Win2003 Server的安全性较之Win2K确实有了很大的提高,但是用Win2003 Server作为 服务器 是否就真的安全了?如何才能打造一个安全的个人Web服务器?下面我们简单介绍一下
一、Windows Server2003的安装
1、安装系统最少两需要个分区,分区格式都采用NTFS格式
2、在断开网络的情况安装好2003系统
3、安装IIS,仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,双击Internet信息服务(iis),勾选以下选项:
Internet 信息服务管理器;
公用文件;
后台智能传输服务 (BITS) 服务器扩展;
万维网服务。
如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions
4、安装MSSQL及其它所需要的软件然后进行Update。
5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置,并标识缺少的修补程序和更新。下载地址:见页末的链接
二、设置和管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用RuNAS命令。
三、网络服务安全管理
1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0
2、 解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务,以下为建议选项
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote DeskTOP Help Session Manager:禁止远程协助
四、打开相应的审核策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
五、其它安全相关设置
1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWall”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPredirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7、禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
六、配置 IIS 服务:
1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接
如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
下载地址:[爱好者[/url]
七、配置Sql服务器
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:use mastersp_dropextendedproc ‘扩展存储过程名’
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regwriteXp_regremovemultistring
OLE自动存储过程,不需要删除Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop
5、隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
八、如果只做服务器,不进行其它操作,使用IPSec
1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击
添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击完成——点击确定。
2、再在管理IP筛选器表选项下点击
添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的 Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止 ——下一步——完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.
九、建议
如果你按本文去操作,建议每做一项更改就测试一下服务器,如果有问题可以马上撤消更改。而如果更改的项数多,才发现出问题,那就很难判断问题是出在哪一步上了。
十、运行服务器记录当前的程序和开放的端口
1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。
【编辑推荐】
如何架设网站?
看这:个人服务器架设全攻略 :教你如何架设个人服务器----全教程 我们几乎每天都会浏览形形色色的网站来获取各种各样的信息,WWW服务器就是提供此类服务的,目前有很多信息提供商提供WWW服务器架设的付费服务。 其实,我们完全可以自己打造WWW的个人服务器,在网上发布一些个人信息,并且体会做管理员的乐趣。 WWW服务器的架设有很多种方式,下面介绍一些主流的实现方法:1.通过微软提供的IIS目前很大一部分的WWW服务器都架设在微软公司的IIS之上。 它使用的环境为WinNT/2000/XP+Internet Information Service(IIS),相信很多用户现在使用的都是Win2000或WinXP系统,在Win2000 Professional和WinXP系统中,默认的情况下,它们在系统初始安装时都不会安装IIS(目前版本为IIS5.0),因此得将这些组件添加到系统中去。 第一步:IIS的安装A.在控制面板中选择“添加/删除程序”,在出现的对话框中选择“添加/删除Windows组件”(如图1)。 B.在出现的复选框中选择安装Internet信息服务(IIS)(如图2),这一组件约需19MB的空间。 C.点击“下一步”,并将Win2000安装光盘放入光驱,安装程序即可将程序文件复制到硬盘中,点击“结束”即可完成。 第二步:IIS中Web服务器的基本配置IIS中Web服务器的基本配置主要包括如下几部分:A.打开IIS服务器的配置窗口,选择“开始”→“程序”→“管理工具”→“Internet服务管理器”,或者“选择”→“控制面板”→“管理工具”→“Internet服务管理器”也可,打开的窗口如图3。 B.在打开的窗口中鼠标右击“默认Web站点”,选择“属性”菜单。 C.在出现的“默认Web站点属性”窗口中,选择“主目录”标签,用以设置Web内容在硬盘中的位置,默认目录为“C:\\Inetpub\\Wwwroot”,你可根据需要自己设置(如图4)。 D.在属性窗口处选择“文档”标签,设置自己默认的首页网页名称,例如“”,将其添加并移动到列表的最顶端(如图5)。 E.确认默认的Web站点是否已经启动,如果没有可以鼠标右键点击“默认Web站点”,选择“启动”,在打开的IE地址栏中键入本机的IP地址,即可看到自己指定的主页已经开始在Internet上发布了。 这里只是介绍IIS最基本的设置选项,大家还可以按照需要去具体设置上面提到的“默认Web站点属性”,通过它来配置IIS的安全和其他一些参数。 IIS虽然好用,但默认安装的情况下,它也有很多的安全漏洞,包括著名的Unicode漏洞和CGI漏洞,因此在IIS安装完成之后,建议继续在微软公司主页上下载安装它们提供的安全漏洞补丁SP1和SP2。 此外,建议将磁盘的文件系统转换成NTFS格式,安装系统的分区可在系统安装候转换,也可在安装完系统以后用PQMagic等工具进行转换。 2.利用微软的PWSPWS的全称是“Personal Web Server”,字面意思就是个人网页服务器,由微软公司提供,它主要适合于创建小型个人站点,它的配置和使用比较简单,但功能却很强大。 跟IIS的区别是,PWS可以安装在Win9X/Me/NT/2000/XP系统中,因此对Win9X/Me系统来说尤其可贵。 第一步:PWS的安装对Win9X/Me系统来说,在光驱里放入Win98安装光盘,进入光盘的Add-ons\\Pws\\目录,双击命令即可开始安装PWS,安装界面如图6所示。 我们如果需要一些例如ASP等高级功能,还可选择自定义的安装模式,否则直接选择典型安装。 组件安装完成之后,会出现如图7所示的选项来设置WWW服务目录,我们可以视实际情况来设定,建议以缺省目录来安装。 最后选择“完成”并根据提示重新启动计算机后,就可在右下角任务栏看见PWS的图标(如图8)。 这时打开一个IE窗口,在地址栏中输入“”、“”或者“ http:// 你的IP地址”,就可看到PWS的默认页面,表明PWS已经成功运行了。 对于Win2000/XP来说,PWS是作为IIS的一个组件安装的。 如果你是Win9X/Me系统,没有安装PWS的光盘也不要紧,可以去下载PWS的安装软件,安装步骤跟上面差不多。 第二步:PWS的配置双击屏幕右下角的PWS图标,或在菜单中选择相应的程序组来启动“个人Web管理器”(如图9)。 由管理器界面(图9是Win2000中IIS的PWS,因此只有3个选项)可以看出它包括5个部分,可分别管理不同的功能,利用PWS架设自己的WWW服务器一般主要有如下几个步骤。 A.启动PWS。 在PWS的主屏选项处,它又细分为“发布”和“监视”两部分。 首先必须通过点击“启动”按钮来打开PWS的服务。 在这里,你还可以通过“监视”中的内容查看Web站点的一些访问统计信息。 B.设定虚拟目录。 假定你的网页存放在“E:\\Ww\\Homepages\\Homepage”下,首页文件名为“”。 先在图10中选定虚拟目录,单击“添加”按钮,在出现的“添加目录”对话框中(如图11),指定网页所在的驱动器号和目录,这里是“E:\\Ww\\Homepages\\Homepage”,并且为自己的这个虚拟目录设置一个别名,别名可以随便设置,是朋友访问你网站时的目录名称。 安全建议:设置目录的访问权限为“读取”和“脚本”,为安全起见,不要选取“执行”权限。 默认情况下,PWS服务器的根目录是“C:\\Inetpub\\Wwwroot”。 我们如果不想具体来设置虚拟目录,也可将你存放的网页的所有文件拷贝到该目录中,例如:将“E:\\Ww\\Homepages\\Homepage”中所有的文件拷贝到“C:\\Inetpub\\Wwwroot”中即可。 C.设置默认文档。 接下来,为你的虚拟目录设置一个能在默认情况下自动识别的网页文档。 该文档的作用是,当进入本站点时,如没有指定要访问的文档,则服务器自动提供一个默认文档让其访问。 在图10中,选中“启用默认文档”复选框,并在“默认文档”框中,输入自己的首页文档名“”。 安全建议:和上面一样,出于安全的原因,不要选中“允许浏览目录”复选框,以免别人看到整个目录里的所有文件。 D.创建访问记录。 如果我们要监控访问我们页面的游客,还可以在高级中(图11)选择“保存Web站点活动日志”,系统就会自动帮我们记录访问该Web站点的数据,这些数据将记录访问者的IP地址、访问时间和访问内容。 服务器将在“C:\\Windows\\System\\Logfiles”中的文件夹中建立一个名为“”的文件(yy为年份,mm为月份)。 该文件可用文本编辑器查看,也可在DOS窗口中用“Type”命令查看。 经过这样简单的设置,打开IE并输入你自己的IP地址即可看到你发布的主页,无论是否上网都可调试自己的站点。 当然也可以使用一个特殊的IP来检验安装的正确性和回送地址,即或者。 此外,PWS还有其他几个选项用来增强它的功能,主要包括如下两个标签。 A.发布。 这部分主要是提供定制个人主页的发布及编辑文件发布列表的功能,可以将文件发布出去以供别人浏览和下载。 这个过程实际上也是结合了PWS的ASP功能。 此外,这里还可以在定制个人发布主页时创建来宾簿和留言簿,例如,你想将“D:\\Download\\”发布出去,首先选择“发布”,点击下一步按钮,进入“发布向导”,在“发布向导”中填入相应的项目即可(如图12)。 单击“添加”按钮,并点击“下一步”,PWS即提示你“已添加下列文件”。 继续点击“下一步”,默认是选中“将文件加入到发布的列表”,单击“下一步”,即可将要发布的“”文件发布出去了。 打开IE窗口并访问自己的Web站点,就可看到网页上多了个发布文档的链接,其中就含有刚才配置好的发布出去的文件。 站点。 点击“Web站点”即可出现“主页向导”界面,PWS提供了主页、来宾薄和留言本3种页面的模板。 按向导的提示选择好选项,就可出现动态ASP设置页面,可在这里编辑主页、查看来宾簿、打开留言簿,以得到一些反馈信息。
怎么设置网站?
其实,我们完全可以自己打造WWW的个人服务器,在网上发布一些个人信息,并且体会做管理员的乐趣。 WWW服务器的架设有很多种方式,下面介绍一些主流的实现方法: 通过微软提供的IIS 目前很大一部分的WWW服务器都架设在微软公司的IIS之上。 它使用的环境为WinNT/2000/XP+Internet Information Service(IIS),相信很多用户现在使用的都是Win2000或WinXP系统,在Win2000 Professional和WinXP系统中,默认的情况下,它们在系统初始安装时都不会安装IIS(目前版本为IIS5.0),因此得将这些组件添加到系统中去。 第一步:IIS的安装 A.在控制面板中选择“添加/删除程序”,在出现的对话框中选择“添加/删除Windows组件”(如图1)。 B.在出现的复选框中选择安装Internet信息服务(IIS),这一组件约需19MB的空间。 C.点击“下一步”,并将Win2000安装光盘放入光驱,安装程序即可将程序文件复制到硬盘中,点击“结束”即可完成。 第二步:IIS中Web服务器的基本配置 IIS中Web服务器的基本配置主要包括如下几部分: A.打开IIS服务器的配置窗口,选择“开始”→“程序”→“管理工具”→“Internet服务管理器”,或者“选择”→“控制面板”→“管理工具”→“Internet服务管理器”也可,打开的窗口如图3。 B.在打开的窗口中鼠标右击“默认Web站点”,选择“属性”菜单。 C.在出现的“默认Web站点属性”窗口中,选择“主目录”标签,用以设置Web内容在硬盘中的位置,默认目录为“C:\\Inetpub\\Wwwroot”,你可根据需要自己设置(如图4)。 D.在属性窗口处选择“文档”标签,设置自己默认的首页网页名称,例如“”,将其添加并移动到列表的最顶端(如图5)。 E.确认默认的Web站点是否已经启动,如果没有可以鼠标右键点击“默认Web站点”,选择“启动”,在打开的IE地址栏中键入本机的IP地址,即可看到自己指定的主页已经开始在Internet上发布了。 这里只是介绍IIS最基本的设置选项,大家还可以按照需要去具体设置上面提到的“默认Web站点属性”,通过它来配置IIS的安全和其他一些参数。 IIS虽然好用,但默认安装的情况下,它也有很多的安全漏洞,包括著名的Unicode漏洞和CGI漏洞,因此在IIS安装完成之后,建议继续在微软公司主页上下载安装它们提供的安全漏洞补丁SP1和SP2。 此外,建议将磁盘的文件系统转换成NTFS格式,安装系统的分区可在系统安装候转换,也可在安装完系统以后用PQMagic等工具进行转换。
我想在百度建立网页,请问需要怎么做
最主要的步骤是:域名、空间、设计、开发、发布1、注册域名2、租用网站空间如果是个人玩玩,可以找个免费空间网站,但是没有独立的域名。 普通的中小规模商业网站,可以租用个网站虚拟空间,很多空间提供商同时提供域名注册服务。 规模再大的可以整机租,或者用自己的服务器,把域名解析到自己的服务器上。 3、设计专业点的网站都是先用绘图程序做出页面图稿,然后用网页排版程序做成网页如果是个人玩玩,免费空间网站可能只支持静态HTML,到这步就行了。 4、开发商业网站通常采用结合数据库的动态网站程序,这时再要构建数据库,开发网站程序。 5、发布把需要展示的信息内容添加到网站上。
发表评论