详解Windows_Server_2003_Web服务器安全设置
关于Windows Server 2003安全配置再设置的探讨
【 关键词 】 n o s e r 0 3 特 点; Wid w  ̄e 0 ; S 2 安全配置的再设 置
Th s u so fW i o e ve 0 3 S f s sto sI t l Ag e Dic s i n o nd wsS r r 2 0 a e Dipo ii n nsa l mn SHICh n u
一
、
三 年 以 后 , 一 个 时 代 英 雄 也 已 闪 亮 登 场— — 它 就 是 W idw e e 无 漏 洞 。 其次 , 确 设 置 磁 盘 的 安 全性 。 另 no sSr r v 正 具 体 如下 ( 虚拟 机 的安 全 设 置 , 我们 以 ap程 序 为例 子 ) 点 : s 重 20 。 果 你认 为 它 只足 Widw 00的 一个 简 单 升 级 版 本 , 就 错 03 如 n o s2 0 那 了 。微 软 在 Widw 0 0推 出 后 就对 这个 产 品 进行 过 多 次 彻 底 的修 n o s20 订 。 现 在 人们 对 Widw e e 0 3的 最 大 印 象 应 该 是 它 固若 金 汤 n o sS r r 0 v 2 的 安 全性 。 一 次 , 软在 安 全 性 能 上 大 作 文 章 , 却 丝 毫 没 有 影 响 到 这 微 但 系 统 的 可操 作 性 。 可 以 这 么 说 , n o s e e 0 3的 可 操 作 性 比 其 Wid w r r20 Sv 前 辈 的都 高 。l 1 I 微 软 在 Widw e e 0 3中 添加 了许 多 全 新 的 特 性 。 比如 , n o sSr r 0 v 2 类 似 于 Noel 的 “ av g i ” 的 “ 影 复 制 服 务 ” V l m h d w vl中 S a eB n l 卷 ( o eSa o u Cp e ie oySr c )就 是 其 中之 一 。管 理 人 员 一 旦 在 驱 动 器 中启 用 该 项 服 v 务, 服务 器 就 会 定 期对 驱 动器 进 行 快 照 记 录 。终 端 用 户 可 以利 用 这一
Windows2003服务器设置
Windows2003已经出现很久了,现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉,在这里,我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。
Win2003系统已经比Win2K系统增加了很多的安全性,所以现在选择Win2003系统作为服务器系统,将会是网络管理员的最佳选择。
本文假设你是一个服务器管理员,现在你的服务器使用Win2003服务器系统,你的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等)。
一、系统安装注意事项:首先,你得先把你的Win2003系统安装好,在安装系统时请选择使用NTFS文件系统分区,因为该分区可以对你的服务器资源进行加密、权限设置等,如果你的文件系统分区是使用FAT32的话,而你这台服务器作为一台虚拟主机,给客户提供空间,如果客户在空间里传了一个WebShell,如ASP木马等,而你使用的FAT32文件系统却不能为你的文件设置访问权限的话,那么黑客就能通过这个ASP木马取得你的服务器管理权了,那将是没有任何的安全性可言了。
为了系统的安全着想,系统安装好后,你还要给你的系统设置一个强壮的管理员口令,千万不要使用简单的口令,如123456等这样的简单登陆口令。
因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。
一个强壮的口令应该包括数字、英文字母、符号组成,如密码k3d8a^!ka76,设置好一个强壮的系统登陆口令后,我们就可以安装各种上面所述的组件服务支持了。
还是那句老话,最少的服务等于最大的安全,对于一切不须要的服务都不要安装,这样才能保证你服务器的安全性。
基于windows2003平台的web服务器安全分析
tnt ee l  ̄务 和Mi oo e h c sfsr 服务相关。Pi S ol : r t c r tpo r打印 n e 服务 , 如无连接 打印机禁用 。R m t R g t : e o eir 禁止远程 e sy 修改注册表。 3 除共享 。 n o s 删 Wi w 系统默认安装完成之后 , d 其实 系统 中所有分 区以及系统文件 夹其 实都 已经 自动共享 了, 称为默认共 享 , 这些共享 文件夹都是 隐藏 的。通过
一+
一+ 一— -+ — 十一
”+
“ +
一+
一十 -— 十一一 一”+ —+
他说 自己经历 了痛苦 的生死 搏斗 ,事实上是 衰败的身 体和飞升的精神进行 的搏斗 ,两者都不可能 独 自占据 远蒲 , 他们 的搏斗是永恒 的。 这也许就是残雪所说的艺 术 家的生存模 式 : 一方面是 ‘ 神的狂热追求 导致 了 对精
【 专题研讨 】
基 于wid ws 0 3 台 的we 1 务器 安 全 分析 n o 0平 2 b] l l
张奕谦 ( 广州华立科技职业学 院 , 广东 广州 5 10 ) 13 0
摘 要 : 文 基 于wid w sre 20  ̄ 台 上 架 构 a + ces 术 的we 服 务 器 , ̄ n o s 2 0 系统 安 全 、 本 n 0 s e r 03 v s acs p 技 b xwid w 03 l '
I 安全和acs I s ce 数据库下载等 问题进行探讨 , s 并从这三个方面分析一些常规的安全设 置, 保障we ̄ 务 器的安全。 bl K
关 键 宇 : id w 2 0 I安 全 ; 据 库 下载 w n o s 03 I ;S 数 中 图分 类号 : 7 2 G 1 文 献标 志码 : A 文 章 编 号 :6 4 9 2 (0 2 0 - 2 5 0 1 7 — 34 2 1 )7 02 — 3
图解Win2003 SP1 下使用SCW配置Web服务器
图解Win2003 SP1 下使用SCW配置Web服务器Windows Server 2003是大家最常用的服务器操作系统之一。
虽然它提供了强大的网络服务功能,并且简单易用,但它的安全性一直困扰着众多网管,如何在充分利用Windows Server 2003提供的各种服务的同时,保证服务器的安全稳定运行,最大限度地抵御病毒和黑客的入侵。
Windows Server 2003 SP1中文版补丁包的发布,恰好解决这个问题,它不但提供了对系统漏洞的修复,还新增了很多易用的安全功能,如安全配置向导(SCW)功能。
利用SCW功能的“安全策略”可以最大限度增强服务器的安全,并且配置过程非常简单,下面就一起来看吧!1.安装SCW,SCW功能虽然已经内置在SP1中,但是必须通过手动安装才能够正常使用。
安装的方法很简单,打开控制面板的添加Windows组件,选中安全配安装SCW置向导然后点下一步就可以完成安装SCW了。
2.启动SCW。
安装完SCW后,单击开始按钮选择程序中的管理工具选择安全配置向导,就可以启动安全配置向导了。
启动安全配置向导安全配置向导的启动界面启动安全配置向导后,点击下一步,就进入安全配置了。
3.在这里我们选择创建新的安全策略,点击下一步。
4.在这里我们选择输入安装计算机的名字Win2003,并单击下一步。
等待计算机完成初始化安全配置数据库,并点击下一步。
务器在网络中所扮演的角色。
单击下一步。
6.根据需要选择web服务器,把其他前面的勾去掉,单击下一步。
7.由于我们只需要web服务,不需要别的客户端功能,所以把所有的勾都去掉。
是服务器安全中很重要的一项,所以我们选中它。
版等等就选中它。
在这里我们选择禁用此服务。
点击下一步。
下一步。
12.下面进入了下一项,就是网络安全的配置。
点击下一步。
点下一步。
口(比如3389)都关闭了。
然后我们就进入下一个配置项目:注册表配置。
15.进入注册表设置了,点击下一步。
Windows 2003下WEB服务器安全设置攻略
一、安装补丁安装好Windows 2003操作系统之后,在托管之前一定要完成补丁的安装,配置好网络后,最好安装上SP1,然后点击开始选择Windows Update,安装所有的关键更新。
二、安装杀毒软件目前的杀毒软件种类很多,其中瑞星、诺顿、卡巴斯基等都是很不错的选择。
不过,也不要指望杀毒软件能够杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置,把服务器上面要用到的服务端口选中,例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389),在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号,如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
1、权限设置的原理1)WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。
在开始→程序→管理工具→计算机管理→本地用户和组,管理系统用户和用户组。
2)NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
文件(夹)上右键→属性→安全,在这里管理NTFS文件(夹)权限。
3)IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
web服务器安全配置
web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。
为了确保网站的安全,正确的服务器安全配置是至关重要的。
本文将介绍一些重要的方法和步骤,以帮助您合理地配置和保护您的Web服务器。
1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。
这样可以确保您的服务器是基于最新安全补丁和修复程序运行的,以减少黑客和恶意软件的攻击风险。
2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。
黑客经常利用这些默认配置的弱点,因此应该定制和修改这些配置。
将默认的管理员账户名称和密码更改为强密码,并禁用不必要的服务和插件。
3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输,应该始终使用安全的传输协议,如HTTPS。
HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性,防止数据在传输过程中被黑客窃取或篡改。
4. 创建强大的访问控制使用防火墙和访问控制列表(ACL)来限制对服务器的访问。
只允许必要的IP地址访问您的服务器,并阻止来自已知恶意IP地址的访问。
使用强大的密码策略来保护登录凭证,并定期更改密码。
5. 防御举措采取一些额外的防御措施,例如使用Web应用程序防火墙(WAF)来检测和阻止恶意的HTTP请求。
WAF可以识别和封锁潜在的攻击,如跨站点脚本攻击(XSS)和SQL注入攻击。
6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。
通过监控服务器访问日志和相关指标,可以及时发现潜在的安全问题。
使用入侵检测系统(IDS)和入侵防御系统(IPS)来检测和阻止未经授权的访问和活动。
7. 数据备份和恢复计划及时备份服务器上的所有数据,并设置定期的备份计划。
这样,在服务器遭受攻击或数据丢失时,可以及时恢复数据并最小化损失。
8. 网络分割将Web服务器与其他敏感数据和系统隔离开来,建立网络分割可以减少攻击面,确保一次攻击不会导致整个网络或系统的崩溃。
Windows 2003 网站目录安全权限设置指南
Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展,各高校所运维的网站数量和规模与日俱增。
与此同时,Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可,基于IIS WEB服务器软件的网站数量也越来越多。
通常情况,高校的大多数服务器,会由技术力量相对雄厚的网络中心等IT资源部门运维管理。
而网站程序的制作则一般由各单位、各部门自主负责:少数用户单位将会自主开发,或者请专业的IT公司代为开发。
而更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,便将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行着多个网站,其中某个网站存在着安全漏洞(例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站,取得权限,上传网页木马,得到了一个WEB SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有WEB站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便将感染上病毒,结果引来用户的严重不满和投诉,同时也严重损害了学校的形象。
为了避免类似事件的发生,我们有必要将网站和数据库分开部署,通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还是远远不够的,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限做严格的控制,实现各网站之间权限的隔离,做法如下:在WEB服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
Windows 2003 Server安全配置技术技巧
Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
功能还可以!Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、Windows 2003安全配置确保所有磁盘分区为NTFS分区、操作系统、Web主目录、日志分别安装在不同的分区不要安装不需要的协议,比如IPX/SPX, NetBIOS?不要安装其它任何操作系统安装所有补丁(用瑞星安全漏洞扫描下载)关闭所有不需要的服务二、IIS的安全配置三、删除Windows Server 2003默认共享以上文件的内容用户可以根据自己需要进行修改。
保存为delshare.bat,存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。
然后在开始菜单→运行中输入gpe dit.msc…回车即可打开组策略编辑器。
点击用户配置→Windows设置→脚本(登录/注销)→登录在出现的“登录属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
2、禁用IPC连接IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方计算机即可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
它是Windows NT/2000/XP/2003特有的功能,但它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。
NT/2000/XP/2003在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。
所有的这些,微软的初衷都是为了方便管理员的管理,但也为简称为IPC入侵者有意或无意的提供了方便条件,导致了系统安全性能的降低。
在建立IPC的连接中不需要任何黑客工具,在命令行里键入相应的命令就可以了,不过有个前提条件,那就是你需要知道远程主机的用户名和密码。
打开CMD后输入如下命令即可进行连接:net use\ipipc$ password /user:usernqme。
我们可以通过修改注册表来禁用IPC连接。
打开注册表编辑器。
找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。
四、清空远程可访问的注册表路径大家都知道,Windows 2003操作系统提供了注册表的远程访问功能,只有将远程可访问的注册表路径设置为空,这样才能有效的防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空即可。
五、关闭不必要的端口对于个人用户来说安装中默认的有些端口确实是没有什么必要的,关掉端口也就是关闭无用的服务。
139端口是NetBIOS协议所使用的端口,在安装了TCP/IP 协议的同时,NetBIOS 也会被作为默认设置安装到系统中。
139端口的开放意味着硬盘可能会在网络中共享;网上黑客也可通过NetBIOS知道你的电脑中的一切!在以前的Windows版本中,只要不安装Microsoft网络的文件和打印共享协议,就可关闭139端口。
但在Windows Server 2003中,只这样做是不行的。
如果想彻底关闭139端口,具体步骤如下:鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”,再用鼠标右键单击“本地连接”,选择“属性”,打开“本地连接属性”页,然后去掉“Microsoft网络的文件和打印共享”前面的“√”。
接下来选中“Internet协议(TCP/IP)”,单击“属性”→“高级”→“WINS”,把“禁用TCP/IP上的NetBIOS”选中,即任务完成。
对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。
假如你的电脑中还装了IIS,你最好重新设置一下端口过滤。
步骤如下:选择网卡属性,然后双击“Internet协议(TCP/IP)”,在出现的窗口中单击“高级”按钮,会进入“高级TCP/IP设置”窗口,接下来选择“选项”标签下的“TCP/IP 筛选”项,点“属性”按钮,会来到“TCP/IP 筛选”的窗口,在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”,然后根据需要配置就可以了。
如果你只打算浏览网页,则只开放TCP端口80即可,所以可以在“TCP端口”上方选择“只允许”,然后单击“添加”按钮,输入80再单击“确定”即可。
六、杜绝非法访问应用程序Windows Server 2003是一种服务器操作系统,为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限来限制。
他们去调用应用程序。
实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。
然后依次打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略。
然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可。
七、设置和管理账户1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码。
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间20分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。
如果你使用了还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
八、网络服务安全管理1、禁止C$、D$、ADMIN$一类的缺省共享打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为02、解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的服务,以下为建议选项九、打开相应的审核策略在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败十、其它安全相关设置1、隐藏重要文件/目录可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWA LL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为02、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为24. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface新建DWORD值,名为PerformRouterDiscovery 值为05. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects 值设为06. 不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD 值,名为IGMPLevel 值为07、禁用DCOM:运行中输入Dcomcnfg.exe。
回车,单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
选择“默认属性”选项卡。
清除“在这台计算机上启用分布式COM”复选框。
注:3-6项内容采用的是Server2000设置,没有测试过对2003是否起作用。
但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
十一、配置IIS 服务:1、不使用默认的Web站点,如果使用也要将将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。