windows 203系统目前最完善最完美的安全权限方案.docVIP

windows 2003系统目前最完善最完美的安全权限方案（一） 我做安全也有3年了，遇到大大小小的入侵事件，其实那都是自己服务器基本权限做的不够，很多都在找三方软件，其实在微软服务器里面还有很多的很好的策略，我好多的朋友都是做安全的，他们基本做企业还是做IDC或者是做电子商务，根本没得那么多的安全软件。 微笑在这里说句，服务器权限真的很重要，不要小瞧了，下面我发一个PHP木马给大家自己检测下自己的权限到底做好了么。 在这里 还说一点，安全不是一个人能完善的，还希望大家能多多提出意见，这个是我做的安全设置，也没打那么多的字 ，做到哪里了 copy到了哪里，看的懂的 就没问题，不知道的，希望先百度一下 ，在说怎么样。 大家有什么不懂的地方可以到我的论坛去交流，也同时希望大家把自己的技术发上来，共享下。论坛地址是： 微笑在这里诚邀各位站长和朋友加我一个友情链接。在这里感谢感谢。我的QQ号码是：512720913 加我注明：服务器安全技术 转载本文要带上链接哦！我也辛苦打字上来的，理解理解啦！！ 先是服务器IIS安全设置：（这里是用server 2003的系统做的，） 服务器安全设置  IIS6.0的安装　　 开始菜单—控制面板—添加或删除程序—添加/删除Windows组件　　 应用程序 ———ASP.NET（可选）　　　　　　　|——启用网络 COM+ 访问（必选）　　　　　　　|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）　　　　　　　　|——公用文件（必选）　　　　　　　|——万维网服务———Active Server pages（必选）　　　　　　　|——Internet 数据连接器（可选） 　　　　　　　|——WebDAV 发布（可选）　　　　　　　|——万维网服务（必选）　　　　　　　|——在服务器端的包含文件（可选） 在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)  IIS (Internet信息服务器管理器) 在主目录选项设置以下读 允许写 不允许脚本源访问 不允许目录浏览 建议关闭记录访问 建议关闭索引资源 建议关闭执行权限 推荐选择 “纯脚本”  建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。  在IIS6.0 -本地计算机 - 属性- 允许直接编辑配置数据库在IIS中 属性-主目录-配置-选项中。 在网站把”启用父路径“前面打上勾 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许” 优化IIS6应用程序池　　 1、取消“在空闲此段时间后关闭工作进程（分钟）”　　 2、勾选“回收工作进程（请求数目）”　　 3、取消“快速失败保护” 解决SERVER 2003不能上传大附件的问题　　 在“服务”里关闭 iis admin service 服务。　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。　　 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为20M即　　 存盘，然后重启 iis admin service 服务。 解决SERVER 2003无法下载超过4M的附件问题　　 在“服务”里关闭 iis admin service 服务。　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。　　 找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即　　 存盘，然后重启 iis admin service 服务。 超时问题　　 解决大附件上传容易超时失败的问题　　 在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，　　 设置