服务器安全配置详解 part one.docx

服务器安全配置详解Auther:wlman操作系统：windows enterprise 2003 环境：iis asp php .net工具包：见图。Part one一、系统的安装和基础配置。安装系统。【这个就不用说了吧】安装iis。分区，盘符。如图：做下解释，为什么要这样化分盘符呢？说明如下：对于服务器而言要有备份盘吧。Sys 代表系统盘。Web代表应用盘。Bak则为备份盘。盘符由自己定义。二、系统远程的打开和端口修改。操作如下:我的电脑-右键-属性-远程。记得勾选，由于是服务器，因此远程必须打开。B，远程端口的修改。两种办法：第一种，手工修改：Cmd，输入regedit打开注册表。进入如下位置：找到portnumber进行修改：然后再进入，上边要选十进制，进驻不能选16进制。找到portnumber进行修改，两部缺一不可。如下：端口由自己定义，这里的65321只是我随便想的一个端口，加完后记得在防火墙添加端口免得远程不能连接。注意：做安全要养成良好习惯，胆大心细才能做好安全，做完每一步都记得想到防火墙。然后重启机器，或者重启服务，在对服务不懂的情况下可以用端口修改工具进行修改，我这里已经有做好的工具，大家不要忘了添加防火墙允许远程端口，这个是重中之重。三、系统更新方式的修改，由于服务器的原因不能随意打开自动更新，因此设置必要方式如下，有重要安全补丁可以打上。四、多余协议的卸载。远程连接，加上端口号，如下：网上邻居-属性-本地连接-属性卸载多余协议，只留下tcpip和qos数据包协议.五、组策略的配置和管理员组的修改。开始 –运行–gpedit.msc打开组策略管理器。做如下密码策略。审核策略做如下更改：安全选项做如下修改，以下四项策略均清空。管理员帐号的修改（这里把guest命名成administrator为了迷惑其他人员，管理员给成自己喜欢的即可）配合更改管理员组。我的电脑-管理-本地用户和组-组，然后选中管理员组更改为sys_users或者别的，guests组改成administrators ，原因同上。最好把描述也改了。当然这个有点变态了，但安全，呵呵。做完这些以后重启计算机。六、盘符权限的配置。登录的时候记得用改过的管理员。Administrator现在是guest已经被停用了，哈哈C d e 盘分别做如下配置只保留管理员组和system的访问权限，当然管理员组换成管理员更变态，但那样如果做数据迁移不利于数据恢复，这里先这么做。配置好的服务器最好做如下设置以下为特殊文件夹权限，首先是C:\Documents and Settings权限如下只给管理员和system完全控制权限，是管理员不是管理员组，记住了。C:\Documents and Settings\All Users权限如下同上。这样做即使被添加管理员，远程登录也会出现无法加载配置界面卡到登录界面不能登录。C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index这个目录要特别注意，经常被用作提权目录，因为这个目录经常有everyone可读可写可执行权限，记得仔细检查权限同上。对他进行权限配置C:\Documents and Settings\All Users\Application Data，子目录继承。C:\Inetpub权限如下：C:\wmpub权限如下：C：\Windows 目录比较特殊不能随便更改权限更不能像上边那样，否则会导致无法启动windows，因此用到cmd，阻止权限继承。如下去掉他的users可读权限。可以看到windows 已经没有users权限了，这样许多shell 无法读取windows目录了。C:\WINDOWS\temp目录更特殊，经常被用来提权，所以一定得小心配置。权限如下Users高级权限去掉上面两个框和下面两个框中间去掉删除子文件夹和文件即可，其他不变。C:\Program Files这个权限同上值得注意的是这个底下有个目录必须给users可读可执行权限，一定得记住否则会导致windows无法启动对没错就是C:\Program Files\Common Files，切记。C:\WINDOWS\system32\inetsrv\ASP Compiled Templates这个目录值得注意，他有iis_wpg的完全控制权限，而iis的进程执行用户是network serives也是属于这个组的所以一定要去掉执行权限，免得被提权，iis_wpg高级权限如下：同上，去掉上边两个下边两个中间一个，呵呵这样基本目录就已经完了，当然如果服务器在idc托管记得查看以上我提到的重要目录的目录和子目录，经常有everyone完全控制权限，记得照