windowsserver服务器配置文档.docxVIP

一、操作系统的安装 我这里说的操作系统以Windows 2000为例，高版木的Windows也有类似功 能。 格式化硬盘时候，必须格式化为NTFS的，绝对不要使用FAT32类型。 C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁 盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他 用户删除,E盘放网站,如果只有一个网站，就设置Administrator和System 完全控制，Everyone读取，如果网站上某段代码必须完成写操作，这时再单独 对那个文件所在的文件夹权限进行更改。 系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统 的最小安装，在安装1IS的过程中，只安装最基本必要的功能，那些不必要的危 险服务千万不要安装，例如：FrontPage 2000服务器扩展,Internet服务管理 器(HTML) , FTP服务，文档，索引服务等等。 二、网络安全配置 网络安全最基木的是端口设置，在“木地连接属性”，点“Internet协议 (TCP/IP) ”，点、“高级”，再点“选项” - “TCP/IP筛选”。仅打开网站服务 所需要使用的端口，配置界而如下图。 进行如下设置后，从你的服务器将不能使用域名解析，因此上网，但是外部 的访问是正常的。这个设置主要为了防止一般规模的DDOS攻击。 三、安全模板设置 运行MMC,添加独立管理单元“安全配置与分析”，导入模板basicsv. inf 或者securedc. inf,然后点“立刻配置计算机”，系统就会自动配置“帐户策 略”、“本地策略”、“系统服务”等信息，一步到位，不过这些配置可能会导 致某些软件无法运行或者运行出错。 H | 收 M |安全駅置和分析9A8tt_i拎制匕根节臨A安浚畳肠忻U*J H | 收 M | 安全駅置和分析 9A8tt _i拎制匕根节臨 A安浚畳肠忻 U*J Ipotow 鱼 setup secury.rf ⑥ kvwicrH ?rf h) bdSKsv.mf 旦 notssdH ? $ecLrew5.rf ⑥ S4oredonf 丈性名 QIJ Ii4ur?dc. inf 文 |5F±??CinI) J r 与入 ZUidH?ii这个 imx (E) 四、WEB服务器的设置 以IIS为例，绝对不要使用IIS默认安装的WEB冃录，而需要在E盘新建立 一个目录。然后在11S管理器中右击主机-〉屈性-WVW服务编辑-〉主目录配置 -应用程序映射，只保留asp和asa,其余全部删除。 五、ASP的安全 在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是非常重 要的。 ASP木马实际上大部分通过调用Shel 1. Appl ication WScript. Shel 1、 WScript. Networks FSO、Adodb. Stream 组件来实现其功能,除了 FSO 之外，其 他的大多可以直接禁用。 WScript. Shell 组件使用这个命令删除：regsvr32 WSHom. ocx /u WScript. Network 组件使用这个命令删除：regsvr32 wshom. ocx /u Shel 1. Appl ication可以使用禁止Guest用户使用shel 132. dl 1来防止调用 此组件。使用命令：cacls C： \WINNT\systcm32\shcll32. dll /c /d guests 禁止guests用户执行cmd. exe的命令是：cacls C： \WINNT\system32\Cmd. exe /e /d guests FSO组件的禁用比较麻烦，如果网站木身不需要用这个组件，那么就通过 RegSrv32 scrrun.dll /u命令来禁用吧。如果网站本身也需要用到FSO,那么请 参看这篇文章。 另外，使用微软提供的URLScan Tool这个过滤非法URL访问的工具，也可 以起到一定防范作用。当然，每天备份也是一个好习惯 一:建立一个袖珍型的IIS,从而将风险隆到最低 针对一般用户来说川S —些额外组件根本没有多大用处，那我们就可以对IIS进行一次大瘦身, 可以北朝鲜以下组件拉入黑名单internet服务器(HTML)是基于WEB的IIS服务器管理页耐 一般情况下不应通过WEB进行管理，建议卸掉;样本页面和脚本有些是专门为显示IIS的强大 功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器,这不是好事情如果不 打算使用服务器转发邮件和提供新闻组服务,就删除SMTP和NNTP这些项目,否则会因为它 们的漏洞代来新的不安全，还有一个是INTERNET打印,INTERNET打印是WIN2K |啲一个新