win2003 服務器安全配置全套詳解

2024-09-10 00:05:32

字體：大中小

來源：轉載

供稿：網友

我寫這篇文章的時候心里很不踏實，總害怕說錯了會誤了別人的事。呵呵下面開始說下。

本文更側重于防止ASP漏洞攻擊，所以服務器防黑等方面的講解可能略嫌少了點。
　　基本的服務器安全設置
　　安裝補丁
　　安裝好操作系統之后，最好能在托管之前就完成補丁的安裝，配置好網絡后，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然后點擊開始→Windows Update，安裝所有的關鍵更新。
　　安裝殺毒軟件
　　雖然殺毒軟件有時候不能解決問題，但是殺毒軟件避免了很多問題。我一直在用諾頓2004，據說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機好，不過我沒用過。
　　不要指望殺毒軟件殺掉所有的木馬，因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。
　　設置端口保護和防火墻、刪除默認共享
　　都是服務器防黑的措施，即使你的服務器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區，大概知道屏蔽端口用本地安全策略，不過這方面的東西網上攻略很多，大家可以擻出來看看，晚些時候我或者會復制一些到我的網站上。
　　權限設置
　　阿江感覺這是防止ASP漏洞攻擊的關鍵所在，優秀的權限設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。
　　權限設置的原理
　　WINDOWS用戶，在WINNT系統中大多數時候把權限按用戶(組)來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。
　　NTFS權限設置，請記住分區的時候把所有的硬盤都分為NTFS分區，然后我們可以確定每個分區對每個用戶開放的權限。【文件(夾)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權限。
　　IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶(現在暫且把它叫“IIS匿名用戶”)，當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的權限，就是這個“IIS匿名用戶”所具有的權限。
　　權限設置的思路
　　要為每個獨立的要保護的個體(比如一個網站或者一個虛擬目錄)創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置權限的身份。
　　在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。
　　設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問(要去掉繼承父權限，并且要加上超管組和SYSTEM組)。

上一篇：Windows 服務器組件安全設置策略

下一篇：服務器安全策略 IP安全策略設置方法