系统服务器安全配置基线 服务器安全设置
如何配置windows server 2012 服务器配置
如何配置windows server 2012 服务器配置
成都创新互联专注于尼金平企业网站建设,成都响应式网站建设公司,电子商务商城网站建设。尼金平网站建设公司,为尼金平等地区提供建站服务。全流程按需搭建网站,专业设计,全程项目跟踪,成都创新互联专业和态度为您提供的服务
Windows Server 2012 现已推 向企业服务提供商提供伸缩、态、支持租户及通云计算优化基础结构 Windows Server 2012 帮助组织安全进行本连接并帮助 IT 专业员更快且更高效响应业务需求
Windows Server 2012 评估软件提供标准版数据版 设置注册程系统提示您选择版本
ISO 用语言版本: 简体文、英语、语、德语、意利语、语、俄语、西班牙语
VHD 用语言版本: 英语
安装 Inter 信息服务 Microsoft Inter 信息服务 (IIS) 与 Windows Server 2003 集 Web 服务 要安装 IIS、添加选组件或删除选组件请按步骤操作: 1. 单击始指向控制面板单击添加或删除程序 添加或删除程序工具启 2. 单击添加/删除 Windows 组件 显示Windows 组件向导 3. Windows 组件 列表单击Web 应用程序服务器 4. 单击详细信息单击Inter 信息服务 (IIS) 5. 单击详细信息 查看 IIS 选组件列表 6. 选择您要安装选组件默认情况列组件选: --- 公用文件 --- FrontPage 2002 Server Extentions --- Inter 信息服务管理单元 --- Inter 信息服务管理器 --- NNTP 服务 --- SMTP 服务 --- World Wide Web 服务 7. 单击World Wide Web 服务单击详细信息 查看 IIS 选组件( Active Server Pages 组件远程管理 (Html) 工具)列表选择您要安装选组件默认情况列组件选: --- World Wide Web 服务 8. 单击确定 直返Windows 组件向导 9. 单击步完Windows 组件向导 配置匿名身份验证 要配置匿名身份验证请按步骤操作: 1. 单击始指向管理工具单击Inter 信息服务 (IIS) 2. 展* 服务器名称(其服务器名称 该服务器名称)右键单击Web 站点单击属性 3. Web 站点属性 框单击目录安全性 选项卡 4. 身份验证访问控制单击编辑 5. 单击启用匿名访问复选框其选 备注:用户名框用户帐户用于通 Windows guest 帐户进行匿名访问 默认情况服务器创建并使用帐户 IUSR_putername匿名用户帐户密码仅 Windows 使用;匿名用户使用用户名密码登录 6. 已验证身份访问单击集 Windows 身份验证复选框其选 7. 单击确定 两 基本 Web 站点配置 1. 单击始指向管理工具单击Inter 信息服务 (IIS) 2. 展* 服务器名称(其服务器名称 该服务器名称)展Web 站点 3. 右键单击默认 Web 站点单击属性 4. 单击Web 站点 选项卡您已计算机配 IP 址则请IP 址 框单击您要指定给 Web 站点 IP 址 5. 单击性能 选项卡使用Web 站点属性 - 性能 框设置影响内存、带宽使用 Web 连接数量属性
怎么配置sql server 2012服务器配置
怎么配置sql server 2012服务器配置
打开SQL server2012,使用windows身份登录
登录后,右键选择“属性”。左侧选择“安全性”,选中右侧的“SQL Server 和 Windows 身份验证模式”以启用混合登录模式
选择“连接”,勾选“允许远程连接此服务器”,然后点“确定”
展开“安全性”,“登录名”;“sa”,右键选择“属性”
左侧选择“常规”,右侧选择“SQL Server 身份验证”,并设置密码
右击数据库选择“方面”
在右侧的方面下拉框中选择“服务器配置”;将“RemoteAessEnabled”属性设为“True”,点“确定”
如何配置win2008server dhcp服务器配置
DNS服务器,即计算机域名系统,它是有解析器和域名服务器组成,可以将域名转换成IP地址,我们上网时输入的网址,就是通过DNS域名解析系统找到相应的IP地址,网址的浏览。那么在windows 2008系统中,我们要想成功地安装DNS服务器该怎么来配置呢? 配置Win2008系统DNS服务器的具体步骤: 配置前准备:实验采用的主机名称:win- 主机IP 地址 :192.168.80.80 具体步骤: 1.配置要地主机的IP 地址 环境配置(IP、子网掩码、DNS)好后,就好可以安装和配置Windows Server 2008环境的DNS,本文主要以对应ip为192.168.80.80 具体配置。 2.安装DNS服务器相关的步骤 在服务器管理里面可以看到“角色”的添加。
如何在server 2003配置ftp服务器配置
击 “开始” - “设置” - “控制面板” - “添加或删除程序”。 单击“添加/删除 Windows 组件”,在“Windows 组件向导”对话框中,依次双击“应用程序服务器”(或选择“应用程序服务器”,然后单击“详细信息”),双击“Inter 信息服务 (IIS)”(或选择“Inter 信息服务 (IIS)”,然后单击“详细信息”), 在“Inter 信息服务 (IIS)”对话框中,选中“文件传输协议(FTP)服务”复选框,然后单击“确定”。 在“Windows 组件向导”对话框中,单击“下一步”。如果是在机房配置的话,根据提示插入 Windows 光盘。如果你是远程管理云主机或服务器,你可以在从网上下载一个iis的安装包,解压后,在提示插入Windows 光盘时选择你解压的目录就可以了,一般会提示两次。安装过程完成后,您就可以在 IIS 中使用 FTP 服务了。
下面我们来设置需要管理的目录,假设网站路径是“D:\WebSite\SiteA”。首先打开IIS管理器,在FTP站点中我们会看到有一个默认FTP站点,把这个默认的FTP站点停止或删除(修改默认设置是服务器安全策略的一部分)。右键单击“FTP站点”选“新建”选“FTP站点”,下一步,然后输入描述,用来区分是哪个目录的ftp,名字是随便的,只是方便记忆和查找,推荐与网站目录名称相关。然后下一步,选择ip地址和端口,ip地址选你的公网ip,端口这里要改一下,改成啥你自己知道就可以了:)。下一步,建议选择“不隔离用户”,选择隔离账户会产生一个让人蛋疼的问题,在文章最后会有介绍。下一步,路径选择网站的路径“D:\WebSite\SiteA”,下一步,给予读取写入权限并下一步,完成。
此刻该虚拟目录还没有全部完成,下面我们要给该虚拟目录分配FTP管理帐号和密码。首先右键单击我的电脑,选“管理”,展开“本地用户组”,在“用户”上面右键选择“新建用户”,输入用户名(这里我用“ftpid”)和密码,描述为IIS FTP,取消用户下次登录时需改密码的选项,把用户不能更改密码和密码永不过期打勾,然后单击创建完成,然后我们来给该帐号分类用户组,右键该帐号属性,点击隶属于,删除USERS用户组,然后点“添加”-〉“高级”-〉“立即查找”,选择GUESTS用户组,并单击两个“确定”。
下面来我们把这个用户分配给我们刚才新建的FTP站点,在刚才新建的站点上右键权限,添加 -〉高级 -〉立即查找,选择“ftpid”并确定,给予修改,写入,读取和运行以及列出文件夹目录权限,单击确定。就基本大功告成了。
再回头说一下“用户隔离“的问题,选了它就选了蛋疼。稍微设置不当出现FTP连接报530 User 用户名 cannot log in home directory inaessible的错误。
以下是一位网友分享的解决方法
其实原因是在新建FTP站点的时候选择了“隔离用户”,而在你选择的FTP文件夹却和这个用户相关的文件夹不同,所以自然就会出现这个提示。这个就涉及到Windows Server 2003 FTP文件夹设定和命名有相当严格的规范。
举个例子,如果你想为用户abc在server 2003下开通一个IIS-FTP服务,目录设定为E:\\FTP里。除了安装IIS和FTP组件及相关配置正确之外,你还应该在FTP文件夹中建立一个子文件夹。命名为LocalUser,然 后在LocalUser文件夹中再建立一个子文件夹,命名为abc,即你要开通FTP服务的用户名。
这样当用户abc运行FTP服务登录到server 2003时,会自动进入到E:\\FTP\\LocalUser\\abc文件夹目录下,这也就很好解释为什么最初会报出530 User 用户名 cannot log in home directory inaessible的错误了。因为不这样设定的话 E:\\FTP\\LocalUser\\abc的目录根本就不存在。
另外如果我们打算允许FTP站点提供匿名登录的话,还应在LocalUser目录下另建一个public的子目录。同理,匿名登录的用户将自动进入到D:\\FTP\\LocalUser\\public目录中。
这样设置对一个服务器多个人使用的情况下非常有用,除此之外,你还可以在IIS中设置每个FTP对应的网站的流量,连接数等等限制来合理分配服务器资源。
至此,我们可以用FTP上传网站了。其实本来还想写SERVER-U 的,鉴于时间和篇幅,有时间再写吧。如果您在实际使用中遇到问题,可以站内私信我,也可以直接文章页面下面留言。 :)
如何查看服务器配置,查看服务器配置命令
一、DOS命令查看服务器的配置
1.查询CPU个数
cat /proc/cpuinfo | grep physical | sort -n | uniq | wc -l
2.查询服务器型号
dmidecode | grep "Product Name"
或
dmidecode -s system-product-name
3.查看CPU几核
cat /proc/cpuinfo | grep physical | sort -n | uniq -c
4.查看CPU信息型号
cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq
5.查看CPU运行位数
# getconf LONG_BIT
32
(说明当前CPU运行在32bit模式下, 但不代表CPU不支持64bit)
# cat /proc/cpuinfo | grep flags | grep 'lm' | wc -l
8
(结果大于0, 说明支持64bit计算. lm指long mode, 支持lm则是64bit)
6.查看当前操作系统内核信息
uname -a
7.查看网卡速率
ethtool eth0
8.查看当前操作系统发行版信息
l *** _release -d
9.查看内存的插槽数,已经使用多少插槽.每条内存多大
dmidecode|grep -P -A5 "Memory\s+Device" | grep Size |grep -v Range | cat -n
10. 查看内存的频率
dmidecode|grep -A16 "Memory Device"|grep 'Speed' | cat -n
11.查看服务器出厂编号适用于DELL 。 LENOVO则显示不出来
dmidecode -s chassis-serial-number
12.对于DELL服务器的信息可通过DSET获取
DSET工具2.2使用说明(Windows版):
DSET工具2.1使用说明(Linux版):
13.For Windows(win2003 winXP以上版本):
命令1:wmic bios get serialnumber(获取SN|不适用于LENOVO机器)
命令2:wmic csproduct get name,identifyingnumber(获取SN和机型)
以下为一台LENOVO R510 G7 Windows方面的一些信息查询
二、鲁大师查询服务器的配置
通过鲁大师查询到的一些信息
怎样配置windows server 2003 r2 服务器配置
安装操作系统 Windows Server 2003最方便的方法是用U盘启动 Windows PE 并格式化C盘后,将系统镜像解压,并使用 Win$Man 软件来安装。Win$Man会自动拷贝文件并设置启动项,重启后直接从硬盘启动,选择"Windows Server 2003 系统安装"的启动项即可。
需要注意的是,如果在 Windows PE 下直接使用安装光盘中的 setup.exe 来执行安装,则可能自动将系统安装在当前作为启动的硬盘的活动分区。例如使用U盘启动PE时,可能会将系统默认安装在U盘上(囧~)。此问题可以尝试通过更改安装过程中的"高级设置"中的选择分区来解决,如果在硬盘上安装了Windows PE,可以忽略此问题。利用虚拟光驱安装的童鞋,也需要在“高级设置”中选择“复制安装源”,否则在重启后会找不到安装源。
版本是 Windows Server 2003 R2 Standard with SP2简体中文32位版本,官方镜像有两张CD,使用CD1安装之后是Windows Server 2003 SP2,CD2将系统升级到Windows Server 2003 R2 SP2。
需要注意的是,安装完毕后还应安装WindowsServer2003-KB958644补丁,否则以后配置好网络以后,Server服务和Workstation服务运行一段时间以后会自动停止,这是微软早期操作系统的一个著名的漏洞。该文件可在微软下载中心下载,也可以从百度网盘下载适用于简体中文32位操作系统的WindowsServer2003-KB958644-x86-CHS.exe文件。
windows server2008datacenter怎么配置服务器配置
Windows Server2008 (Win2008) 作为服务器操作系统,分为3个版本,分别是 1.Windows Server 2008 Standard 标准版 2.Windows Server 2008 Enterprise 企业版 3.Windows Server 2008 Datacenter 数据中心版 4.Windows Server 2008 Standard(Server Core Installation)标准版(服务器核心安装) 5.Windows Server 2008 Enterprise(Server Core Installation)企业版(服务器核心安装) 6.Windows Server 2008 Datacenter(Server Core Installation) 数据中心版(服务器核心安装) 如果是家庭桌面应用以及配置一般的入门用户推荐安装 Windows Server 2008 Standard 标准版 本版本的系统服务相比另外的版本相对要少内存占用更少,并且可以通过学生序列号或者OEM方式激活. 有一定经验并且计算机配置位主流行的推荐安装 Windows Server 2008 Enterprise 企业版 如果不是高要求的服务器应用不推荐安装后3种带有 Server Core Installation 服务器核心安装
windows XP ISS服务器配置
去网上下载一个IIS安装包先。
然后在控制面板中去添加。
如何搭建windows git服务器配置
Git没有客户端服务器端的概念,但是要共享Git仓库,就需要用到SSH协议(FTP , HTTPS , SFTP等协议也能实现Git共享,此文档不讨论),但是SSH有客户端服务器端,所以在windows下的开发要把自己的Git仓库共享出去的话,就必 须做SSH服务器。一、安装GIT
Windows下使用msysgit,
本文使用Git-1.7.8-preview20111206.exe 安装要点步骤
安装完成后,可以使用Git bash在命令行模式下操作git
二、安装CopSSH
安装CopSSH之前先确保防火墙开启了SSH端口,这个虽然不影响CopSSH的安装,但是影响SSH访问,所以写在前面。
CopSSH是windows下的SSH服务器软件,下载地址baidu之,本文使用的是Copssh_4.1.0_Installer.exe,
安装完成后,到控制面板中新建一个管理员账户root,用这个账户来共享SSH。然后你在账户管理中会看到之前的SvcCOPSSH账户。
将root用户添加到CopSSH用户中,为简单操作,允许使用密码认证方式
若是不允许密码认证,则需要使用公钥密钥方式认证,
三、CopSSH中使用GIT
现在已经安装GIT和CopSSH,接下来需要做的就是让CopSSH可以使用GIT的命令,这样不仅能够远程SSH管理GIT服务器,而且可以将GIT仓库通过SSH共享。具体的操作方法是将GIT的某些命令程序和动态链接库复制到CopSSH安装目录下即可。
l 将$ Git\libexec\git-core目录下的git.exe , git-receive-pack.exe , git-upload-archive.exe , git-upload-pack.exe复制到$ICW\bin目录下
l 将$Git\bin目录下的libiconv-2.dll复制到$ICW\bin目录下
重启CopSSH即可
如何查看服务器配置
一、DOS命令查看服务器的配置
1.查询CPU个数
cat /proc/cpuinfo | grep physical | sort -n | uniq | wc -l
2.查询服务器型号
dmidecode | grep "Product Name"
或
dmidecode -s system-product-name
3.查看CPU几核
cat /proc/cpuinfo | grep physical | sort -n | uniq -c
4.查看CPU信息型号
cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq
5.查看CPU运行位数
# getconf LONG_BIT
32
(说明当前CPU运行在32bit模式下, 但不代表CPU不支持64bit)
# cat /proc/cpuinfo | grep flags | grep 'lm' | wc -l
8
(结果大于0, 说明支持64bit计算. lm指long mode, 支持lm则是64bit)
6.查看当前操作系统内核信息
uname -a
7.查看网卡速率
ethtool eth0
8.查看当前操作系统发行版信息
l *** _release -d
9.查看内存的插槽数,已经使用多少插槽.每条内存多大
dmidecode|grep -P -A5 "Memory\s+Device" | grep Size |grep -v Range | cat -n
10. 查看内存的频率
dmidecode|grep -A16 "Memory Device"|grep 'Speed' | cat -n
11.查看服务器出厂编号适用于DELL 。 LENOVO则显示不出来
dmidecode -s chassis-serial-number
12.对于DELL服务器的信息可通过DSET获取
DSET工具2.2使用说明(Windows版):
DSET工具2.1使用说明(Linux版):
13.For Windows(win2003 winXP以上版本):
命令1:wmic bios get serialnumber(获取SN|不适用于LENOVO机器)
命令2:wmic csproduct get name,identifyingnumber(获取SN和机型)
以下为一台LENOVO R510 G7 Windows方面的一些信息查询
二、鲁大师查询服务器的配置
通过鲁大师查询到的一些信息
终端pc的安全基线项目名称是什么
MicrosoftSecurityComplianceToolkit(Microsoft安全合规性工具包)。由微软官方提供的一套安全合规性工具,旨在帮助管理员监测和评估Windows系统是否符合安全标准,保证系统的安全性和合规性。终端pc的安全基线可以用于终端PC的安全基线评估,还可以用于服务器和移动设备等环境下的安全基线评估。
web服务器安全设置
Web服务器攻击常利用Web服务器软件和配置中的漏洞,web服务器安全也是我们现在很多人关注的一点,那么你知道web服务器安全设置吗?下面是我整理的一些关于web服务器安全设置的相关资料,供你参考。
web服务器安全设置一、IIS的相关设置
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制, 带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。
对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。
方法
用户从脚本提升权限:
web服务器安全设置二、ASP的安全设置
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
web服务器安全设置三、PHP的安全设置
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
web服务器安全设置四、MySQL安全设置
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的 其它 信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操 作文 件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
web服务器安全设置五、数据库服务器的安全设置
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成 企业管理 器中部分功能不能使用),这些过程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。
Windows 的服务器安全加固方案
因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的`第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。
我们通过以下几个方面对您的系统进行安全加固:
1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。
2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。
3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。
系统的安全加固:
1.目录权限的配置:
1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。
1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。
1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
1.5 配置Windows目录,其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的,不过还是应该进入SYSTEM32目录下,将 cmd.exe、、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。
1.6审核MetBase.bin,C:WINNTsystem32inetsrv目录只有administrator只允许Administrator用户读写。
2.组策略配置:
在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
启用不允许匿名访问SAM帐号和共享;
启用不允许为网络验证存储凭据或Passport;
从文件共享中删除允许匿名登录的DFS$和COMCFG;
启用交互登录:不显示上次的用户名;
启用在下一次密码变更时不存储LANMAN哈希值;
禁止IIS匿名用户在本地登录;
3.本地安全策略设置:
开始菜单—管理工具—本地安全策略
A、本地策略——审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问失败
审核过程跟踪 无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
注:在设置审核登陆事件时选择记失败,这样在事件查看器里的安全日志就会记录登陆失败的信息。
网站标题:系统服务器安全配置基线 服务器安全设置
转载来于:http://scyanting.com/article/ddsjhee.html