




已阅读5页,还剩17页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
Windows 2003网站安全权限设置指南Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可,基于IIS Web服务器软件的网站数量也越来越多。 通常情况下,高校的大多数服务器会由技术力量相对雄厚的网络中心等IT资源部门运维管理。而网站程序的制作则由各单位、各部门自主负责,少数用户单位会自主开发,或者请专业的IT公司代为开发。更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。因此,各网站程序的安全性参差不齐。在这种情况下,如果不对服务器的默认安全权限进行调整,将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。 最常遇到的情况是:一台Windows 2003服务器上运行多个网站,其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站取得权限,上传网页木马,得到了一个Web SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有Web站点的源文件,往源文件里加入js和iframe恶意代码。此时那些没有安装反病毒软件的访客,浏览这些页面时便会感染上病毒,不仅引来用户的严重不满和投诉,同时也使学校的形象严重受损。 为了避免类似事件的发生,我们有必要分开部署网站和数据库。通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。但是,仅启用以上的安全措施还远远不够,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限作出严格的控制,实现各网站之间权限的隔离,方法如下: 在Web服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。 2.在IIS管理控制台中,创建若干应用程序池,并分别为每个程序池分配不同的安全性用户。 3.将各个网站分配到相应的应用程序池。如果网站数目不多,可以一个网站分配一个应用程序池。 如果网站数目较多,则可以采用分组的形式,组内网站则共处同一应用程序池。 4.更改网站的匿名访问用户。 5.设置网站目录及其文件的安全权限。 本文将通过实例来详细介绍上面的设置方法: 我们的服务器运行着三个网站 http/ http/ http/ 现在我们想为这三个网站分配不同的权限,实现各个网站之间的隔离。于是我们做了如下的规划: (1)首先创建三个用户IISWK_001、IISWK_002和IISWK_003,分别作为网站、和应用程序池的安全性用户; (2)接着创建三个用户IUSR_001、IUSR_002和IUSR_003,分别作为这三个网站的匿名访问帐户; (3)最后我们对这三个网站的目录权限进行调整,比如网站根目录只对IISWK_001和IUSR_001用户开读取权限,而网站根目录只对IISWK_002和IUSR_002用户开读取权限,从而实现了各网站之间权限的隔离。 为达到上述目标,我们进行如下设置: 1. 创建若干个系统用户,分别作IIS6的应用程序池安全性用户和网站匿名访问帐户。 (1) 创建IIS6的应用程序池安全性用户: 首先创建三个用户IISWK_001、IISWK_002和IISWK_003,分别作为网站、和应用程序池的安全性用户。 右击“我的电脑”“管理”“系统工具”“本地用户和组”右击“用户”“新用户” 分别添加IISWK_001、IISWK_002和IISWK_003这三个用户,请保存好相关用户的密码,下面将会用到。 同时设置“用户不能更改密码”,“密码永不过期”等相关属性,确保帐号的有效性。 请注意,IISWK_001、IISWK_002和IISWK_003帐号创建完毕后,还必须进行以下的设置: 赋予这三个用户写入和修改%SystemRoot%Temp目录的权限(例如CwindowsTemp目录); 将这三个用户从Users组中删除,同时加入IIS_WPG组。 以上二步是确保应用程序池以及 等程序的正常运行,避免访问页面时报错提示”Service Unavailable”。 (2) 创建三个网站的匿名访问帐户: IUSR_001、IUSR_002和IUSR_003,同时删除其隶属于Users组的权限。如组图2。 2.在IIS管理控制台中,创建若干应用程序池,并分别为每个程序池分配不同的安全性用户。 下面为网站创建新的应用程序池IISWK_001,并对进行相关的配置: 打开IIS管理控制台,右击“应用程序池”“新建”“应用程序池”,在出现的“添加新应用程序池”窗口中输入应用程序池ID IISWK_001,如组图3所示: 接着右击所创建的应用程序池IISWK_001,选择“属性”“标识”,在应用程序池标识处,选择“配置”,并点击其右边的“浏览”按钮,查找到IISWK_001用户,确认并输入IISWK_001用户的密码和确认密码。如组图4所示: 3.将网站分配到相应的应用程序池。 在IIS管理控件台中,右击打开网站属性,切换到“主目录”标签,在应用程序池下拉菜单处,选择IISWK_001应用程序池,如组图5所示: 4.更改网站的匿名访问用户。 在IIS管理控件台中,右击打开网站属性,切换到“目录安全性”标签,点击“编辑”按钮,在身份认证方法窗口中,点击“浏览”按钮,选择步骤2所创建的用户IUSR_001用户,输入密码和确认密码,如组图6所示: 5.设置网站目录及其文件的安全权限。 限于篇幅问题,本文将注重网站目录权限的设置,而其他目录的安全权限设置在此处只作简单介绍。 (1) 删除各逻辑分区目录下的Everyone 用户和Users用户组。 (2) CDocuments and SettingsAll Users CWINDOWSsystem32config CProgram Files等目录 以及CWINDOWSsystem32 目录下常用的如cmd.exe、net.exe、reg.exe等管理工具,权限都有必要调整。删除Everyone和Users组的访问权限。 回到正题,对网站的根目录,做如下的安全设置: 保留Administrators用户组和System用户组的完全控制权限,删除其他所有用户的权限。 然后再对IISWK_001和IUSR_001开放以下三个权限:读取和运行、列出文件夹目录、读取如组图7所示。 然后对根目录下那些需要开放写入和修改权限的目录进行更改:开放IISWK_001和IUSR_001的写入权限和修改权限。 如本例中的数据库目录Database和上传目录Upload,应该开放IISWK_001和IUSR_001的写入和修改权限(如组图8所示),这样网站便可以正常运行asp、等动态程序了。 按照同样方法对网站根目录开放IISWK_002和IUSR_002的读取访问权限,而其下需要修改权限的目录则开放IISWK_002和IUSR_002的写入和修改权限;对网站根目录开放IISWK_003和IUSR_003的读取访问权限,其下需要修改权限的目录则开放IISWK_003和IUSR_003的写入和修改权限。至于Windows 2003文件安全权限的更高级用法,请参考有关的资料,本文不再多作介绍。 配置到此完成。 接下来我们还需要重启上面所创建的所有应用程序池,或者直接重启IIS,否则访问网站时将出现“ Service Unavailable”的错误。 重启IIS的方法: “开始菜单”“运行”输入 iisreset 命令即可。 现在我们可以正常浏览网站了。打开任务管理,查看进程,我们将发现三个w3wp进程的运行用户不再是NETWORK SERVICE,而是上面所创建的IISWK_001、IISWK_002和IISWK_003。 如果想实现批量添加用户,则可根据下面提供的命令,修改成相应的用户名和密码,然后保存为.bat脚本文件即可。 1. 批量添加应用程序池的安全性用户: net user IISWK_001 _Password1 /fullnameIISWK_001 /add /y /expires:never /passwordchgno /activeyes net user IISWK_002 _Password2 /fullnameIISWK_002 /add /y /expiresnever /passwordchgno /activeyes net user IISWK_003 _Password3 /fullnameIISWK_003 /add /y /expiresnever /passwordchgno /activeyes 此处_Password1、_Password2和_Password3为对应用户的密码字段,请记得进行修改。 2. 批量添加网站的匿名访问帐户 net user IUSR_001 _Password1 /fullname:IUSR_001 /add /y /expires:never /passwordchgno /activeyes net user IUSR_002 _Password2 /fullname:IUSR_002 /add /y /expires:never /passwordchgno /activeyes net user IUSR_003 _Password3 /fullname:IUSR_003 /add /y /expires:never /passwordchgno /activeyes 3. 批量将所创建的用户从默认的Users组中删除。 net localgroup users IISWK_001 /delete net localgroup users IISWK_002 /delete net localgroup users IISWK_003 /delete net localgroup users IUSR_001 /delete net localgroup users IUSR_002 /delete net localgroup users IUSR_003 /delete 4. 批量将所创建的应用程序池安全性用户加入IIS_WPG组(参见表2)。 注意,成功添加用户后,记得将所有帐号的属性设定为“密码永不过期”。 Windows2003用户权限设置系统用户:自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组这里可以设置一个 WEB用户的组 把WEB站点用户名加到这个组中盘符 安全访问权限 C:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限D:盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限E:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限f:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限如有其他盘符类推下去.目录安全访问权限c:windowsadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限c:windowssystem32administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限c:windowstempadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限这里要给你的WEB用户组添加权限 要不access就是出现500错误C:WINDOWSsystem32configadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限c:Program Filesadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Program FilesCommon Filesadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限c:Documents and Settingsadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll Usersadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication Dataadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication DataMicrosoftadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication DataMicrosoftHTML Helpadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限禁止系统盘下的EXE文件:net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe些文件都设置成 administrators 完全控制权限使用时恢复权限或删除后刷新Windows 2003网站安全权限设置指南Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可,基于IIS Web服务器软件的网站数量也越来越多。 通常情况下,高校的大多数服务器会由技术力量相对雄厚的网络中心等IT资源部门运维管理。而网站程序的制作则由各单位、各部门自主负责,少数用户单位会自主开发,或者请专业的IT公司代为开发。更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。因此,各网站程序的安全性参差不齐。在这种情况下,如果不对服务器的默认安全权限进行调整,将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。 最常遇到的情况是:一台Windows 2003服务器上运行多个网站,其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站取得权限,上传网页木马,得到了一个Web SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有Web站点的源文件,往源文件里加入js和iframe恶意代码。此时那些没有安装反病毒软件的访客,浏览这些页面时便会感染上病毒,不仅引来用户的严重不满和投诉,同时也使学校的形象严重受损。 为了避免类似事件的发生,我们有必要分开部署网站和数据库。通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。但是,仅启用以上的安全措施还远远不够,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限作出严格的控制,实现各网站之间权限的隔离,方法如下: 在Web服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。 2.在IIS管理控制台中,创建若干应用程序池,并分别为每个程序池分配不同的安全性用户。 3.将各个网站分配到相应的应用程序池。如果网站数目不多,可以一个网站分配一个应用程序池。 如果网站数目较多,则可以采用分组的形式,组内网站则共处同一应用程序池。 4.更改网站的匿名访问用户。 5.设置网站目录及其文件的安全权限。 本文将通过实例来详细介绍上面的设置方法: 我们的服务器运行着三个网站 http/ http/ http/ 现在我们想为这三个网站分配不同的权限,实现各个网站之间的隔离。于是我们做了如下的规划: (1)首先创建三个用户IISWK_001、IISWK_002和IISWK_003,分别作为网站、和应用程序池的安全性用户; (2)接着创建三个用户IUSR_001、IUSR_002和IUSR_003,分别作为这三个网站的匿名访问帐户; (3)最后我们对这三个网站的目录权限进行调整,比如网站根目录只对IISWK_001和IUSR_001用户开读取权限,而网站根目录只对IISWK_002和IUSR_002用户开读取权限,从而实现了各网站之间权限的隔离。 为达到上述目标,我们进行如下设置: 1. 创建若干个系统用户,分别作IIS6的应用程序池安全性用户和网站匿名访问帐户。 (1) 创建IIS6的应用程序池安全性用户: 首先创建三个用户IISWK_001、IISWK_002和IISWK_003,分别作为网站、和应用程序池的安全性用户。 右击“我的电脑”“管理”“系统工具”“本地用户和组”右击“用户”“新用户” 分别添加IISWK_001、IISWK_002和IISWK_003这三个用户,请保存好相关用户的密码,下面将会用到。 同时设置“用户不能更改密码”,“密码永不过期”等相关属性,确保帐号的有效性。 请注意,IISWK_001、IISWK_002和IISWK_003帐号创建完毕后,还必须进行以下的设置: 赋予这三个用户写入和修改%SystemRoot%Temp目录的权限(例如CwindowsTemp目录); 将这三个用户从Users组中删除,同时加入IIS_WPG组。 以上二步是确保应用程序池以及 等程序的正常运行,避免访问页面时报错提示”Service Unavailable”。 (2) 创建三个网站的匿名访问帐户: IUSR_001、IUSR_002和IUSR_003,同时删除其隶属于Users组的权限。如组图2。 2.在IIS管理控制台中,创建若干应用程序池,并分别为每个程序池分配不同的安全性用户。 下面为网站创建新的应用程序池IISWK_001,并对进行相关的配置: 打开IIS管理控制台,右击“应用程序池”“新建”“应用程序池”,在出现的“添加新应用程序池”窗口中输入应用程序池ID IISWK_001,如组图3所示: 接着右击所创建的应用程序池IISWK_001,选择“属性”“标识”,在应用程序池标识处,选择“配置”,并点击其右边的“浏览”按钮,查找到IISWK_001用户,确认并输入IISWK_001用户的密码和确认密码。如组图4所示: 3.将网站分配到相应的应用程序池。 在IIS管理控件台中,右击打开网站属性,切换到“主目录”标签,在应用程序池下拉菜单处,选择IISWK_001应用程序池,如组图5所示: 4.更改网站的匿名访问用户。 在IIS管理控件台中,右击打开网站属性,切换到“目录安全性”标签,点击“编辑”按钮,在身份认证方法窗口中,点击“浏览”按钮,选择步骤2所创建的用户IUSR_001用户,输入密码和确认密码,如组图6所示: 5.设置网站目录及其文件的安全权限。 限于篇幅问题,本文将注重网站目录权限的设置,而其他目录的安全权限设置在此处只作简单介绍。 (1) 删除各逻辑分区目录下的Everyone 用户和Users用户组。 (2) CDocuments and SettingsAll Users CWINDOWSsystem32config CProgram Files等目录 以及CWINDOWSsystem32 目录下常用的如cmd.exe、net.exe、reg.exe等管理工具,权限都有必要调整。删除Everyone和Users组的访问权限。 回到正题,对网站的根目录,做如下的安全设置: 保留Administrators用户组和System用户组的完全控制权限,删除其他所有用户的权限。 然后再对IISWK_001和IUSR_001开放以下三个权限:读取和运行、列出文件夹目录、读取如组图7所示。 然后对根目录下那些需要开放写入和修改权限的目录进行更改:开放IISWK_001和IUSR_001的写入权限和修改权限。 如本例中的数据库目录Database和上传目录Upload,应该开放IISWK_001和IUSR_001的写入和修改权限(如组图8所示),这样网站便可以正常运行asp、等动态程序了。 按照同样方法对网站根目录开放IISWK_002和IUSR_002的读取访问权限,而其下需要修改权限的目录则开放IISWK_002和IUSR_002的写入和修改权限;对网站根目录开放IISWK_003和IUSR_003的读取访问权限,其下需要修改权限的目录则开放IISWK_003和IUSR_003的写入和修改权限。至于Windows 2003文件安全权限的更高级用法,请参考有关的资料,本文不再多作介绍。 配置到此完成。 接下来我们还需要重启上面所创建的所有应用程序池,或者直接重启IIS,否则访问网站时将出现“ Service Unavailable”的错误。 重启IIS的方法: “开始菜单”“运行”输入 iisreset 命令即可。 现在我们可以正常浏览网站了。打开任务管理,查看进程,我们将发现三个w3wp进程的运行用户不再是NETWORK SERVICE,而是上面所创建的IISWK_001、IISWK_002和IISWK_003。 如果想实现批量添加用户,则可根据下面提供的命令,修改成相应的用户名和密码,然后保存为.bat脚本文件即可。 1. 批量添加应用程序池的安全性用户: net user IISWK_001 _Password1 /fullnameIISWK_001 /add /y /expires:never /passwordchgno /activeyes net user IISWK_002 _Password2 /fullnameIISWK_002 /add /y /expiresnever /passwordchgno /activeyes net user IISWK_003 _Password3 /fullnameIISWK_003 /add /y /expiresnever /passwordchgno /activeyes 此处_Password1、_Password2和_Password3为对应用户的密码字段,请记得进行修改。 2. 批量添加网站的匿名访问帐户 net user IUSR_001 _Password1 /fullname:IUSR_001 /add /y /expires:never /passwordchgno /activeyes net user IUSR_002 _Password2 /fullname:IUSR_002 /add /y /expires:never /passwordchgno /activeyes net user IUSR_003 _Password3 /fullname:IUSR_003 /add /y /expires:never /passwordchgno /activeyes 3. 批量将所创建的用户从默认的Users组中删除。 net localgroup users IISWK_001 /delete net localgroup users IISWK_002 /delete net localgroup users IISWK_003 /delete net localgroup users IUSR_001 /delete net localgroup users IUSR_002 /delete net localgroup users IUSR_003 /delete 4. 批量将所创建的应用程序池安全性用户加入IIS_WPG组(参见表2)。 注意,成功添加用户后,记得将所有帐号的属性设定为“密码永不过期”。 Windows2003用户权限设置系统用户:自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组这里可以设置一个 WEB用户的组 把WEB站点用户名加到这个组中盘符 安全访问权限 C:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限D:盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限E:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限f:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限如有其他盘符类推下去.目录安全访问权限c:windowsadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限c:windowssystem32administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限c:windowstempadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限这里要给你的WEB用户组添加权限 要不access就是出现500错误C:WINDOWSsystem32configadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限c:Program Filesadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Program FilesCommon Filesadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限c:Documents and Settingsadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll Usersadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication Dataadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication DataMicrosoftadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限C:Documents and SettingsAll UsersApplication DataMicrosoftHTML Helpadministrators(组) 完全控制权限、system(内置安全主体) 完全控制权限禁止系统盘下的EXE文件:net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe些文件都设置成 administrators 完全控制权限使用时恢复权限或删除后刷新Windows2003硬盘权限设置1、系统盘权限设置 C:分区部分: c: administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) system 全部(该文件夹,子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹,子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:Documents and Settings administrators 全部(该文件夹,子文件夹及文件) Power Users (该文件夹,子文件夹及文件) 读取和运行 列出文件夹目录 读取 SYSTEM全部(该文件夹,子文件夹及文件) C:Program Files administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹,子文件夹及文件) 读取和运行 列出文件夹目录 读取 Power Users(该文件夹,子文件夹及文件) 修改权限 SYSTEM全部(该文件夹,子文件夹及文件) TERMINAL SERVER USER (该文件夹,子文件夹及文件) 修改权限 2、网站及虚拟机权限设置(比如网站在E盘) 说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建 了一个guest用户,用户名为vhost1.vhostn并且创建了一个webuser组 ,把所有的vhost用户全部加入这个webuser组里面方便管理 E: Administrators全部(该文件夹,子文件夹及文件) E:wwwsite Administrators全部(该文件夹,子文件夹及文件) system全部(该文件夹,子文件夹及文件) service全部(该文件夹,子文件夹及文件) E:wwwsitevhost1 Administrators全部(该文件夹,子文件夹及文件) system全部(该文件夹,子文件夹及文件) vhost1全部(该文件夹,子文件夹及文件) 3、数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限 比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限 4、其它地方的权限设置 请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许administrators访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe Windows Server2003防木马权限设置 小编网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢! 一、系统的安装 、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 、IIS6.0的安装 开始菜单控制面板添加或删除程序添加/删除Windows组件 应用程序 ASP.NET(可选) |启用网络 COM+ 访问(必选) |Internet 信息服务(IIS)Internet 信息服务管理器(必选) |公用文件(必选) |万维网服务Active Server pages(必选) |Internet 数据连接器(可选) |WebDAV 发布(可选) |万维网服务(必选) |在服务器端的包含文件(可选) 然后点击确定下一步安装。(具体见本文附件1) 、系统补丁的更新 点击开始菜单所有程序Windows Update 按照提示进行补丁的安装。 、备份系统 用GHOST备份系统。 、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。 6、先关闭不需要的端口 开启防火墙 导入IPSEC策略 在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS(S)。在高级选项里,使用Internet连接防火墙,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。 修改3389远程连接端口 修改注册表. 开始-运行-regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) 注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口 修改完毕.重新启动服务器.设置生效。二、用户安全设置 1、禁用Guest账号 在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。 2、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3、把系统Administrator账号改名 大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。 4、创建一个陷阱用户 什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。 5、把共享文件的权限从Everyone组改成授权用户 任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。 6、开启用户策略 使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选) 7、不让系统显示上次登录的用户名 默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。 密码安全设置 1、使用安全密码 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。 2、设置屏幕保护密码 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。 3、开启密码策略 注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。 4、考虑使用智能卡来代替密码 对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。三、系统权限的设置 、磁盘权限 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全 控制权限 另将System32cmd.exe、、ftp.exe转移到其他目录或更名 Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。 删除c:inetpub目录 、本地安全策略设置 开始菜单管理工具本地安全策略 A、本地策略审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略用户权限分配 关闭系统:只有Administrators组
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 杭州地铁运营有限公司招聘考试真题2024
- 中国粘胶产品项目投资计划书
- 宠物类目考试题及答案
- 抵货款协议书
- 中国核级海绵锆项目商业计划书
- 宁夏烟草真题2025
- 焊工初级考试试题及答案
- 2024年青海省能源发展有限责任公司招聘真题
- 中国研磨剂项目投资计划书
- 2025年无废城市可行性研究报告
- 第4课《社会主义基本经济制度》第三框《社会主义市场经济体制》课件(高教版2023·基础模块)
- 抖音来客商家门店经营
- MOOC 社会心理学-西安交通大学 中国大学慕课答案
- 食堂厨师团队外包项目实施方案
- 2024年苏州职业大学高职单招(英语/数学/语文)笔试历年参考题库含答案解析
- 单细胞基因组学与转录组学分析
- 浅谈供应商沟通技巧课件
- 幼儿园冬季教职工安全培训
- 高中新外研版单词总表(必修123+选修1234)
- 大数据与社交媒体
- 小区业主改动入户门申请书范本
评论
0/150
提交评论