通行证: 用户 密码 域名空间  下载中心 社区论坛 信息公告 my小屋
联系我们
设为首页
加入收藏

 

qq,asp,php,jsp,xml,sql,.net,编程 程序 网页图象 建站经验 私服
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿
论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图
专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版
社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 网络赚钱 | 网站地图 | 广告服务 | 服务
当前位置:首页>>操作系统>>windows2003>>正文 新版上线![旧版]
注:打开慢时请稍等

windows 2003服务器安全配置终极技巧

http://www.iyit.net  日期:2006-5-14 10:34:15  来源:315safe   点击:
参加讨论网上流传的很多关于windows server 2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端bt的2003服务器的安全配置,让更多的网管朋友高枕无忧。

  我们配置的服务器需要提供支持的组件如下:(asp、aspx、cgi、php、fso、jmail、mysql、smtp、pop3、ftp、3389终端服务、远程桌面web连接管理服务等),这里前提是已经安装好了系统,iis,包括ftp服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。

  关于常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置ms-sql,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了

  先说关于系统的ntfs磁盘权限设置,大家可能看得都多了,但是2003服务器有些细节地方需要注意的,我看很多文章都没写完全。

  c盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。



  windows目录要加上给users的默认权限,否则asp和aspx等应用程序就无法运行。以前有朋友单独设置instsrv和temp等目录权限,其实没有这个必要的。


  另外在c:/documents and settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了c盘给administrators权限,而在all users/application data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等n多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就能拿到system",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限。



  另外,还将:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。

  把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

  在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的internet协议(tcp/ip),由于要控制带宽流量服务,额外安装了qos数据包计划程序。在高级tcp/ip设置里--"netbios"设置"禁用tcp/ip上的netbios(s)"。在高级选项里,使用"internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个ipsec的功能。







  这里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用tcp/ip筛选里的端口过滤功能,譬如在使用ftp服务器的时候,如果仅仅只开放21端口,由于ftp协议的特殊性,在进行ftp传输的时候,由于ftp 特有的port模式和passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用tcp/ip过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的tcp/ip过滤功能。

本新闻共2页,当前在第1页  1  2  


编辑:黑鹰 [发送给好友] [打印本页] [关闭窗口] [返回顶部]
上一篇:在win2k3下配置apache+php+mysql
下一篇:windows server 2003
转载请注明来源:www.iyit.net
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
 相关文章
如何组建高速又安全的文件服务器 win 2003中提高fso的安全性 win 2003如何应用组策略和安全模板
用2003内置icf构筑安全防线 win 2003中配置snmp服务的网络安全 windows 2003中ie安全区域的设置技巧
windows 2003中配置snmp服务的网络安全 用windows 2003内置icf构筑安全防线 四招加强windows 2003安全性
在windows 2003中安全释放内存 如何让windows 2003更加安全 win 2003中ie安全区域的设置技巧
活动目录的基本安全问题 如何以安全模式启动计算机 查看安全模式启动日志文件
打造安全的win 2003操作系统(下) 打造安全的windows 2003系统(上) windows server 2003 安全最佳实践
windows2003下提高fso的安全性 架设windows server 2003的安全堡垒 全方位堵住windows 2003的安全隐患
win 2k:检测系统安全的清单 win2000的系统安全防范对策 安全卸载windows2000
最新更新 热点排行 推荐新闻
如何组建高速又安全的文件服务器
win 2003中配置打印机和打印服务器
windows服务有“备”无患
如何查看自定义天数的alexa数据
详细为您解析jsp的环境引擎--webspher
如何组建高速又安全的文件服务器
win 2003中配置打印机和打印服务器
windows服务有“备”无患
如何查看自定义天数的alexa数据
详细为您解析jsp的环境引擎--webspher
利用itext在jsp中生成pdf报表
用win 2003实现网络共享还原
重置win 2003的internet协议
体验win 2003共享“还原”技术
win 2003中提高fso的安全性
如何组建高速又安全的文件服务器
win 2003中配置打印机和打印服务器
windows服务有“备”无患
如何查看自定义天数的alexa数据
详细为您解析jsp的环境引擎--webspher
优秀公益广告作品欣赏(8)
新开放qq免费挂级网站
java数据类型转换
免费在qq上看在线电影电视听音乐
qq珊瑚虫外挂4.0版本发布!
免费把qq炫铃设为本机qq的系统提示音
windows xp专业版iis连接数的更改
优秀公益广告作品欣赏(7)
web服务器配置全攻略(三)
腾讯qq调整升级条件不再诱发网民“通宵
asp.net 2.0 中的异步页功能应用
硬盘坏道修复及数据恢复宝典
免费登录搜索引擎入口大全
搜索引擎注册九大秘法
小心摄像头成为黑客偷窥你的眼睛
内存混插常见问题和解决方法
office2007简体中文版浮出水面 美图抢
0689版windows live messenger五大看点
比旧版看变化 qq2006beta2很不错
给msn messenger好友列表减肥
 友情链接
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接
copyrights © 2004-2006 iyit.net all rights reserved.
网站合作、广告联系qq:147007642、466949678
易特网络技术 点击这里给我发消息