Windows2003基本的web服务器安全设置.docVIP

Windows2003基本的web服务器安全设置 基本的服务器安全设置 1、安装补丁 　　安装好操作系统之后，最好能在服务器托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。 　　2、安装杀毒软件 　　至于杀毒软件目前我使用有两款，一款是瑞星，一款是诺顿，瑞星杀木马的效果比诺顿要强，我测试过病毒包，瑞星要多杀出很多，但是装瑞星的话会有一个问题就是会出现ASP动态不能访问，这时候需要重新修复一下，具体操作步骤是： 　　关闭杀毒软件的所有的实时监控，脚本监控。 　　╭═══════════════╮╭═══════════════╮ 　　在Dos命令行状态下分别输入下列命令并按回车（Enter）键： 　　regsvr32 jscript.dll （命令功能：修复Java动态链接库） 　　regsvr32 vbscript.dll （命令功能：修复VB动态链接库） 　　╰═══════════════╯╰═══════════════╯ 　　不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。 　　3、设置端口保护和防火 　　2003的端口屏蔽可以通过自身防火墙来解决，这样比较好，比筛选更有灵活性，桌面—网上邻居—（右键）属性—本地连接—（右键）属性—高级—（选中）Internet 连接防火墙—设置 　　把服务器上面要用到的服务端口选中 　　例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389） 　　在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”前面打上对号 　　　如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，具体参数可以参照系统里面原有的参数。 　　然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。 　　权限设置 　　权限设置的原理 　　?WINDOWS用户，在WINNT系统中大多数时候把权限按用户（組）来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。 　　?NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。 　　?IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户”），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。 　　权限设置 　　磁盘权限 　　系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 　　系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 　　系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 　　系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限 　　系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限 　　4、禁用不必要的服务 　　开始菜单—管理工具—服务 　　Print Spooler 　　Remote Registry 　　TCP/IP NetBIOS Helper 　　Server 　　以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。 　　改名或卸载不安全组件 　　不安全组件不惊人 　　在阿江探针1.9里加入了不安全组件检测功能（其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的），这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。 　　其实，只要做好了上面的权限设置，那么FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。 　　最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。 　　谨慎决定是否卸载一个组件 组件是为了应用而出现的，而不是为