| windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。 第一招:正确划分文件系统格式,选择稳定的操作系统安装盘 为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,最好装windows 2003的企业可升级版,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。切忌一定要设置自动更新,微软发布的每个漏洞补丁都要打上去。这是最重要也是最基本的。 正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子) 重点: 1、系统盘权限设置 C:分区部分: c:\ administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) system 全部(该文件夹,子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹,子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:\Documents and Settings administrators 全部(该文件夹,子文件夹及文件) Power Users (该文件夹,子文件夹及文件) 读取和运行 列出文件夹目录 读取 SYSTEM全部(该文件夹,子文件夹及文件) C:\Program Files administrators 全部(该文件夹,子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹,子文件夹及文件) 读取和运行 列出文件夹目录 读取 Power Users(该文件夹,子文件夹及文件) 修改权限 SYSTEM全部(该文件夹,子文件夹及文件) TERMINAL SERVER USER (该文件夹,子文件夹及文件) 修改权限 2、网站及虚拟机权限设置(比如网站在E盘) 说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理 E:\ Administrators全部(该文件夹,子文件夹及文件) E:\wwwsite Administrators全部(该文件夹,子文件夹及文件) system全部(该文件夹,子文件夹及文件) service全部(该文件夹,子文件夹及文件) E:\wwwsite\vhost1 Administrators全部(该文件夹,子文件夹及文件) system全部(该文件夹,子文件夹及文件) vhost1全部(该文件夹,子文件夹及文件) 3、数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限 比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限 4、其它地方的权限设置 请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许administrators访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe format.com 5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述 禁用不必要的服务,提高安全性和系统效率 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序 修改注册表,让系统更强壮 1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0 2、启动系统自带的Internet连接_blank">防火墙,在设置服务选项中勾选Web服务器。 3、防止SYN洪水攻击 (责任编辑:admin) |