电信局网管的服务器安全配置

1我在电信局做网管，原来管理过三十多台服务器，从多年积累的经验，写出以下详细的Windows2003服务系统的安全方案,我应用以下方案，安全运行了二年，无黑客有成功入侵的记录，也有黑客入侵成功的在案，但最终还是没有拿到肉鸡的最高管理员身份,只是可以浏览跳转到服务器上所有客户的网站。服务器安全设置IIS6.0的安装开始菜单—控制面板—添加或删除程序—添加/删除Windows组件应用程序———ASP.NET（可选）|——启用网络COM+访问（必选）|——Internet信息服务(IIS)———Internet信息服务管理器（必选）|——公用文件（必选）|——万维网服务———ActiveServerpages（必选）|——Internet数据连接器（可选）|——WebDAV发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在“本地连接”打开Windows2003自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)IIS(Internet信息服务器管理器)在主目录选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullControl)。在IIS6.0-本地计算机-属性-允许直接编辑配置数据库在IIS中属性-主目录-配置-选项中。在网站把”启用父路径“前面打上勾在IIS中的Web服务扩展中选中ActiveServerPages，点击“允许”优化IIS6应用程序池1、取消“在空闲此段时间后关闭工作进程（分钟）”2、勾选“回收工作进程（请求数目）”3、取消“快速失败保护”解决SERVER2003不能上传大附件的问题在“服务”里关闭iisadminservice服务。找到windows\system32\inetsrv\下的metabase.xml文件。找到ASPMaxRequestEntityAllowed把它修改为需要的值（可修改为20M即：20480000）存盘，然后重启iisadminservice服务。解决SERVER2003无法下载超过4M的附件问题在“服务”里关闭iisadminservice服务。2找到windows\system32\inetsrv\下的metabase.xml文件。找到AspBufferingLimit把它修改为需要的值（可修改为20M即：20480000）存盘，然后重启iisadminservice服务。超时问题解决大附件上传容易超时失败的问题在IIS中调大一些脚本超时时间，操作方法是：在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，设置脚本超时时间为：300秒(注意：不是Session超时时间)解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题适当增加会话时间(Session)为60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--选项”，就可以进行设置了(Windows2003默认为20分钟)修改3389远程连接端口[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]PortNumber=dword:0000端口号[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]PortNumber=dword:0000端口号设置这两个注册表的权限,添加“IUSR”的完全拒绝禁止显示端口号本地策略---用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务允许登陆：只加入Administrators,RemoteDesktopUsers组，其他全部删除在安全设置里本地策略-用户权利分配，通过终端服务拒绝登陆加入ASPNETIUSR_IWAM_NETWORKSERVICE(注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了)在安全设置里本地策略-安全选项网络访问:可匿名访问的共享;网络访问:可匿名访问的命名管道;网络访问:可远程访问的注册表路径;网络访问:可远程访问的注册表路径和子路径;将以上四项全部删除不允许SAM账户的匿名枚举更改为已启用不允许SAM账户和共享的匿名枚举更改为已启用;网络访问:不允许存储网络身份验证的凭据或.NETPassports更改为已启用;网络访问.限制匿名访问命名管道和共享,更改为已启用;将以上四项通通设为“已启用”计算机管理的本地用户和组禁用终端服务(TsInternetUser),SQL服务(SQLDebugger),SUPPORT_388945a0禁用不必要的服务scconfigAeLookupSvcstart=AUTO3scconfigAlerterstart=DISABLEDscconfigALGstart=DISABLEDscconfigAppMgmtstart=DEMANDscconfigaspnet_statestart=DEMANDscconfigAudioSrvstart=DISABLEDscconfigBITSstart=DEMANDscconfigBrowserstart=DEMANDscconfigCiSvcstart=DISABLEDscconfigClipSrvstart=DISABLEDscconfigclr_optimization_v2.0.50727_32start=DEMANDscconfigCOMSysAppstart=DEMANDscconfigCryptSvcstart=AUTOscconfigDcomLaunchstart=AUTOscconfigDfsstart=DEMANDscconfigDhcpstart=AUTOscconfigdmadminstart=DEMANDscconfigdmserverstart=AUTOscconfigDnscachestart=AUTOscconfigERSvcstart=DISABLEDscconfigEventlogstart=AUTOscconfigEventSystemstart=AUTOscconfighelpsvcstart=DISABLEDscconfigHidServstart=AUTOscconfigHTTPFilterstart=DEMANDscconfigIISADMINstart=AUTOscconfigImapiServicestart=DISABLEDscconfigIsmServstart=DISABLEDscconfigkdcstart=DISABLEDscconfiglanmanworkstationstart=DISABLEDscconfigLicenseServicestart=DISABLEDscconfigLmHostsstart=DISABLEDscconfigMessengerstart=DISABLEDscconfigmnmsrvcstart=DISABLEDscconfigMSDTCstart=AUTOscconfigMSIServerstart=DEMANDscconfigMSSEARCHstart=AUTOscconfigMSSQLSERVERstart=AUTOscconfigMSSQLServerADHelperstart=DEMANDscconfigNetDDEstart=DISABLEDscconfigNetDDEdsdmstart=DISABLEDscconfigNetlogonstart=DEMANDscconfigNetmanstart=DEMANDscconfigNlastart=DEMANDscconfigNtFrsstart=DEMANDscconfigNtLmSspstart=DEMANDscconfigNtmsSvcstart=DEMAND4scconfigPlugPlaystart=AUTOscconfigPolicyAgentstart=AUTOscconfigProtectedStoragestart=AUTOscconfigRasAutostart=DEMANDscconfigRasManstart=DEMANDscconfigRDSessMgrstart=DEMANDscconfigRemoteAccessstart=DISABLEDscconfigRemoteRegistrystart=DISABLEDscconfigRpcLocatorstart=DEMANDscconfigRpcSsstart=AUTOscconfigRSoPProvstart=DEMANDscconfigsacsvrstart=DEMANDscconfigSamSsstart=AUTOscconfigSCardSvrstart=DEMANDscconfigSchedulestart=AUTOscconfigseclogonstart=AUTOscconfigSENSstart=AUTOscconfigSharedAccessstart=DISABLEDscconfigShellHWDetectionstart=AUTOscconfigSMTPSVCstart=AUTOscconfigSpoolerstart=DISABLEDscconfigSQLSERVERAGENTstart=AUTOscconfigstisvcstart=DISABLEDscconfigswprvstart=DEMANDscconfigSysmonLogstart=AUTOscconfigTapiSrvstart=DEMANDscconfigTermServicestart=AUTOscconfigThemesstart=DISABLEDscconfigTlntSvrstart=DISABLEDscconfigTrkSvrstart=DISABLEDscconfigTrkWksstart=AUTOscconfigTssdisstart=DISABLEDscconfigUMWdfstart=DEMANDscconfigUPSstart=DEMANDscconfigvdsstart=DEMANDscconfigVSSstart=DEMANDscconfigW32Timestart=AUTOscconfigW3SVCstart=AUTOscconfigWebClientstart=DISABLEDscconfigWinHttpAutoProxySvcstart=DEMANDscconfigwinmgmtstart=AUTOscconfigWmdmPmSNstart=DEMANDscconfigWmistart=DEMANDscconfigWmiApSrvstart=DEMANDscconfigwuauservstart=DISABLEDscconfigWZCSVCstart=DISABLED5scconfigxmlprov