Windows2003下Web服务器的建设流程

WebServer建设流程一、安装Windows2000或2003操作系统1、从光盘启动服务器，进入安装界面，根据提示完成安装；注意：Windows2000须安装SP4以上版本；Windows2003须安装SP1以上版本；另外，设置WindowsUpdate实现自动更新；2、设置网络参数；如IDC内网IP为192.168.168.***；子网掩码为255.255.255.224；网关为192.168.168.66；DNS为202.96.134.188、202.96.134.133和61.139.2.69等均可；3、若是Windows2003：用鼠标右键单击“我的电脑”打开系统属性：选中“远程协助”和“远程桌面”两个先项，再点击“确定”；若是Windows2000则需要到“管理工具”中打开“终端服务配置”中启用终端服务；4、在注册表regedit修改远程终端的默认端口，一般将3389改为33892；找到以下键：HKLM/SYSTEM/ControlSet001/Control/TerminalServer/Wds/rdpwd/Tds/tcp下的PortNumber，将其值改为33892；HKLM/SYSTEM/ControlSet001/Control/TerminalServer/WinStations/RDP-Tcp/PortNumber，将其值改为33892；然后重启系统生效；二、安装应用服务1、安装IIS（Internet信息服务），需要Windows系统的安装光盘文件；2、安装SQLserver2000；注意：安装完SQLserver2000后必须马上重启机器并安装其SP4补丁程序；其具体应用请详见“SQLServer2000数据库及用户管理”；3、安装FTP服务；常用的FTP服务器Serv-U，目前最新版本Serv-Uv6.2；4、安装PHP支持（略，详见“Windows+IIS+PHP”及“实现PHP对Mysql的支持”）；5、安装配置MySQL（略，详见“使用PHPMyAdmin管理MySQL”）；三、安全设置(一)、用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。2、限制不必要的用户去掉所有的DuplicateUser用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。3、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。4、把系统Administrator账号改名大家都知道，Windows2000的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。5、创建一个陷阱用户什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图。6、把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。7、开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。8、不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/Dont-DisplayLastUserName”，把REG_SZ的键值改成1。9、禁止建立空连接默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。(二)、密码安全设置1、使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。2、设置屏幕保护密码这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。3、开启密码策略注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。(三)、防木马病毒及系统组件安全设置1、安装杀毒软件2、权限设置的思路要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）3、改名或卸载不安全组件其实，只要做好了上面的权限设置，那么FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。谨慎决定是否卸载一个组件组件是为了应用而出现的，而不是为了不安全而出现的，所有的组件都有它的用处，所以在卸载一个组件之前，你必须确认这个组件是你的网站程序不需要的，或者即使去掉也不关大体的。否则，你只能留着这个组件并在你的ASP程序本身上下工夫，防止别人进来，而不是防止别人进来后SHELL。比如，FSO和XML是非常常用的组件之一，很多程序会用到他们。WSH组件会被一部分主机管理程序用到，也有的打包程序也会用到。(1)、卸载最不安全的组件最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，(以下均以WIN2000为例，如果使用2003，则系统文件夹应该是C:\WINDOWS\)regsvr32/uC:\WINNT\System32\wshom.ocxdelC:\WINNT\System32\wshom.ocxregsvr32/uC:\WINNT\system32\shell32.dlldelC:\WINNT\system32\shell32.dll然后运行一下，WScript.Shell,Shell.application,WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。（2）、改名不安全组件需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失，把这两个注册表项导出来，保存为.reg文件。比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001Shell.application改名为Shell.application_ajiang那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。四、五、