Windows Server 2003 系統(tǒng)配置方案
由于近短ASP木馬問題嚴(yán)重/很多主機(jī)租用朋友和主機(jī)管理員想我詢問WIN2003的一些安全配置措施,現(xiàn)我做拉初步整理。希望對(duì)大家有所幫助。有不足之處請(qǐng)大家補(bǔ)上。
一、系統(tǒng)的安裝
1、按照Windows2003安裝光盤的提示安裝,默認(rèn)情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。
2、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應(yīng)用程序 ———ASP.NET(可選)
|——啟用網(wǎng)絡(luò) COM+ 訪問(必選)
|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(必選)
|——公用文件(必選)
|——萬維網(wǎng)服務(wù)———Active Server pages(必選)
|——Internet 數(shù)據(jù)連接器(可選)
|——WebDAV 發(fā)布(可選)
|——萬維網(wǎng)服務(wù)(必選)
|——在服務(wù)器端的包含文件(可選)
然后點(diǎn)擊確定—>下一步安裝。
3、系統(tǒng)補(bǔ)丁的更新
點(diǎn)擊開始菜單—>所有程序—>Windows Update
按照提示進(jìn)行補(bǔ)丁的安裝。
4、備份系統(tǒng)
用GHOST備份系統(tǒng)。
5、安裝常用的軟件
例如:殺毒軟件、解壓縮軟件等;安裝之后用GHOST再次備份系統(tǒng)。
二、系統(tǒng)權(quán)限的設(shè)置
1、磁盤權(quán)限
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
2、本地安全策略設(shè)置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對(duì)象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、 本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)拒絕登陸:加入Guests、User組
通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項(xiàng)
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個(gè)帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶
3、禁用不必要的服務(wù)
開始菜單—>管理工具—>服務(wù)
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的,默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動(dòng)。
4、啟用防火墻
桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級(jí)—>(選中)Internet 連接防火墻—>設(shè)置
把服務(wù)器上面要用到的服務(wù)端口選中
例如:一臺(tái)WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠(yuǎn)程桌面管理(3389)
在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠(yuǎn)程桌面”前面打上對(duì)號(hào)
如果你要提供服務(wù)的端口不在里面,你也可以點(diǎn)擊“添加”銨鈕來添加,具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。
然后點(diǎn)擊確定。注意:如果是遠(yuǎn)程管理這臺(tái)服務(wù)器,請(qǐng)先確定遠(yuǎn)程管理的端口是否選中或添加。
ASP虛擬主機(jī)安全檢測(cè)探針V1.5
走出Windows權(quán)限迷魂陣
在電腦應(yīng)用中經(jīng)常會(huì)看到"權(quán)限"這個(gè)詞,特別是Windows 2000/XP被越來越多的朋友裝進(jìn)電腦后,常常會(huì)有讀者問,什么是權(quán)限呢?它到底有什么用?下面我們將用幾個(gè)典型實(shí)例為大家講解windows中的權(quán)限應(yīng)用,讓你不僅可以在不安裝任何軟件的情況下,限制別人訪問你的文件夾、指定用戶不能使用的程序,而且還有來自微軟內(nèi)部的加強(qiáng)系統(tǒng)安全的絕招。