WIN2003服务器安全配置终极技巧(1)
来源:itbulo.com 发布时间:2007-11-06 14:33:00
网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端BT的2003服务器的安全配置,让更多的网管朋友高枕无忧。
我们配置的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。
关于常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了。
先说关于系统的NTFS磁盘权限设置,大家可能看得都多了,但是2003服务器有些细节地方需要注意的,我看很多文章都没写完全。
C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就能拿到system",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限。
另外,还将:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
猜你喜欢
- 北京时间11月4日下午消息,据彭博社报道,针对中国新闻出版总署(以下简称“版署”)本周二宣布停止审批
- 博客广告的策略基本有两种形式:定向传播策略与交互传播策略。根据商业博客的不同特点,文案的写作要求也有所不同。一、定向传播的广告策略和文案写作
- 快速提升网站排名、流量献给站长们。一些旧的技巧仍然适用(比如,每天写出新内容),但一些已经不再适用(向搜索引擎提交已经不是必要步骤),我们这
- 据国外媒体报道,Google Chrome开发团队目前正在开发Chrome 6。Chrome 6开发版的发布意味着Chrome 5正式版即将
- 笔者亲身经历过网站发展的过程,中国网店网从开始建立的毫无流量,毫无内容到现在逐步发展起来,感触和体会非常多,其中经历了太多太多的抉择,做网站
- 当网站没流量的时候,我们的站长该怎么做呢?我就拿我一个成功网站的(www.hngwyw.com)经验给大家说下,从以前的100到现在日IP5
- 默认的方式下linux会把文件访问的时间atime做记录,这在绝大部分的场合都是没有必要的,如果遇到机器IO负载高或是CPU WAIT高的情
- 新站一个月PR值从0到5是怎样练成的?网站上线刚过一个月,便遇上谷歌大更新:pr 值竟然从0直接升到5 。想想这次谷歌也太大方了吧,太出乎我
- 1.列表策略在一些权威性的网站发表一篇文章, 如:“8项xxx”。 这样的文章经常会成为权威文章而被大量引用,引用者会链向这样的文章,很容易
- 对于一般的CMS用户,CMS系统默认的标签封装的越完整,使用越简单越受欢迎,但如果是个性化数据调用需求较多的用户,通常都会感觉系统内置的标签
- 第 1 步:选择推介区域 选择特定广告前,您需要指定国家/地区和语言首选项。为了最大限度地增加转换机会,请选择能充分反映用户情况的组合。有些
- 1.安装vsftpd服务器vsftpd是目前Linux最好的FTP服务器工具之一,其中的vs就是“Very Secure”(很安全)的缩写,
- 加固外网上的IIS服务器安全关于IIS服务器的安全主要包括六步:1、使用安全配置向导(Security Configuration Wiza
- 今天我们一起来学习Godaddy主机如何为masked domain添加一个标题及原标签。所谓域名转发即URL转发,是通过服务器的特殊技术设
- 当你在谷歌这种搜索引擎上搜索到某个网站时,点击链接出现“该网站可能含有恶意软件”的字样,你会怎么处理
- 那为什么同样都是学SEO的,有的人就可以一个月赚好几万,有的人却只能赚个三五千呢?其实知识都是一样的知识,SEO的技术很多的seoer都懂,
- 导读:最近AdSense又做出了改变,而这一最新的变化可能影响你的点击率和收入,因为Google力图减少意外点击并提升对于广告主的价值。Go
- 理论:分析流量统计报告,挑选核心关键词。实践:“阿江守候”网站已安装“51.la流量分析系统”,想知道网站的哪些关键词比较热门,并做出具有针
- 最近观察了几个刚做的网站,都是医疗行业的,百度半个月左右才收录,这几个医疗的网站到现在的收录还是停止不前,日期也是如此,每天照旧跟新,为什么
- 面是Godaddy Windows主机支持的组件ADODB.CommandThe Command object is used to exe