web下的两个子目录(一个是桌面图片目录,一个是打印目录,打印目录存在的话好像IIS的默认站点一直会多一个Printer的目录出来)

 


四、系统相关目录及文件的权限设置

C、盘全部设置为仅Administrator SYSTEM 有完全控制权限,D、E等仅Administrator就可以了(必须)

C:\Program Files
这个目录,像连接数据库这些都是要读取的,是C盘下比较重要的权限设置。

设置为:
administrator -- 完全控制
SYSTEM  -  完全控制
CREATOR GROUP  - 全空的权限。(你可以先默认的加上,然后应用。再重新设置权限,会发现权限变成空的,而另外多出来一个none的用户,把那个none删了,测试过运行ASP+ACCESS的程序这样才会比较安全)
。。除了以上这三个以外,其它的统统删掉。

b.\program files\common files:
  everyone:读取及运行
  列出文件目录
  读取

C:\Documents and Settings
这个目录设置为Administrator,SYSTEM拥有所有控制权限。


C:\WINNT
这个目录设置为Administrator,SYSTEM拥有所有控制权限。IIS来宾帐户设置为仅读取权限(如有建立了专门的IIS用户组,则这里设置为IIS的用户组)。


C:\WINNT目录内 除 TEMP(给everyone赋予读取,写入就够了),system32(给everyone赋予读取,列出文件夹目录,读取及运行即可)目录以外,所有目录均设置为Administrator,SYSTEM拥有所有控制权限

C:\WINNT\system32目录选择除inetsrv和centsvr以外的所有目录,
  去除“允许将来自父系的可继承性权限传播给对象”选框,复制

 

C:\Winnt\system32目录下的首先就是cacls.exe先把这个设置了在说别的。这东东是设置权限用的,还有
arp.exe, at.exe, cmd.exe,cscript.exe, edlin.exe,finger.exe,ftp.exe, net.exe, net1.exe netstat.exe
ping.exe,posix.exe,route.exe,rsh.exe,runonce.exe,syskey.exe,
telnet.exe,tftp.exe,wscript.exe,xcopy.exe,

这些常用的程序也要设置为仅Administrator,SYSTEM有所有控制权限。

 


五、防止虚拟主机用户利用FSO及其它权限
说明:http://www.im286.com/viewthread.php?tid=269074&fpage=1&highlight=FSO

-----------------------
我们以建立一个 123.com站点的为例吧。设置目录权限。
1,新建一个用户组。例如 WebUser
2,新建一个站点用户,如 web_123.com (密码自定),并设置为属于WebUser组(不要再属于其它的组了)
3,新建一个该站点的目录,设置该目录权限为 administrator 组为所有权限,以及Web_123.com用户为所有权限(即完全控制)
4,设置IIS站点。正常建立新站点后,站点属性的站点安全性里面也相应做设置...(站点属性--目录安全性--身份验证和访问控制--编辑)

补充:防止木马:
说明:http://www.yesky.com/SoftChannel/72356686970486784/20050126/1905551.shtml

在注册表上删除WScript.Shell(WScript.Shell.1) Shell.application(Shell.application.1)  WSCRIPT.NETWORK(WSCRIPT.NETWORK.1)  
先后运行:
cacls C:\WINNT\system32\shell32.dll /e /d guests
cacls C:\WINNT\system32\Cmd.exe /e /d guests
regsvr32 /u wshom.ocx
regsvr32 /u wshext.dll

r_server.exe /uninstall   (检查是否有radmin 远程登陆后门,卸载服务端操作)

 

 

删除默认共享

   (1)删除IPC$共享

  Windows 2000的缺省安装很容易被攻击者取得账号列表,即使安装了最新的Service pack也是如此。在Windows 2000中有一个缺省共享IPC$,并且还有诸如admin$ C$ D$等等,而IPC$允许匿名用户(即未经登录的用户)访问,利用这个缺省共享可以取得用户列表。要想防范这些,可将在“管理工具→本地安全策略→安全设置→本地策略→安全选项”中的“对匿名连接的额外限制”修改为“不允许枚举SAM账号和共享”。就可以防止大部分此类连接,但是还没完,如果使用NetHacker只要使用一个存在的账号就又可以顺利地取得所有的账号名称。所以,我们还需要另一种方法做后盾:

  创建一个文件Startup.cmd,内容就是一行命令“net share ipc$ delete”不包括引号;

  在Windows的计划任务中增加一项任务,执行以上的startup.cmd,时间安排为“计算机启动时执行”,或者把这个文件放到“开始→程序→启动”中让它一启动就删除IPC$共享;

  重新启动服务器。

  (2)删除admin$共享

  修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters增加AutoShareWks子键(REG_DWORD),键值为0。

  (3)清除默认磁盘共享C$、D$等

  修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,增加AutoShareServer子键(REG_DWORD),键值为0。


需要的话再安装一个blackice

 
 
       
   您的位置:素材中国>>教程 >>服务器 >>服务器架设 >>服务器架设及安全设置
 点此在百度搜索关键字"服务器架设及安全设置"  点此在GOOGLE搜索关键字"服务器架设及安全设置"
热门文章:
  ·在XP下架设Web和FTP服务器   ·windows server 2003 性能优化27招
  ·用Windows XP做服务器突破10人限制   ·SQL Server 服务器安装剖析
  ·利用IIS建立高安全性Web服务器   ·用Linux架设FTP服务器(上)
  ·服务器设置常见问题   ·服务器架设及安全设置
  ·FTP服务器快速架设全功略   ·用Linux架设FTP服务器(下)

  首页  素材图片  高精图库  矢量图库  网页素材  网页模板  壁纸  明星  下载  教程  字体  香车美女  QQ专题  论坛

网站介绍 | 广告业务 | 设计业务 | 免责声明 | 版权声明 | 联系我们|提交错误报告
素材中国版权所有