日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
windows2003服務(wù)器安全配置的建議
一、操作系統(tǒng)配置

成都創(chuàng)新互聯(lián)專注于銅官企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,商城網(wǎng)站開發(fā)。銅官網(wǎng)站建設(shè)公司,為銅官等地區(qū)提供建站服務(wù)。全流程按需定制開發(fā),專業(yè)設(shè)計(jì),全程項(xiàng)目跟蹤,成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

1.安裝操作系統(tǒng)(NTFS分區(qū))后,裝殺毒軟件,我選用的是卡巴。

2.安裝系統(tǒng)補(bǔ)丁。掃描漏洞全面殺毒

3.刪除Windows Server 2003默認(rèn)共享

首先編寫如下內(nèi)容的批處理文件:

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share F$ /del

net share admin$ /del

文件名為delshare.bat,放到啟動(dòng)項(xiàng)中,每次開機(jī)時(shí)會(huì)自動(dòng)刪除共享。

4.禁用IPC連接

打開CMD后輸入如下命令即可進(jìn)行連接:net use\\ip\ipc$ "password" /user:"usernqme"。我們可以通過(guò)修改注冊(cè)表來(lái)禁用IPC連接。打開注冊(cè)表編輯器。找到如下組建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連接。

5.刪除"網(wǎng)絡(luò)連接"里的協(xié)議和服務(wù)

在"網(wǎng)絡(luò)連接"里,把不需要的協(xié)議和服務(wù)都刪掉,這里只安裝了基本的Internet協(xié)議(TCP/IP),同時(shí)在高級(jí)tcp/ip設(shè)置里–"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。

6.啟用windows連接防火墻,只開放web服務(wù)(80端口)。

注:在2003系統(tǒng)里,不推薦用TCP/IP篩選里的端口過(guò)濾功能,譬如在使用FTP服務(wù)器的時(shí)候,如果僅僅只開放21端口,由于FTP協(xié)議的特殊性,在進(jìn)行FTP傳輸?shù)臅r(shí)候,由于FTP 特有的Port模式和Passive模式,在進(jìn)行數(shù)據(jù)傳輸?shù)臅r(shí)候,需要?jiǎng)討B(tài)的打開高端口,所以在使用TCP/IP過(guò)濾的情況下,經(jīng)常會(huì)出現(xiàn)連接上后無(wú)法列出目錄和數(shù)據(jù)傳輸?shù)膯?wèn)題。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個(gè)問(wèn)題,所以都不推薦使用網(wǎng)卡的TCP/IP過(guò)濾功能。

7.磁盤權(quán)限

系統(tǒng)盤只給 Administrators 和 SYSTEM 權(quán)限

系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 和 SYSTEM 權(quán)限;

系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 和 SYSTEM 權(quán)限;

系統(tǒng)盤\Documents and Settings\All Users\Application Data目錄只給 Administrators 和 SYSTEM 權(quán)限;

系統(tǒng)盤\Windows 目錄只給 Administrators 、 SYSTEM 和 users 權(quán)限;

系統(tǒng)盤\Windows\System32\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe 文件只給 Administrators 權(quán)限(如果覺得沒用就刪了它,比如我刪了cmd.exe,command.exe,嘿嘿。);

其它盤,有安裝程序運(yùn)行的(如:sql server 2000 在D盤)給 Administrators 和 SYSTEM 權(quán)限,無(wú)只給 Administrators 權(quán)限。

8.本地安全策略設(shè)置

開始菜單—>管理工具—>本地安全策略

A、本地策略——>審核策略 (可選用)

審核策略更改 成功 失敗

審核登錄事件 成功 失敗

審核對(duì)象訪問(wèn) 失敗

審核過(guò)程跟蹤 無(wú)審核

審核目錄服務(wù)訪問(wèn) 失敗

審核特權(quán)使用 失敗

審核系統(tǒng)事件 成功 失敗

審核賬戶登錄事件 成功 失敗

審核賬戶管理 成功 失敗

B、本地策略——>用戶權(quán)限分配

關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。

通過(guò)終端服務(wù)拒絕登陸:加入Guests、Users組

通過(guò)終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除

C、本地策略——>安全選項(xiàng)

交互式登陸:不顯示上次的用戶名 啟用

網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的共享 全部刪除

網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命名管道 全部刪除

**網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 全部刪除

**網(wǎng)絡(luò)訪問(wèn):可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 全部刪除

帳戶:重命名來(lái)賓帳戶 重命名一個(gè)帳戶

(下面一項(xiàng)更改可能導(dǎo)致sqlserver不能使用)

帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶

二、iis配置(包括網(wǎng)站所在目錄)

1.新建自己的網(wǎng)站(*注意:在應(yīng)用程序設(shè)置中執(zhí)行權(quán)限設(shè)為無(wú),在需要的目錄里再更改),目錄不在系統(tǒng)盤

注:為支持asp.net,將系統(tǒng)盤\Inetpub\wwwroot中的aspnet_client文件夾復(fù)制到web根目錄下,并給web根目錄加上users權(quán)限。

2.刪掉系統(tǒng)盤\inetpub目錄

3.刪除不用的映射

在"應(yīng)用程序配置"里,只給必要的腳本執(zhí)行權(quán)限:ASP、ASPX。

4.為網(wǎng)站創(chuàng)建系統(tǒng)用戶

A.例如:網(wǎng)站為yushan43436.net,新建用戶yushan43436.net權(quán)限為guests。然后在web站點(diǎn)屬性里"目錄安全性"—"身份驗(yàn)證和訪問(wèn)控制"里設(shè)置匿名訪問(wèn)使用下列Windows 用戶帳戶"的用戶名和密碼都使用yushan43436.net這個(gè)用戶的信息。(用戶名:主機(jī)名\yushan43436.net)

B.給網(wǎng)站所在的磁盤目錄添加用戶yushan43436.net,只給讀取和寫入的權(quán)限。

5.設(shè)置應(yīng)用程及子目錄的執(zhí)行權(quán)限

A.主應(yīng)用程序目錄中的"屬性–應(yīng)用程序設(shè)置–執(zhí)行權(quán)限"設(shè)為純腳本

B.在不需要執(zhí)行asp、asp.net的子目錄中,例如上傳文件目錄,執(zhí)行權(quán)限設(shè)為無(wú)

6.應(yīng)用程序池設(shè)置

我的網(wǎng)站使用的是默認(rèn)應(yīng)用程序池。設(shè)置"內(nèi)存回收":這里的最大虛擬內(nèi)存為:1000M,最大使用的物理內(nèi)存為256M,這樣的設(shè)置幾乎是沒限制這個(gè)站點(diǎn)的性能的。

回收工作進(jìn)程(分鐘):1440

在下列時(shí)間回收工作進(jìn)程:06:00

三、sql server 2000 配置

1.密碼設(shè)置

我編的程序用了sa用戶,密碼設(shè)置超復(fù)雜(自己記不住,保存在手機(jī)里,嘿嘿)。

2.刪除危險(xiǎn)的擴(kuò)展存儲(chǔ)過(guò)程和相關(guān).dll。

Xp_cmdshell(這個(gè)肯定首當(dāng)其沖,不用說(shuō)了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring

四、其它設(shè)置(可選用,本人可不負(fù)責(zé))

1.任何用戶密碼都要復(fù)雜,不需要的用戶—?jiǎng)h。

2.防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名為SynAttackProtect,值為2

3.禁止響應(yīng)ICMP路由通告報(bào)文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值,名為PerformRouterDiscovery 值為0

4.防止ICMP重定向報(bào)文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

5.不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名為IGMPLevel 值為0

6.禁用DCOM:

運(yùn)行中輸入 Dcomcnfg.exe。 回車, 單擊“控制臺(tái)根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開“計(jì)算機(jī)”子文件夾。

對(duì)于本地計(jì)算機(jī),請(qǐng)以右鍵單擊“我的電腦”,然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡。

清除“在這臺(tái)計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。


網(wǎng)頁(yè)標(biāo)題:windows2003服務(wù)器安全配置的建議
URL地址:http://m.5511xx.com/article/coisoec.html