与Win2K相比,Win2003 Server的安全性有了很大的提高,但是用Win2003 Server做服务器真的安全吗?我们如何构建一个安全的个人web服务器?下面简单介绍一下。
一、Windows Server2003的安装
1.安装系统至少需要两个分区,分区格式为NTFS格式。
2.网络断开时安装2003系统。
3.安装iis,只安装必要的IIS组件(禁用不必要的服务,如FTP和SMTP)。默认情况下,不安装iis服务。在“添加/删除Win组件”中选择“应用服务器”,然后单击“详细信息”,双击Internet信息服务(IIS),并选中以下选项:
互联网服务经理;
公共文件;
后台智能传送服务(BITS)服务器扩展;
万维网服务。
如果您使用frontpage扩展的网站,请再次检查:frontpage 2002服务器扩展。
4.安装MSSQL和其他必需的软件,然后更新。
5.使用Microsoft提供的mbsa(Microsoft Baseline Security Analyzer)工具来分析计算机的安全配置,并确定缺少的修补程序和更新。下载地址:见页末链接。
二。设置和管理帐户
1.最好少建系统管理员账号,改默认管理员账号名称和描述。密码应该是数字、小写字母和数字的组合,长度不小于14位。
2.创建一个名为Administrator的新陷阱帐户,为其设置最小权限,然后随意输入一个不小于20位的组合密码。
3.禁用来宾帐户,更改其名称和描述,然后输入复杂的密码。当然现在也有DelGuest的工具。也许你也可以用它来删除来宾帐户,但我没有尝试过。
4.进入gpedit.msc并回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-帐户策略-帐户锁定策略,将帐户设置为“三次登录无效”、“锁定时间为30分钟”、“重置锁定计数设置为30分钟”。
5.在安全设置-本地策略-安全选项中设置“不显示最后一个用户名”以启用。
6.在安全设置-本地策略-用户权限分配中,只有Internet来宾帐户和启动IIS进程的帐户会保留在“从网络访问这台计算机”中。如果您使用Aspnet,您应该保留您的Aspnet帐户。
7.创建一个用户帐户并运行系统。如果要运行特权命令,请使用Runas命令。
三。网络服务安全管理
1.禁止C$、D$和ADMIN$的默认共享。
打开注册表HKEY _本地_机器\系统\当前控制集\服务\ lanmanserver \参数,并在右侧窗口创建一个新的Dword值,其名称设置为AutoShareServer,值设置为0。
2.解除NetBios与TCP/IP协议的绑定
右键单击网上邻居-属性-右键单击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3.关闭不必要的服务。以下是建议的选项
浏览器:维护网络计算机更新,禁用
分布式文件系统:局域网管理共享文件,所以不需要禁用。
分布式linktracking客户端:用于更新局域网的连接信息,不需要禁用。
错误报告服务:禁止发送错误报告
Microsoft Serch:提供快速单词搜索,无需任何帮助即可禁用。
LMSecuritySupportProvider:由Telnet服务和Microsoft Serch使用,不需要禁用。
如果没有要禁用的打印机。
远程注册表:禁止远程修改注册表。
远程桌面帮助会话管理器:禁止远程协助。
第四,打开相应的审计策略。
输入gpedit.msc并回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审计策略。在创建审计项目时,需要注意的是,如果审计项目太多,生成的事件就越多,因此发现严重事件的难度就越大。当然,如果审核太少会影响你发现严重事件,你需要根据情况在两者之间进行选择。
建议审查的项目有:
登录事件成功但失败。
帐户登录事件成功和失败。
系统事件成功和失败。
策略更改成功但失败。
对象访问失败。
目录服务访问失败。
权限使用失败。
动词(verb的缩写)其他安全相关设置
1.隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY _本地_机器\软件\微软\ windows \当前版本\资源管理器\高级\文件夹\ hi-dden \ showall”,右击“CheckedValue”,选择修改,将值从1改为0。
2.启动系统自带的互联网连接防火墙,在设置服务选项中检查Web服务器。
3.防止SYN flood攻击
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters
创建一个名为SynAttackProtect的新DWORD值,值为2
4.禁止响应ICMP路由通告消息。
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters \ Interfaces \ interface
创建一个名为PerformRouterDiscovery的新DWORD值,其值为0
5.防止ICMP重定向消息的攻击
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters
将EnableICMPRedirects值设置为0。
6.不支持IGMP协议。
HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services \ Tcpip \ Parameters
创建一个新的DWORD值,名为IGMPLevel,值为0
7.禁用DCOM:
运行输入Dcomcnfg.exe。进入,点击“控制台根节点”下的“组件服务”。打开计算机子文件夹。
对于本地计算机,右键单击我的电脑,然后选择属性。选择默认属性选项卡。
清除“在这台计算机上启用分布式COM”复选框。
注意:我在第3-6项中使用了Server2000设置,但是我还没有测试它是否适用于2003。但有一点可以肯定,我花了一段时间才发现没有其他副作用。
不及物动词配置IIS服务:
1.不要使用默认网站。如果这样做,应该将IIS目录与系统盘分开。
2.删除IIS默认创建的Inetpub目录(在安装系统的磁盘上)。
3.删除系统盘下的虚拟目录,比如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4.删除不必要的IIS扩展映射。
右键单击“默认网站属性主目录配置”打开应用程序窗口,删除不必要的应用程序映射。主要是。shtml,shtm,stm。
5.更改IIS日志的路径。
右键单击默认网站属性-网站-单击启用日志记录下的属性。
6.如果您使用的是2000,可以使用iislockdown来保护IIS,但不要求运行2003的IE6.0版本。
7.使用UrlScan
UrlScan是一个IsapI过滤器,它分析传入的HTTP数据包,并可以拒绝任何可疑的流量。最新版本是2.5。如果是2000Server,需要先安装1.0或2.0版本。请参见页面末尾的链接获取下载地址。
如果没有特殊要求,UrlScan默认配置就足够了。
但是如果你在服务器上运行ASP.NET程序并想调试它,你需要打开% windir % \ system32 \ inetsrv \ urlscan。
文件夹,然后在UserAllowVerbs部分添加调试谓词。请注意,此部分区分大小写。
如果您的网页是一个。asp网页,需要删除。DenyExtensions中的asp相关内容。
如果您的网页使用非ASCII代码,您需要在选项部分将AllowHighBitCharacters的值设置为1。
对URLScan.ini文件进行更改后,需要重新启动IIS服务才能生效。在快速方法运行中输入iisreset。
如果配置后有任何问题,可以通过添加/删除程序来删除UrlScan。
8.使用WIS (Web Injection Scanner)工具扫描整个网站的SQL注入漏洞。
下载地址:[http://www.fanvb.net/websample/othersample.aspx]VB.net恋人[/url]
七。配置Sql Server
1.系统管理员的角色最好不要超过两个。
2.如果在这台机器上,最好将身份验证配置为Win登录。
3.不要使用Sa帐户,并配置一个超级复杂的密码。
4.删除以下扩展存储过程格式:
使用母版
Sp_dropextendedproc '扩展存储过程名称'
Xp_cmdshell:这是操作系统的最佳捷径。删除