windows2003）服务器安全设置篇（3-1）-入侵方法介绍端口限制磁盘权限设置.docVIP

(1)服务器安全设置篇(3-1) - 入侵方法介绍??端口限制??磁盘权限设置 (2)服务器安全设置篇(3-2) - 注册表修改??删除不安全组件??禁用无关服务(3)服务器安全设置篇(3-3) - 网站WEB目录权限??SQL SERVER2000设置??(4)服务器安全设置篇(3-4) - 备份??杀毒??审计篇外话:??这么久,都没有写下去了,,实在不好意思,呵呵,,因为比较忙,,写这个抓图也累..?????? 现在得赶紧写完2003的,,因为过段时间,我就会放WINDOWS SERVER 2008下载了,到时候可又得忙着写WINDOWS 2008的教程了,,象IIS 7等等的..??????????????????????????????????????????????????????????--装饭的桶好了,废话少说,开始吧.上篇服务器应用安装篇已说完了,至于在WINDOWS 2003上安装Apache+Servlet+JSP等运行环境的这个我就没必要说的,毕竟用的人,是少之又少.能常入侵,,也就是几个环节,,要作出对应的安全设置,,保障服务器的安全当然,这个必须是你的程序也是相对安全的,要不就算你的服务器做得怎么好,密码设了DFWR#34d43dfwadfdf/.==//++59978..df,5.@$^%D.这样的密码,也是没用的..开始正题吧,,要做好WINDOWS 的安全,,最要紧的是几方面:1,端口限制2.权限限制3,关闭一些危险的服务和组件4.包过滤5,策略审计做好服务器安全?先要做什么?当然先要知道,别人是怎么入侵的呀,你不知道怎么个入侵,你怎么做防范??先来看看入侵的方式:(别怪我罗嗦,呵呵)1,扫描你的端口..(安全要做的是限制端口)2.下载你的包,(安全要做的是过滤相应的包,对了,这个包,是不能吃的!别想着吃,我现在比你更饿~~~)3.上传文件(安全要做的是.限制上传木马后门等程序,限制运行EXE等等)4,WEBSHELL权限(第三部上传文件没限好的话,被人上传了木马,这里,,就要做好限制服务和组件了)5.执行SHELL(设置ACL的权限,不让执行命令,不能让其加上管理员帐户等等)6,登陆3389(这里就要做策略,限制登陆3389,如:只许某一个IP或某一个段登陆3389)7,擦除入侵后的脚印(设置好日志中的审计,让他删也删不了)大概也就是这些方方面面(别叫我教你怎么去搞别人..我是好人~~~^V^)好了,,废话讲完,,开始实践!!!!!我自己做例子.安装好系统,WINDOWS 2003 SP2,这里可以下载:/article.asp?id=152装好前面我说的一大堆什么IIS?? SERV-U??SQL2000??PHP??MYSQL这些东西.一般人,也就是用这些服务吧???1,本地安全策略或者网卡那里做端口限制本地安全策略:外-本地 80外-本地 20外-本地 21外-本地 PASV所用到的一些端口(SERV-U,一般开放9000-9049这50个端口)外-本地 3389然后按照具体情况.打开SQL SERVER和MYSQL的端口外-本地 1433外-本地 3306本地-外 80除了明确允许的一律阻止.这个是安全规则的关键.外-本地 所有协议 阻止网卡端口限制:img src=attachments/month_0703/k200731715121.jpg border=0 alt=/填写相应的TCP端口,如WEB用到80端口,SERV-U用到21端口,远程桌面用3389端口,SQLSERVER开放外网连接,用到1433端口,MYSQL开放远程连接,用到3306端口等,切记:如果是开了远程,一定要开3389端口啊,要不你就连不上远程了..(如果你改了3389端口,就另外填写你改的那个)2,更改默认管理员的帐户名将administrator改名为你好记的名字,密码设长点,,最少8位以上,,大小写,字符等.3,磁盘权限设置..将所有盘符的权限(如C,D,E等),全部改为只有administrators组 全部权限system 全部权限如图:主要设置C盘权限:C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限修改C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限C:\WINDOWS\Temp 开放Ev