加固基于Windows 2003平台的WEB服务器
作者:gOxiA 来源:hackhome.com 发布时间:2009-01-06 17:14:00
基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题,不过我个人认为自从Windows Server 2003发布后,IIS6及Windows Server 2003新的安全特性、更加完善的管理功能和系统的稳定性都有很大的增强。虽然从Windows Server 2003上可以看到微软不准备再发展ASP,特别是不再对Access数据库的完好支持,但是面对它的那些优势迫使我不得不舍弃windows 2000 Server。况且我也不需要运行太多的ASP+Access,因为我的程序都是PHP+MySQL(说实话我不喜欢微软的ASP和ASPNET),而且我确实信赖Windows Server 2003!
服务器、网站,看到这些词大家都会想到什么,不只是性能更加关注的是它的安全问题。很多人都无法做到非常完美的安全加固,因为大部分的资料都来源互联网,而互联网的资料总不是那么详尽,毕竟每个服务器的应用环境及运行程序不同。
我从事互联网这个行业只有2年时间,其间遇到了很多问题,我所管理的服务器部分是开放式(PUBLIC)的,它是向互联网的用户敞开的,所以我所面临的问题就更加的多!安全性首当其要,其次是系统的稳定性,最后才是性能。要知道服务器上存在很多格式各样的应用程序,有些程序本身就有缺陷,轻者造成服务器当机,严重的会危及到服务器的整个数据安全。
举个例子,有一台运行着300多个网站的Windows 2000 Server,一段时间里它经常Down机,发现内存泄漏特别快,几分钟时间内存使用立刻飙升到900M甚至高达1.2G,这个时候通过远程是无法访问服务器了,但是服务器系统本身却还在运行着。这个问题着实让我头疼了很长一段时间,因为如果要排查故障就要从这些网站入手,而网站的数量阻碍了我的解决进度。后来通过Filemon监控文件读取来缩小排查范围,之后对可疑网站进行隔离,最终找到故障点并解决。要知道一段小小的代码就可以让运行IIS5的Windows 2000 Server 挂掉!而在Windows Server 2003下,应用程序的级别低中高级变更为了程序池,这样我们就可以对一个池进行设置对内存和CPU进行保护。它的这一特性让我减轻了很多的工作量并且系统也稳定了很多。
另外严重的就是安全性的问题了,无论任何文章都有一个宗旨就是尽量在服务器少开放端口,并开放必要的服务,禁止安装与服务器无关的应用程序。在Windows 2000 Server中,目录权限都是Everyone,很多服务都是以SYSTEM权限来运行的,如Serv-U FTP 这款出色的FTP服务器平台曾经害苦了不少人,它的溢出漏洞可以使入侵者轻松的获取系统完全控制权,如果做到呢?就是因为Serv-U FTP服务使用SYSTEM权限来运行,SYSTEM的权利比Administrator的权利可大的多,注册表SAM项它是可以直接访问和修改的,这样入侵者便利用这一特性轻松在注册表中克隆一个超级管理员账号并获取对系统的完全控制权限。
我的目标:加固WEB服务器系统,使之提高并完善其稳定性及安全性。
系统环境:Windows Server 2003 Enterprise Edition With Service Pack 1(以下简称W2k3SP1),WEB平台为IIS6,FTP平台为Serv-U FTP Server
·安装配置操作系统
安装操作系统,在安装前先要先去调整服务器的BIOS设置,关闭不需要的I/O,这样节省资源又可以避免一些硬件驱动问题。务必断开服务器与网络的连接,在系统没有完成安全配置前不要将它接入网络。在安装过程中如果网卡是PNP类型的,那么应当为其网络属性只配置允许使用TCP/IP协议,并关闭在TCP/IP上的NETBIOS,为了提供更安全的保证,应该启用TCP/IP筛选,并不开放任何TCP端口。完成操作系统的安装后,首次启动W2K3SP1,会弹出安全警告界面,主要是让你立刻在线升级系统更新补丁,并配置自动更新功能,这个人性化的功能是W2K3SP1所独有的,在没有关闭这个警告窗口前,系统是一个安全运行的状态,这时我们应当尽快完成系统的在线更新。
修改Administrator和Guest这两个账号的密码使其口令变的复杂,并通过组策略工具为这两个敏感账号更名。修改位置在组策略中Computer Configuration-Windows Settings-Security Setting-Local Policies-Security Options下,这样做可以避免入侵者马上发动对此账号的密码穷举攻击。
服务器通常都是通过远程进行管理的,所以我使用系统自带的组件“远程桌面”来对系统进行远程管理。之所以选择它,因为它是系统自带的组件缺省安装只需要去启用它就可以使用,支持驱动器映射、剪切板映射等应用,并且只要客户端是WindowsXP PRO都会自带连接组件非常方便,最主要还有一点它是免费的。当然第三方优秀的软件也有如:PCAnyWhere,使用它可以解决Remote Desktop无法在本地环境模式下工作的缺点。为了防止入侵者轻易地发现此服务并使用穷举攻击手段,可以修改远程桌面的监听端口:
猜你喜欢
- .htaccess 文件 (Hypertext Access file) 是Apache Web服务器的一个非常强大的配置文件,对
- 在点石看了KYW的中国SEOer的级别,觉得很有趣,于是想写一篇中国网络赚钱的级别。和KYW不同的是他是高手可以站在一个很高的层面看待各类人
- LoveBlogEarn 同学在博客留言,说到域名转发是不是能提高PR?因为sinoblog.net这个域名就是转发到sinoblog.or
- 当您忘记了您的密码时需要及时找回来,下面我们给出了找回账户密码的教程Godaddy找回账户密码教程1.进入GODADDY主页www.goda
- 最近在研究本站:www.seocompany.sh.cn 网站优化的时候,发现本站内容不足,于是决定采取增加BLOG的策略。但,天下之大,B
- 站长网今天接到一位站长紧急求助,说其所租用某著名IDC的一台服务器被关闭,连数据也不给转。经过站长网与其客服联系过后得知,其所在的服务器被查
- 目前在中文搜索引擎领域,国内的搜索引擎已经和国外的搜索引擎效果上相差不远。但是SWJ认为其技术能力等方面还是相差国外先进水平有一定的距离 不
- 首先,你的拥有一个有泛域名解析的顶级域名,例如: domain.com其次,在 httpd.conf 中打开 mod_rewrite之后,在
- 在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的In
- site是多数搜索引擎支持的高级语法。它的作用是缩写搜索范围,只在指定的网域中查找。网域可分为下面三种:1、特定的域名类型: 如cn、uk、
- 大型网站优化,是很多seoer喜欢的工作,作为媒体型的大型网站企业,往往有专职的美工程序,专职的编辑团队,经过seoer合理的seo建议,往
- 中国领先的社区平台与服务提供商康盛创想(Comsenz)旗下核心产品Discuz!新版正式发布。全新推出的Discuz! 7.2版本从用户注
- 刚好青云讲了些“007功能”,好像还挺有争议。有争议是好事,有争议才说明这些想法既不是人人皆知的常识,也不是明显没有价值的谬论,而是一个值得
- 阻止隐形杀手入侵 随着计算机及网络应用的扩展,电脑信息安全所面临的危险和已造成的损失也在成倍地增长,特别是各种黑客的增多,一些个人用户也时常
- 原创文章在提高网站权重上有着重要的作用,除了一些互动型的网站以外绝大多数的个人网站都是靠采集来添加网站数据。即使是手动添加文章,标题修改了,
- 有用户问GoDaddy如何添加一个能够访问受保护的目录的用户呢?其实很简单的,几步就ok了啊!1. 在File Manager 的Set P
- 写写自己的故事,在这里一个月挣八千实在不值一提,只是希望给一些新站长,尤其想做SOHO的站长一点参考,希望多多交流,共建和谐网络,同奔小康生
- Cherokee 号称是目前最快的 Web 服务器软件,在性能上,甚至比 Nginx 还略胜一筹。与 Apache、Lighttp
- godaddy最新25%以上优惠码,30%优惠码:gdz127dc (产品通用消费满100美元可用)godaddy最新25%以上优惠码,29
- 软文写作最常遭遇问题:网络营销者、网站站长、文案写作者、销售人员最头疼的问题常常是不知道该写些什么,缺乏软文写作的思路和方向,本次,我们以实