详述Win203网络服务器的安全配置策略时间.doc

详述Win2003网络服务器的安全配置策略时间:2010-03-30 08:52 来源:bitsCN.com 字体:[大 中 小]　　 Windows Server可以被配置为多种角色，Windows Server 2003 可以被配置为域控制器、成员服务器、基础设施服务器、文件服务器、打印服务器、IIS服务器、IAS服务器、终端服务器等等。而且服务器可以被配置为几种角色的综合。 铁通数据中心机房存在多台不同角色的服务器，例如：备份服务器，终端服务器，Web服务器等，大部分是集各种角色于一身的服务器，所以有必要制作一份完整的安全方案文档以供参考，综合了部分虚拟主机公司的方案以及网络整理的资料和个人的一些经验，制作此方案。 总的来说，做为一个集各种角色为一身的服务器，主要是从以下几个方面进行安全加固设置：组件安全、端口安全、Windows常见自带程序的安全设置、远程终端安全、第三方软件的安全设置、木马病毒的防范设置、系统服务设置、帐号安全问题、日志安全设置、MSSQL安全设置、常见危险协议的删除、日常服务器安全检测、目录权限设置、DDOS攻击的设置、MYSQL安全设置、php安全设置。 注意：下面的策略是本着安全最大化的目的来执行的，实际操作中，要本着服务器正常应用与安全尽量化两者同时兼并的标准来进行。 组件安全： 一、禁止使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作以及进行各种存在安全隐患的操作,可以通过修改注册表，将此组件改名，来防止利用FSO组件的ASP木马的危害。 步骤1：HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 名为其它的名字，如：改为 FileSystemObject_ChangeName，如果ASP程序必须使用这个组件，那么在代码中改相应的名称 步骤2：将clsid值也改一下， HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值，也可以将其删除，来防止此类木马的危害。 步骤3：将此组件注销：RegSVR32 /u C:\WINDOWS\SYSTEM32\scrrun.dll 步骤4：禁止Guest用户使用FSO组件文件：scrrun.dll，命令：cacls C:\WINDOWS\system32\scrrun.dll /e /d guests 注意：部分流行网站程序中的功能可能会用到FSO组件，在一般情况下，请修改ASP程序文件中对应的FSO名和clsid值为修改过后的服务器中的值。 (注：此组件的注销可能会影响到很多asp网站程序中部分功能的使用，例如上传等，如果必要，那么利用命令RegSVR32 C:\WINDOWS\SYSTEM32\scrrun.dll重新注册。) 二、禁止使用WScript.Shell组件 WScript.Shell可以调用系统内核运行DOS基本命令，可以通过修改注册表，将此组件改名，来防止此类木马的危害。 步骤1：HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName，自己以后调用的时候使用这个就可以正常调用此组件了 步骤2：将clsid值也改一下HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值也可以将其删除，来防止此类木马的危害。 注意：一般情况下，这个组件很少被网站程序应用到，但是如果要用，请修改ASP程序文件中对应的WSH名和clsid值为修改过后的服务器中的值。 三、禁止使用Shell.Application组件 Shell.Application可以调用系统内核运行DOS基本命令，可以通过修改注册表，将此组件改名，来防止此类木马的危害。 步骤1：HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名为其它的名字，如：改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName，自己以后调用的时候使用这个就可以正常调用此组件了 步骤2：也要将clsid值也改一下，HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值和HKEY_CLASSES_ROOT\S