Windows2003基本的web服务器安全设置
Windows Server 2003基于web服务器应用的网络安全策略
1 1 6 ・
信 息 产 业
Wi n d o w s S e r v e r 2 0 0 3 基于w e b 服务器应用的网络安全策略
杨 飚
( 贵 州)
摘 要: 网络 安 全 措 施 应 该 能 全 方位 地 防 范来 自各 方 面 的威 胁 , 这 样 才能 保 证 网络 信 息的 保 密 性 、 完整 性 和 可 用性 。 关键词 : 网络安全 ; 防火墙 ; 网络攻击
进 八=十一 ,特别是 I n t e me t 在全球的普 就是阻 l 计算机病毒进入系统内存或阻止 计算机 病毒对磁盘进行的操 及, 计算机网络已广泛地用于各行各业以及 日常生活的各个瓴域, 成为信 作 , 尤其是写操作。 1 . 4 2病毒的清除技术。 计算机病毒的清除技术是计算 息传输中不可缺少的—部分。 因此, 网络安全措施应该能全- 力位地防范来 自各方面的威胁, 这样才自 网 ̄ r f Eg的f 5 i 墙 性、 完整性和可用性。计 销毒软件是在病毒出现后才能研制 , 有很大的被动性和滞后性 , 而且由于 防火墙技术 、 网络防病毒技术 、 网络 计算机软件所要求的精确性, 致使某些变种病毒无法清除, 杀毒软件应经 : 为 常升级来增强杀勒 能。网络中最重要的软硬 妻 淋 是网络 O s, 服务 保护计算机硬件、 软 器和工作 站。 更改和泄露。所以, 建立网络 2网络攻击的几种方法 发生增加、 信息收集是突破网络系统的第—步 ,黑客可以使用下面 几 种工具来 安全保护措施的目 修改、 丢失和泄露等。 收集所需信息: 2 . 1 T r a c e R o u t e 程序。T r a c e R o u t e 程序, 得出到达 目 标主机所经过的 1计算机网络安全体系 全方位的计算机网络安全体系结构包含网络物理安全、 访问控制安 网络数爿 璐 由器数。T r a c e r o u t e 程序I 是同 V a n J a c o b s o n 编} 写的能深 ^ 探 C P X I P协议 的方便呵 用的工具。 T r a c e r o u t e 通过发送小的数掳} 包到目 全、 系统安全、 用户安全、 信勖 Ⅱ 密、 安全传输和管理安全等。充分利用各 索 T 种先进的主机安全技术和身份认证技术、 访问控制技术、 密码技术 、 防火 的设备直到其返 回,来测量其需要多长时间。一条路径上的每个设备 墙技术 、 安全审计技术 、 安全管理技术 、 系统漏洞检测技术 、 黑客跟踪技 T r a c e r o u t e 要测 3 次。 输出结果中包括每次测试的时间( m 略洛 的名称 术, 在攻击者和受保 资源间建立多道严格的安全防线, 大大增加了恶 ( 如有的话) 及其 I P 地址。 2 2 Wh o i s 协议。 w h o i s 是用来查询域名的 I P以及所有者等彳 言 息的传 意政. 击的难度和增加了核查信息的; 量, 使用这些核查信息来追踪入侵 者。 输仂议。 简 说, w h o i s 就是—个 用来查询域名是否 已经被注册 , 以及注册 羊 细信息的数据库( 如域名所有 人、 域名注册商) 。 通过 w h o i s 来实 I . I物理安全策略。物理安全策略是保护{ 博 机系统、 网络眼务器 、 域名的{ 打印 机等硬件和通信线路免受自 然灾害、 ^ 为破坏和搭线攻击; 验证用户 现对域名信息的查询。 早期的 w h o i s 查询多以命令列接 口存在 , 但是现在 查询工具 , 可以一次向不同的数据库查 身份是否合法与使用权限、防止用户越权操作; 保证计算机系统能够在 出现了—些网页接 口简化的线 匕 良好的工作环境下运行 ; 建立—套完善的安全管理制度, 防 止未经授权的 询。 网页接 口的查询工 具 濑w h o i s 协议向服务端 姑 到 请求 , 命 用户进 人 计算初机房以及各种盗窃、 破坏活动的发生。 网络的权限控制是 令列接 口的工具仍然被系统管理员广泛使用。w h o i s 通常使用T C P协议 为网络访 问提供第一层访问控制。它控制哪些用户能够登录到服务器并 4 3 端 口。每个域名 / I P的 w h o i s 信息由对应的管理机构保存 。 合法获取网络资源 , 控制合法用户入网的时间和准许他们在哪台工作站 2 3 D N S 服务 暑 导 。D N S 服务器 尉懒 域 名系统 它是由解析器和域 入 网。 。 名服务器组成的。域名服务器是指保存有该 网络中所有主机的域名和对 1 2数据加密技术。数据加密技术是为提高信息系统及数据的安全 应 I P地趾 , 并具 将域名转换为 I P 地址功能的服务器。 其 中域名必须对 性和保密性, 防L 匕 秘密数据被外 匣 j c 泽昕采用的主要手段之一。 数据加 应—个 I P 地址 , 而I P 地址不—定有域名。 域名系统采用类似目录树的等 密技术要求只有在指定的用户或网络下 , 才能解除密码而获得原来的数 级结构。 域名服务器为客户机 , 服务 中的服务 错 方, 它主要有两种 据, 这就需要给 数据发送方和接受方以—些特殊的信息用于加解密 , 这就 形式 : 主服务器和转发服务器。 将域名映射为 I P 地址的过程就称为‘ 域 名 是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分 解析” 。 为专用密钥和公开密钥两种。 2 4 P i n g 实用程序。P i n g 实用程序, 可以用来确定—个指定的主机的 1 3防火墙技术。防火墙是指隔离在本地网络与外界网络之间的一 位置并确定其是否可达。P i n g 是个使用频率极高的实用程序 , 用于确定 道防御系统 , 是这—类防范措施 的总称。 在互联网上防火墙是—种非常有 本地主机是否能与另一台主机交换( 发送与接收) 数据报。根据返回的信 效的网络安全模型,通过它可以隔离风险区域( i n t e r n e t 或有_定风险的 息 , 你就可以推断 T C P / I P 参数是否设置得正确以及运行是否正常。需要 网络) 与安全区域( 局域 网) 的连接, 同时不会妨碍 人 们对风险区域的访 注意的是 :成功地与另一台主机进行一次或两次数据报交换并不表示 问。—般的防火墙都可以达到以下 目的 : ( 1)可以限制他 ^ 进 ^内部网 T C P / I P配置就是正确的, 你必须执行大量的本地主机与远程主机的数据 络, 过滤掉不安全服务和非法用户; ( 2) 防 止^ 、 侵者接近你的防御设施 ; 报交换, 才能确信 T C P / I P的正确性。简单的说, P i n g 就是— — 卜 钡 I I 试程序, ( 3) 限定用户访问特殊站J ; ( 4) 为监视 I n t e me t 安全提供方便。 由于防 如果 P i n g 运行正确, 你大体 E 就可以排除网络访问层、 网卡 、 M O D E M的 火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如 I n — 输 入 输出线路 、 电缆和路由器等存在的故障, 5 I 而减小了问题的范围。但 t e r n e t 等种类相对集中的网络。防火墙正在成为控制对网络系统访 问的 由于可以自定义所发数据报的大小及无休止的高速发送 , P i n g 也被某些 非常流行的方法。 别有用心的人作为 D D O S ( 拒绝服务攻击) 的工具。 l 4计算机病毒的发展和防御。因为网络环境下的计算机病毒是网 3 Wi n d o ws S e r v e r 2 O 0 3 的安 装 络系统最大的攻击者 ,具有强大的感染性和破坏陛,网络防病毒技术已 3 . 1安装系统最! ! 薅 区, 分区格式都采用 N T F S 格式。 成为当今计算 机网络美. 全 和网络管理 的重要课题 。防病毒技术可分为三 3 2在断开网络白 勺 J 壶 碧 好2 0 0 3 系统。 种: 病毒预防技术, 病毒检测技术和病毒清除技术。当今计算机病毒已经 3 3安装 I I S , 仅安装必要的 I I S组件蝴 j 不需要的如 F r P和 S MT P 朝着病毒变异的方向发展, 新—代计算机病毒将具有很多智能化的特征: 服 。默认 况下 , I I s 服务没有安装, 在添加 , 删除 Wi n 组件中选择‘ 位 它能够 自 我变形和 自我保护以及 自我恢复功能。 J 比 外, 计算机病毒对计算 用程序服务器” , 然后点击‘ ‘ 详纽 息” , 双击 I n t e me t 信息日 i # j - ( i i s ) , 勾选以 机系统和网络安全的破坏程度越来越大 , 已经进人 了—个网络传播 、 破坏 下 选项 : 时代。1 . 4 . 1 病毒预防技术。病毒预防技术是指通过一定的技术手段防止 I n t e me t 信 息服务管��
WEB服务器配置与管理
WEB服务器配置与管理WEB服务器是互联网上提供网站和应用程序服务的关键组件之一,配置和管理服务器对于确保网站的高可用性和性能至关重要。
本文将介绍WEB服务器配置和管理的基本原理,包括服务器选择、操作系统、网络配置、安全设置和性能优化等方面。
一、服务器选择在选择WEB服务器时,需要考虑多个方面的因素,例如:1. 访问量和并发用户数:高访问量和大并发用户数需要选择性能强大的服务器。
2. 应用程序类型:根据应用程序的需要选择支持相应技术栈的服务器,如LAMP(Linux、Apache、MySQL、PHP)。
3. 可用性和稳定性:选择有良好口碑和广泛使用的服务器软件,如Apache、Nginx等。
4. 成本:根据预算确定合适的服务器配置。
二、操作系统选择常见的WEB服务器操作系统有Linux和Windows Server两种,Linux一般被认为是更加稳定、安全和高性能的选择。
操作系统的选择还要根据应用程序的需求和管理员的熟悉程度考虑。
三、网络配置1.域名解析:将域名解析到服务器的IP地址。
2.网络设置:配置服务器的IP地址、子网掩码、网关等参数。
3.DNS设置:配置服务器的DNS服务器地址,以便服务器能够正常解析域名。
四、安全设置服务器的安全设置是保护网站和应用程序免受攻击的关键措施。
1.防火墙:配置防火墙以限制对服务器的访问,禁止没有必要的端口开放。
2.更新和补丁:定期更新操作系统和服务器软件的补丁,及时修复安全漏洞。
3.访问控制:通过访问控制列表(ACL)或防火墙配置,限制访问服务器的IP地址范围。
4.加密协议:配置服务器支持HTTPS协议,提供加密传输和身份验证。
五、性能优化1.缓存设置:配置服务器的缓存机制,提高页面和资源的加载速度。
2.负载均衡:使用负载均衡器将流量平均分配到多个服务器上,增加系统的稳定性和可扩展性。
3.压缩和优化:压缩静态资源,如CSS、JS、图片等,优化传输速度。
4.资源合并:合并多个CSS和JS文件,减少HTTP请求次数。
windows服务器安全配置
安全配置服务器1.NTFS比FA T分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。
2.建议最好一次性全部安装成NTFS分区,而不要先安装成FA T分区再转化为NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。
3.安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。
4.分区和逻辑盘的分配推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。
要知道,IIS和FTP是对外服务的,比较容易出问题。
而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。
5.安装顺序的选择:win2000在安装中有几个顺序是一定要注意的:首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装6.端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。
web服务器安全设置
图解web服务器安全设置一、系统设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。
然后点击确定—>下一步安装。
(具体见本文附件1)2、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。
3、备份系统用GHOST备份系统。
4、安装常用的软件例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份修改3389远程连接端口修改注册表.开始--运行--regedit依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户的安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。
Windows 2003下WEB服务器安全设置攻略
一、安装补丁安装好Windows 2003操作系统之后,在托管之前一定要完成补丁的安装,配置好网络后,最好安装上SP1,然后点击开始选择Windows Update,安装所有的关键更新。
二、安装杀毒软件目前的杀毒软件种类很多,其中瑞星、诺顿、卡巴斯基等都是很不错的选择。
不过,也不要指望杀毒软件能够杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
三、设置端口保护和防火墙Windows 2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>属性—>本地连接—>属性—>高级—>Internet连接防火墙—>设置,把服务器上面要用到的服务端口选中,例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389),在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号,如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
1、权限设置的原理1)WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。
在开始→程序→管理工具→计算机管理→本地用户和组,管理系统用户和用户组。
2)NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
文件(夹)上右键→属性→安全,在这里管理NTFS文件(夹)权限。
3)IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
2、权限设置——磁盘权限系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings目录只给Administrators组和SYSTEM的完全控制权限系统盘\Documents and Settings\All Users目录只给Administrators组和SYSTEM的完全控制权限系统盘\Inetpub目录及下面所有目录、文件只给Administrators组和SYSTEM的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe文件只给Administrators组和SYSTEM的完全控制权限四、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
Windows 2003 网站目录安全权限设置指南
Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展,各高校所运维的网站数量和规模与日俱增。
与此同时,Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可,基于IIS WEB服务器软件的网站数量也越来越多。
通常情况,高校的大多数服务器,会由技术力量相对雄厚的网络中心等IT资源部门运维管理。
而网站程序的制作则一般由各单位、各部门自主负责:少数用户单位将会自主开发,或者请专业的IT公司代为开发。
而更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,便将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行着多个网站,其中某个网站存在着安全漏洞(例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站,取得权限,上传网页木马,得到了一个WEB SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有WEB站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便将感染上病毒,结果引来用户的严重不满和投诉,同时也严重损害了学校的形象。
为了避免类似事件的发生,我们有必要将网站和数据库分开部署,通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还是远远不够的,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限做严格的控制,实现各网站之间权限的隔离,做法如下:在WEB服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
Windows操作系统安全配置
贵州大学实验报告(小三号,加黑)学院:计算机科学与技术专业:信息安全班级:121实验数据系统安全试验:一、账户和密码的安全设置1、删除不在使用的账户,禁止guest账户删除不再使用的用户禁用guest账户2、启用账户策略启动密码复杂性要求验证发现不符合要求设置密码长度最小值密码最短使用期限密码最长使用期限设置账户锁定阀值设置账户锁定时间3、开机时设置为不自动显示上次登录用户4、禁止枚举账户名二、文件系统安全设置1、删除everyone组的操作权限2、对同一磁盘进行不同的用户全选分配查看磁盘高级安全设置三、用加密软件EFS加密硬盘数据创建新用户加密文件切换用户,访问被加密的文件切换回来,在控制台添加证书查看证书详细信息导出证书再次切换用户,同过证书查看文件:导入证书选择文件查看文件四、启用审查与日志查看1、打开审查策略对相应的选项进行设置,如审核账户管理2、查看时间日志查看安全性双击选中项,可查看具体信息五、启用安全策略与安全模板1、启用安全模板在安全配置和分析中打开数据库分析计算机分析结果配置计算机2、创建安全模板设置密码长度最小值六、利用MBSA检查和配置系统安全1、系统漏洞扫描设置参数2、扫描结果查看详情和查看纠正方法Windows中web、ftp服务器的安全配置:一、用IIS建立高安全性的Web服务器1、删除不必要的虚拟目录2、停止默认的Web站点新建一个网站3、对IIS中的文件和目录进行分类,分别设置权限4、删除不必要的应用程序映射5、维护日志安全指定路径修改路径的权限6、修改端口值二、Ftp服务器的安全配置停止默认Ftp站点将自己的Ftp站点的默认端口号改成其他值启用日志记录复选框,并设置其日志文件目录取消允许匿名连接删除除Adminstrator用户之外的一切用户设置Ftp的主目录在目录安全性的选项卡中添加被拒绝或允许访问的IP地址思考题:1、单击网站的右键,选择【属性】,点击目录安全性,在【身份验证和访问控制】中选择【编辑】,在【身份验证方法】中选择【基于身份验证】。
Windows 2003 Server 服务器安全配置(完全版)
Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services 中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
Windows2003的校园网Web服务器安全配置技术
基于Windows2003的校园网Web服务器安全配置技术王杨摘要:对基于Windows Server 2003系统下Web服务器的安全技术研究。
从操作系统本身入手,通过重新规划系统部分默认配置。
提高基Windows2003的校园网Web服务器的安全性。
关键词:web 服务器;安全;IIS;Windows Server 2003构建一个安全的Web服务平台是保障学校各项工作顺利开展的基础,是学校实现现代化教学的前提,也是保障整个互联网健康发展的一个重要因素。
随着各类黑客工具在网络上的大势传播,Web 服务器面临着前所未有的威胁Windows Server2003作为第一个内置支持.NET技术的操作系统,重写了内核代码,使得该系统更稳定、更安全。
以下分别从Windows Server2003 系统配置,IIS配置以及网站代码安全三个方面来探讨web 服务器的安全问题。
1 Windows Server2003 系统安全配置Web服务器所采用的操作系统,高性能、高可靠性和高安全性是其必备要素。
微软的企业级操作系统中, 如果说Windows2000 全面继承了NT 技术, 那么Windows Server2003 则是依据.Net 架构对NT技术作了重要发展和实质性改进, 凝聚了微软多年来的技术积累, 使得系统安全性方面得以更大提高。
1.1 采用NTFS磁盘分区格式NTFS系统提供了性能安全、可靠以及在其他文件系统格式没有的高级功能,可以实现文件及文件夹的加密、权限设置、磁盘配额和压缩等高级功能,并可以更好的利用磁盘空间,提高系统的运行速度。
自WindowsNT 系统问世以来,使用NTFS文件系统,进一步打造系统安全已逐渐成为一种共识。
1.2 关闭系统默认共享Windows Server2003 仍开启默认共享所有硬盘分区, 以及让进程通信而开放的命名管道IPC$和系统工作目录admin$共享,这就为系统的安全埋下隐患。
Windows服务器安全配置
原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁修改3389HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\T erminalServer\Wds\Repwd\Tds\T cp, 看到那个PortNumber没有?0xd3d,这个是16进制,就是3389啦,我改XXXX这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStatio ns这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。
修改系统日志保存地址默认位置为应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT系统日志文件:%systemroot%\system32\config\SysEvent.EVT应用程序日志文件:%systemroot%\system32\config\AppEvent.EVTInternet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志Scheduler(任务计划)服务日志默认位置:%systemroot%\schedlgu.txt应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventlogSchedluler(任务计划)服务日志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgentSQL删掉或改名xplog70.dll[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\paramet"AutoShareServer"=dword:00000000"AutoShareWks"=dword:00000000// AutoShareWks 对pro版本// AutoShareServer 对server版本// 0 禁止管理共享admin$,c$,d$之类默认共享[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001//0x1 匿名用户无法列举本机用户列表//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动)本地安全策略封TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧)封所有ICMP,即封PING以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的审核策略为审核策略更改:成功,失败审核登录事件:成功,失败审核对象访问:失败审核对象追踪:成功,失败审核目录服务访问:失败审核特权使用:失败审核系统事件:成功,失败审核账户登录事件:成功,失败审核账户管理:成功,失败密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟.安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.禁止登录屏幕上显示上次登录的用户名控制面板==管理工具==本地安全策略==本地策略==安全选项HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn 项中的Don't Display Last User Name串,将其数据修改为1禁TCP/IP中的禁用TCP/IP上的NetBIOS修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉WEB目录用户权限设定...依次做下面的工作:选取整个硬盘:system:完全控制administrator:完全控制(允许将来自父系的可继承性权限传播给对象)b.\program files\common files:everyone:读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)c.\inetpub\wwwroot:iusr_machine:读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)e.\winnt\system32:选择除inetsrv和centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows2003基本的web服务器安全设置基本的服务器安全设置1、安装补丁安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
2、安装杀毒软件至于杀毒软件目前我使用有两款,一款是瑞星,一款是诺顿,瑞星杀木马的效果比诺顿要强,我测试过病毒包,瑞星要多杀出很多,但是装瑞星的话会有一个问题就是会出现ASP动态不能访问,这时候需要重新修复一下,具体操作步骤是:关闭杀毒软件的所有的实时监控,脚本监控。
╭═══════════════╮╭═══════════════╮在Dos命令行状态下分别输入下列命令并按回车(Enter)键:regsvr32 jscript.dll (命令功能:修复Java动态链接库)regsvr32 vbscript.dll (命令功能:修复VB动态链接库)╰═══════════════╯╰═══════════════╯不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
3、设置端口保护和防火2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置把服务器上面要用到的服务端口选中例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
权限设置权限设置的原理•WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。
在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
•NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。
【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
•IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
权限设置磁盘权限系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限4、禁用不必要的服务开始菜单—>管理工具—>服务Print SpoolerRemote RegistryTCP/IP NetBIOS HelperServer以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
改名或卸载不安全组件不安全组件不惊人在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。
那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
谨慎决定是否卸载一个组件组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。
否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。
比如,FSO和XML是非常常用的组件之一,很多程序会用到他们。
WSH组件会被一部分主机管理程序用到,也有的打包程序也会用到。
5、卸载最不安全的组件最简单的办法是直接卸载后删除相应的程序文件。
将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ )regsvr32/u C:\WINNT\System32\wshom.ocxdel C:\WINNT\System32\wshom.ocxregsvr32/u C:\WINNT\system32\shell32.dlldel C:\WINNT\system32\shell32.dll然后运行一下,WScript.Shell, Shell.application, work就会被卸载了。
可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。
改名不安全组件需要注意的是组件的名称和Clsid都要改,并且要改彻底了。
下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。
为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。
比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001Shell.application 改名为 Shell.application_ajiang那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]@="Shell Automation Service"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]@="C:\\WINNT\\system32\\shell32.dll""ThreadingModel"="Apartment"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]@="Shell.Application_ajiang.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]@="1.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgI D]@="Shell.Application_ajiang"[HKEY_CLASSES_ROOT\Shell.Application_ajiang]@="Shell Automation Service"[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]@="{13709620-C279-11CE-A49E-444553540001}"[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]@="Shell.Application_ajiang.1"你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
6、防止列出用户组和系统进程在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。
防止Serv-U权限提升其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。