windows server服务器配置文档

一、操作系统的安装我这里说的操作系统以Windows2000为例，高版本的Windows也有类似功能。格式化硬盘时候，必须格式化为NTFS的，绝对不要使用FAT32类型。C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他用户删除，E盘放网站，如果只有一个网站，就设置Administrator和System完全控制，Everyone读取，如果网站上某段代码必须完成写操作，这时再单独对那个文件所在的文件夹权限进行更改。系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，在安装IIS的过程中，只安装最基本必要的功能，那些不必要的危险服务千万不要安装，例如：FrontPage2000服务器扩展，Internet服务管理器（HTML），FTP服务，文档，索引服务等等。二、网络安全配置网络安全最基本的是端口设置，在“本地连接属性”，点“Internet协议（TCP/IP）”，点“高级”，再点“选项”-“TCP/IP筛选”。仅打开网站服务所需要使用的端口，配置界面如下图。进行如下设置后，从你的服务器将不能使用域名解析，因此上网，但是外部的访问是正常的。这个设置主要为了防止一般规模的DDOS攻击。三、安全模板设置运行MMC，添加独立管理单元“安全配置与分析”，导入模板basicsv.inf或者securedc.inf，然后点“立刻配置计算机”，系统就会自动配置“帐户策略”、“本地策略”、“系统服务”等信息，一步到位，不过这些配置可能会导致某些软件无法运行或者运行出错。四、WEB服务器的设置以IIS为例，绝对不要使用IIS默认安装的WEB目录，而需要在E盘新建立一个目录。然后在IIS管理器中右击主机-属性-服务编辑-主目录配置-应用程序映射，只保留asp和asa，其余全部删除。五、ASP的安全在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是非常重要的。ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能，除了FSO之外，其他的大多可以直接禁用。WScript.Shell组件使用这个命令删除：regsvr32WSHom.ocx/uWScript.Network组件使用这个命令删除：regsvr32wshom.ocx/uShell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令：caclsC：\WINNT\system32\shell32.dll/e/dguests禁止guests用户执行cmd.exe的命令是：caclsC：\WINNT\system32\Cmd.exe/e/dguestsFSO组件的禁用比较麻烦，如果网站本身不需要用这个组件，那么就通过RegSrv32scrrun.dll/u命令来禁用吧。如果网站本身也需要用到FSO，那么请参看这篇文章。另外，使用微软提供的URLScanTool这个过滤非法URL访问的工具，也可以起到一定防范作用。当然，每天备份也是一个好习惯一:建立一个袖珍型的IIS,从而将风险隆到最低针对一般用户来说,IIS一些额外组件根本没有多大用处,那我们就可以对IIS进行一次大瘦身,可以北朝鲜以下组件拉入黑名单:Internet服务器(HTML)是基于WEB的IIS服务器管理页面,一般情况下不应通过WEB进行管理,建议卸掉;样本页面和脚本有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,这不是好事情'如果不打算使用服务器转发邮件和提供新闻组服务,就删除SMTP和NNTP这些项目,否则会因为它们的漏洞代来新的不安全,还有一个是INTERNET打印,INTERNET打印是WIN2K中的一个新特性,它提供通过INTERNET将打印作业题交给打印机的方式,但是由于网络上的打印机是通过一个WEB页面进行访问并管理的,所以也就使系统增加许多可以受到利用的可能性,还有一个就是要把IIS管理器中除必须之外的任何无用映射,一般性况下只保留.ASP就可以啦,其它的都可以删掉地.二:权限设置的问题IIS是以NTFS文件系统为平台,FAT文件系统只能提供共享级安全,安装IIS时一定要注意不要安装在系统分区上,那样会使系统文件与IIS同样面临着非法访问,容易使黑客侵入系统分区,一般的方法是打开IIS管理器,选择:主目录选项卡-----选中虚拟目录的目录属性进行设置.一般性况下可以只在脚本资源方问,日志访问,读取,索引此资源,在下面的应用程序设置:应用程序名-----默认应用程序执行许可-------纯脚本应用程序保护---中(共用的)三:关于ASP木马的防范设置IUSR_MACHINE的用户权限.加强主机的IIS配置,ASP是IIS的默认脚本,使用的是IUSR_MACHINE的权限,所以我们只要这样设置:cacls%systemroot%/system32/cmd.exe/E/DIUSR_MACHINEcacls%systemroot%/system32/dllcache/cmd.exe/E/DIUSR_MACHINE这样就可以成功限制IUSR_MACHINE的权限,限制其访问系统的CMD.EXE,那些调用CMD.EXE的ASP木马也就无能为力啦!!呵呵,还要这个就是你必须在注册表中查找wscript.shellshell.applicationshell.application.1这三项键值来改名或者删除,这样就可以防来自ASP脚本木马的威胁啦哦好啦基本的都说完啦!!希望对大家有用哈!!Win2003Server的安全性较之Win2K确实有了很大的提高，但是用Win2003Server作为服务器是否就真的安全了？如何才能打造一个安全的个人Web服务器？下面我们简单介绍一下……一、WindowsServer2003的安装1、安装系统最少两需要个分区，分区格式都采用NTFS格式2、在断开网络的情况安装好2003系统3、安装IIS，仅安装必要的IIS组件（禁用不需要的如FTP和SMTP服务）。默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项：Internet信息服务管理器；公用文件；后台智能传输服务(BITS)服务器扩展；万维网服务。如果你使用FrontPage扩展的Web站点再勾选：FrontPage2002ServerExtensions4、安装MSSQL及其它所需要的软件然后进行Update。5、使用Microsoft提供的MBSA（MicrosoftBaselineSecurityAnalyzer）工具分析计算机的安全配置，并标识缺少的修补程序和更新。下载地址：见页末的链接二、设置和管理账户1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。三、网络服务安全管理1、禁止C$、D$、ADMIN$一类的缺省共享打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为02、解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的服务，以下为建议选项ComputerBrowser:维护网络计算机更新，禁用DistributedFileSystem:局域网管理共享文件，不需要禁用Distributedlinktrackingclient：用于局域网更新连接信息，不需要禁用Errorreportingservice：禁止发送错误报告MicrosoftSerch：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide：telnet服务和MicrosoftSerch用的，不需要禁用PrintSpooler：如果没有打印机可禁用RemoteRegistry：禁止远程修改注册表RemoteDesktopHelpSessionManager：禁止远程协助四、打开相应的审核策略在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选择。推荐的要审核的项目是：登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败五、其它安全相关设置1、隐藏重要文件/目录可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为02、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为SynAttackProtect，值为24.禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface新建DWORD值，名为PerformRouterDiscovery值为05.防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects值设为06.不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为IGMPLevel值为07、禁用DCOM：运行中输入Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式CO