Win2003 Server 安全的個人Web服務器
2024-09-10 16:49:41
供稿:網友
如何才能打造一個安全的個人Web服務器?下面我們簡單介紹一下
一��、Windows Server2003的安裝
1�����、安裝系統最少兩需要個分區,分區格式都采用NTFS格式
2��、在斷開網絡的情況安裝好2003系統
3���、安裝IIS����,僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP 服務)�。默認情況下,IIS服務沒有安裝���,在添加/刪除Win組件中選擇“應用程序服務器”,然后點擊“詳細信息”����,雙擊Internet信息服務(iis)��,勾選以下選項:
Internet 信息服務管理器���;
公用文件����;
后臺智能傳輸服務 (BITS) 服務器擴展�;
萬維網服務。
如果你使用 FrontPage 擴展的 Web 站點再勾選:FrontPage 2002 Server Extensions
4���、安裝MSSQL及其它所需要的軟件然后進行Update。
5�����、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析計算機的安全配置���,并標識缺少的修補程序和更新�����。下載地址:見頁末的鏈接
二��、設置和管理賬戶
1、系統管理員賬戶最好少建����,更改默認的管理員帳戶名(Administrator)和描述,密碼最好采用數字加大小寫字母加數字的上檔鍵組合,長度最好不少于14位。
2�、新建一個名為Administrator的陷阱帳號����,為其設置最小的權限�,然后隨便輸入組合的最好不低于20位的密碼
3、將Guest賬戶禁用并更改名稱和描述,然后輸入一個復雜的密碼�����,當然現在也有一個DelGuest的工具���,也許你也可以利用它來刪除Guest賬戶��,但我沒有試過��。
4、在運行中輸入gpedit.msc回車,打開組策略編輯器���,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設為“三次登陸無效”,“鎖定時間為30分鐘”�,“復位鎖定計數設為30分鐘”�。
5�����、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用
6��、在安全設置-本地策略-用戶權利分配中將“從網絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶�。
7��、創建一個User賬戶,運行系統,如果要運行特權命令使用Runas命令。
三����、網絡服務安全管理
1�、禁止C$���、D$����、ADMIN$一類的缺省共享
打開注冊表�����,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters���,在右邊的窗口中新建Dword值����,名稱設為AutoShareServer值設為0
2、 解除NetBios與TCP/IP協議的綁定
右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的NETBIOS
3���、關閉不需要的服務,以下為建議選項
Computer Browser:維護網絡計算機更新�����,禁用
Distributed File System: 局域網管理共享文件���,不需要禁用
Distributed linktracking client:用于局域網更新連接信息�����,不需要禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索���,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的���,不需要禁用
PrintSpooler:如果沒有打印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協助
四、打開相應的審核策略
在運行中輸入gpedit.msc回車���,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多��,生成的事件也就越多����,那么要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件,你需要根據情況在這二者之間做出選擇�。
