windows服务器的安全配置.docxVIP

windows服务器的安全配置 windows2003系统的ios（internet信息服务器）提供了防火墙服务。由于它与windows系统本身相结合，它简单易用，因此深受用户喜爱。但是它的默认设置存在很多安全隐患,很容易成为黑客们的攻击目标,从而造成信息泄漏甚至系统崩溃。因此,须对IIS进行合理配置,以提高其安全性。 1 严格使用采用匿名访问功能 默认情况下,Windows Server 2003系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患,用户不需要申请合法的账号就能访问FTP服务器,甚至还可以上传、下载文件,特别是对于一些存储重要资料的FTP服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。 在Windows Server 2003系统中,点击“开始→程序→管理工具→Internet服务管理器”,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到IIS自带的FTP服务器,右键点击“默认FTP站点”项,在菜单中选择“属性”,弹出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。 2 对wp服务器记录-pc用户访问信息的重视 Windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。 在默认FTP站点属性对话框中,切换到“FTP站点”标签页,选中“启用日志记录”选项,这样就可以在“事件查看器”中查看FTP日志记录了。 3 tol文件添加 每个FTP用户账号都具有一定的访问权限,但对用户权限设置不合理,也能导致FTP服务器出现安全隐患。如服务器中的TOOL文件夹,只允许TOOLUSER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置中,还是允许其他用户对TOOL文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。 右键点击TOOL文件夹,在弹出菜单中选择“属性”,切换到“安全”标签页,删除Everyone用户账号,再点击“添加”按钮,将TOOLUSER账号添加到名称列表框中,然后在“权限”列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击“确定”按钮。这样,TOOL文件夹只有TOOLUSER用户才能访问。 4 生成dir命令时 用一个虚拟文件夹来充当站点目录结构的一部分,它能够对用户实施有效的屏蔽,即当用户浏览这个站点或者从FTP命令行提交DIR命令时,它并不出现。用户可用这两种方式之一来连接到这个虚拟文件夹:在浏览器或FTP命令行中明确指定这个文件夹,或者使用一个同这个虚拟文件夹的别名相匹配的用户账号来连接。 打开IIS控制台,在希望创建该文件夹的FTP站点上单击鼠标右键,然后选择新建-虚拟目录命令,根据向导提示输入文件夹别名、路径名和读写属性即可。 5 添加“：添加”字b FTP服务器的磁盘空间资源是宝贵的,无限制地让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以TOOLUSER用户为例,将其限制为只能使用100 MB磁盘空间。 在资源管理器窗口中,右键点击TOOL文件夹所在的硬盘盘符,在弹出的菜单中选择“属性”,切换到“配额”标签页,选中“启用配额管理”复选框,激活“配额”标签页中的所有配额设置选项。为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中“拒绝将磁盘空间给超过配额限制的用户”复选框。然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项,在后面的栏中输入100,磁盘容量单位选择为“MB”,再进行警告等级设置,在“将警告等级设置为”栏中输入“96”,容量单位也选择为“MB”,这样就完成了默认配额设置。此外,还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框,以便将配额告警事件记录到Windows日志中。 点击配额标签页下方的“配额项”按钮,打开磁盘配额项目对话框,点击“配额→新建配额项”,弹出选择用户对话框,选中TOOLUSER用户后,点击“确定”按钮,在“添加新配额项”对话框中为TOOLUSER用户设置配额参数,选择“将磁盘空间限制为”单选项,在后面的栏中输入“100”,在“将警告等级设置为”栏中输入“96”,它们的磁盘容量单位均为“MB”,最后点