Win2003系统安全解决方案.docVIP

Windows 2003系统安全完全解决方案 目　录 第一节 安装 Windows 2003 Server 第二节 安装和配置IIS 第三节 FTP服务器架设 第四节 Win2003架设多域名ASP网站服务 第五节 win2003系统安全设置注册表、服务 第六节 IIS安全设置 第七节 设置安全的虚拟主机访问权限 第八节 文件安全权限设置 第九节 防止暴库和防止注入处理 第十节 封锁端口 第十一节 WEB网站异常的处置流程 第十二节 常见网站故障解决方法 第十三节　网站安全实用工具 安装 Windows 2003 Server 一、注意授权模式的选择（每服务器，每客户）： 建议选择“每服务器”模式，用户可以将许可证模式从“每服务器”转换为“每客户”，但是不能从“每客户”转换为“每服务器”模式。，以后可以免费转换为“每客户”模式。 所谓许可证（CAL）就是为需要访问Windows Server 2003的用户所购买的授权。有两种授权模式：每服务器和每客户。 每服务器：该许可证是为每一台服务器购买的许可证，许可证的数量由“同时”连接到服务器的用户的最大数量来决定。每服务器的许可证模式适合用于网络中拥有很多客户端，但在同一时间“同时”访问服务器的客户端数量不多时采用。并且每服务器的许可证模式也适用于网络中服务器的数量不多时采用。 每客户：该许可证模式是为网络中每一个客户端购买一个许可证，这样网络中的客户端就可以合法地访问网络中的任何一台服务器，而不需要考虑“同时”有多少客户端访问服务器。该许可证模式适用于企业中有多台服务器，并且客户端“同时”访问服务器的情况较多时采用。 微软在许可数上只是给了你一个法律上的限制，而不是技术上的。 所以假如你希望服务器有更多的并发连接，只要把每服务器模式的数量改的大一些即可。这个数量会限制到windows中所有的网络应用，包括数据库。 二、安装时候使用NTFS分区格式，设定好NTFS磁盘权限。 为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。 C盘赋予administrators 和system用户组权限，删除其他用户组，其它盘也可以同样设置。注意网站最好不要放置在C盘。 Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。另外，还将c:\windows\system32 目录下的一些DOS命令文件：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。 另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录默认everyone用户有权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等方法，在用做web/ftp服务器的系统里，建议是将这些目录都设置的限定好权限。 三、禁止不必要的服务和增强网络连接安全性 把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。 在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。 在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用Internet连接防火墙，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。 注意：不推荐使用TCP/IP筛选里的端口过滤功能。譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。 安装和配置IIS 一、仅安装必要的组件，选择Internet(信