一、安装Win200x安全概览.docVIP

服务器安全防范大全 一、安装 Win 200x 安全概览 3 1.硬盘分区的文件系统选择 3 ①使用多分区分别管理不同内容 3 ②采用NTFS文件系统 3 ③使用文件加密系统EFS 3 2.组件的定制 3 3.接入网络时间 3 4.账户安全管理（改） 3 5.卸载无用的组件模块 4 二、基本系统设置 4 1.安装各种补丁 4 2.分区内容规划 4 3.协议管理 4 4.关闭所有以下不需要的服务 4 5.删除 OS/2 和 POSIX 子系统: 5 6.帐号和密码策略 6 7.设置文件和目录权限 6 8.注册表一些条目的修改 6 9.启用TCP/IP过滤 7 10.移动部分重要文件并加访问控制 7 11.下载Hisecweb.inf安全模板来配置系统 7 12. 服务器上其他工具程序的替代 8 13.设置陷阱脚本 8 14.取消部分危险文件扩展名 8 15.关闭445端口 8 16.关闭 DirectDraw 8 17.禁止dump file的产生和自动清除掉页面文件 8 18.禁止从软盘和CD Rom启动系统 8 19.锁住注册表的访问权限 9 20.考虑使用IPSec增强IP数据包的安全性 9 21.考虑使用智能卡来代替密码 9 22.将服务器隐藏起来 9 ？？Win 2003中提高FSO的安全性 9 三、IIS 安全设置 11 1.关闭并删除默认站点 11 2.建立自己的站点，与系统不在一个分区 11 3.删除IIS的部分目录 11 4.删除不必要的IIS映射和扩展 11 5.禁用父路径 （有可能导致某些使用相对路径的子页面不能打开） 12 6.在虚拟目录上设置访问控制权限 12 7.启用日志记录 13 8.备份IIS配置 13 9.修改IIS标志 13 10.重定义错误信息 14 ？？Win 2003中提高FSO的安全性 14 四、数据及备份管理 16 1．备份 16 2．设置文件共享权限 16 3.防止文件名欺骗 16 4.Access数据库的安全概要 16 5.MSSQL 注入攻击的防范 18 6. MSSQL Server 的基本安全策略 18 7.使用应用层过滤防范URL入侵 21 8. PHP木马的攻击的防御之道 22 五、其他辅助安全措施 23 1.安装可靠的杀毒软件并立即升级； 23 2.安装一款可能强大且配置灵活的网络防火墙 23 3.修改系统目录和程序目录中所有文件的日期 23 4.在网络的另一台计算机上 23 5.针对现有免费代码的利用安全问题 24 6.文件列表、任务列表和服务列表的生成和利用 24 六、简单设置防御小流量DDOS攻击 24 七、日常安全检查 26 1、日志查看 26 2、检查列表 27 3、检查异常文件 27 4、不定期用光盘PE系统引导 27 5、检查备份 27 6、更新规则 27 7、定期更新秘密 27 8、检查系统安全补丁的升级情况 27 9、查找WEBSHELL 27 10、审核文件及目录权限 27 11、审查应用程序及系统的升级情况 27 12、审查IP过滤策略 27 一、安装 Win 200x 安全概览 1.硬盘分区的文件系统选择 ①使用多分区分别管理不同内容 对提供服务的机器，可按如下设置分区: 分区1：系统分区，安装系统和重要日志文件。 分区2：提供给IIS使用。 分区3：提供给FTP使用。 分区4：放置其他一些资料文件。（以上为示例，可灵活把握） ②采用NTFS文件系统 所有磁盘分区必须采用 NTFS 文件系统，而不要使用 FAT32！ 特别注意：一定要在系统安装时，通过安装程序将系统盘格式化为NTFS，而不要先以 FAT32 格式安装系统，然后再用 Convert 转换！因为转换后的磁盘根目录的默认权限过高！ ③使用文件加密系统EFS Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 /windows2000/techinfo/howitworks/security/encrypt.asp 注意：建议加密temp文件夹！因为一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。 2.组件的定制 不要按Win 2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。 典型Web服务器需要的最小组件是：公用文件、Internet 服务管理器、WWW服务器。 3.接入网络时间 在安装完成Win 2000X作系统时，不要