Win的web服务器设置Word文档下载推荐.docx
- 文档编号:17646017
- 上传时间:2022-12-07
- 格式:DOCX
- 页数:9
- 大小:20.67KB
Win的web服务器设置Word文档下载推荐.docx
《Win的web服务器设置Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《Win的web服务器设置Word文档下载推荐.docx(9页珍藏版)》请在冰豆网上搜索。
B、本地策略-->
用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:
加入Guests组
通过终端服务允许登陆:
加入Administrators、RemoteDesktopUsers组,其他全部删除
C、本地策略-->
安全选项
交互式登陆:
不显示上次的用户名启用
网络访问:
不允许SAM帐户和共享的匿名枚举启用
不允许为网络身份验证储存凭证启用
可匿名访问的共享全部删除
可匿名访问的命全部删除
可远程访问的注册表路径全部删除
可远程访问的注册表路径和子路径全部删除
帐户:
重命名来宾帐户重命名一个帐户
重命名系统管理员帐户重命名一个帐户
D、账户策略-->
账户锁定策略
将账户设为“5次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”
√·
把Administrator账户更改
管理工具→本地安全策略→本地策略→安全选项
新建一无任何权限的假Administrator账户
管理工具→计算机管理→系统工具→本地用户和组→用户
更改描述:
管理计算机(域)的内置帐户
×
·
重命名IIS来宾账户
1、管理工具→计算机管理→系统工具→本地用户和组→用户→重命名IUSR_ComputerName
2、打开IIS管理器→本地计算机→属性→允许直接编辑配置数据库
3、进入Windowsystem32\inetsrv文件夹→metabase.xml→右键编辑→找到"
AnonymousUserName"
→写入"
IUSR_"
新名称→保存
4、关闭"
允许直接编辑配置数据库"
禁止文件共享
本地连接属性→去掉"
Microsoft网络的文件和打印共享"
和"
Microsoft网络客户端"
前面的"
√"
禁止NetBIOS(关闭139端口)
本地连接属性→TCP/IP属性→高级→WINS→禁用TCP/IP上的NetBIOS
管理工具→计算机管理→设备管理器→查看→显示隐藏的设备→非即插即用驱动程序→禁用NetBiosovertcpip→重启
防火墙的设置
本地连接属性→高级→Windows防火墙设置→高级→第一个"
设置"
,勾选FTP、HTTP、远程桌面服务
禁止ADMIN$缺省共享、磁盘默认共享、限制IPC$缺省共享(匿名用户无法列举本机用户列表、禁止空连接)
新建REG文件,导入注册表
----------------------------------
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"
AutoshareWks"
=dword:
00000000
AutoShareServer"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
restrictanonymous"
00000001
删除以下注册表主键
Wscript.Network
Wscript.Network.1
{093FF999-1EA0-4079-9525-9614C3504B74}
Wscript.Shell
Wscript.Shell.1
{72C24DD5-D70A-438B-8A42-98424B88AFB8}
Shell.Application
Shell.Application.1
{13709620-C279-11CE-A49E-444553540000}
更改3389端口为12451
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]
PortNumber"
00030A3
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]
000030A3
最后别忘了Windows防火墙允许12451端口,关闭3389端口
禁止非管理员使用at命令
SubmitControl"
设置自动登录
-----------------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
AutoAdminLogon"
="
1"
DefaultPassword"
登录密码"
卸载最不安全的组件
运行"
卸载最不安全的组件.bat"
,重启后更名或删掉Windows\System32\里的wshom.ocx和shell32.dll
----------------卸载最不安全的组件.bat-----------------
regsvr32/u%SystemRoot%\System32\wshom.ocx
regsvr32/u%SystemRoot%\System32hell32.dll
regsvr32/u%SystemRoot%\System32\wshext.dll
-------------------------------------------------------
Windows日志的移动
打开"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\"
Application子项:
应用程序日志
Security子项:
安全日志
System子项:
系统日志
分别更改子项的File键值,再把System32\config目录下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt复制到目标文件夹,重启。
Windows日志的保护
1、移动日志后的文件夹→属性→安全→高级→去掉"
允许父系的继承权限……"
→复制→确定
2、保留System账户和User组,System账户保留除完全控制和修改之外的权限,User组仅保留只读权限
3、AppEvent.Evt、SysEvent.Evt保留Administrator、System账户和User组,Administrator、System账户保留除完全控制和修改之外的权限,User组仅保留只读权限;
DnsEvent.Evt、SecEvent.Evt保留System账户和User组,System账户保留除完全控制和修改之外的权限,User组仅保留只读权限
要手动停止/禁用的服务:
ComputerBrowser、Errorreportingservice、MicrosoftSerch、PrintSpooler、RemoteRegistry、Server、TCP/IPNetBIOSHelper、Workstation
解决在IIS6.0中,无法下载超过4M的附件(现改为10M)
停止IIS服务→打开WINDOWSystem32\inetsrv\→记事本打开metabase.xml→找到AspBufferingLimit项→值改为10485760
设置Web上传单个文件最大值为10MB
停止IIS服务→打开WINDOWSystem32\inetsrv\→记事本打开metabase.xml→找到AspMaxRequestEntityAllowed项→值改为10485760
重新定位和设置IIS日志文件的权限
1、将IIS日志文件的位置移动到非系统分区:
在非系统的NTFS分区新建一文件夹→打开IIS管理器→右键网站→属性→单击"
启用日志记录"
框架中的"
属性"
→更改到刚才创建的文件夹
2、设置IIS日志文件的权限:
浏览至日志文件所在的文件夹→属性→安全→确保Administrators和System的权限设置为"
完全控制"
配置IIS元数据库权限
打开Windows\System32\Inetsrv\metabase.xml文件→属性→安全→确认只有Administrators组的成员和LocalSystem帐户拥有对元数据库的完全控制访问权,删除所有其他文件权限→确定
解释Web内容的权限
打开IIS管理器→右键想要配置的网站的文件夹、网站、目录、虚拟目录或文件
?
脚本源文件访问。
用户可以访问源文件。
如果选择"
读"
,则可以读源文件;
写"
,则可以写源文件。
脚本源访问包括脚本的源代码。
如果"
或"
均未选择,则此选项不可用。
读(默认情况下选择)。
用户可以查看目录或文件的内容和属性。
写。
用户可以更改目录或文件的内容和属性。
目录浏览。
用户可以查看文件列表和集合。
日志访问。
对网站的每次访问创建日志项。
检索资源。
允许检索服务检索此资源。
这允许用户搜索资源。
关闭自动播放
运行组策略编辑器(gpedit.msc)→计算机配置→管理模板→系统→关闭自动播放→属性→已启用→所有驱动器
禁用DCOM
运行Dcomcnfg.exe。
控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式COM”复选框。
启用父路径
IIS管理器→右键网站→属性→主目录→配置→选项→启用父路径
IIS6.0系统无任何动作超时时间和脚本超时时间
IIS管理器→右键网站→属性→主目录→配置→选项→分别改为40分钟和180秒
删除不必要的IIS扩展名映射
IIS管理器→右击Web站点→属性→主目录→配置→映射,去掉不必要的应用程序映射,主要为.shtml.shtm.stm
增加IIS对MIME文件类型的支持
IIS管理器→选择服务器→右键→属性→MIME类型(或者右键web站点→属性→HTTP头→MIME类型→新建)添加如下表内容,然后重启IIS
扩展名MIME类型
.isoapplication/octet-stream
.rmvbapplication/vnd.rn-realmedia
禁止dumpfile的产生
我的电脑→右键→属性→高级→启动和故障恢复→写入调试信息→无。
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。
然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。
→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→
Serv-UFTP服务的设置
本地服务器→设置→拦截"
FTP_bounce"
攻击和FXP
对于60秒内连接超过10次的用户拦截5分钟
本地服务器→域→用户→选中需要设置的账号→右边的"
同一IP只允许2个登录"
本地服务器→域→设置→高级→取消"
允许MDTM命令来更改文件的日期/时间"
设置Serv-U所在的文件夹的权限,Administrator组完全控制,禁止Guests组和IIS匿名用户有读取权限
服务器消息,自上而下分别改为:
服务器工作正常,现已准备就绪...
错误!
请与管理员联系!
FTP服务器正在离线维护中,请稍后再试!
FTP服务器故障,请稍后再试!
当前账户达到最大用户访问数,请稍后再试!
很抱歉,服务器不允许匿名访问!
您上传的东西太少,请上传更多东西后再尝试下载!
安装URLSCAN
配置文件在:
%WINDIR%\System32\Inetsrv\URLscan
SQL安全设置
审核指向SQLServer的连接
企业管理器→展开服务器组→右键→属性→安全性→失败
修改sa账户密码
企业管理器→展开服务器组→安全性→登录→双击sa账户
SQL查询分析器
usemaster
execsp_dropextendedproc'
xp_cmdshell'
xp_dirtree'
xp_enumgroups'
xp_fixeddrives'
xp_loginconfig'
xp_enumerrorlogs'
xp_getfiledetails'
Sp_OACreate'
Sp_OADestroy'
Sp_OAGetErrorInfo'
Sp_OAGetProperty'
Sp_OAMethod'
Sp_OASetProperty'
Sp_OAStop'
Xp_regaddmultistring'
Xp_regdeletekey'
Xp_regdeletevalue'
Xp_regenumvalues'
Xp_regread'
Xp_regremovemultistring'
Xp_regwrite'
dropproceduresp_makewebtask
防止WinWebMail外发垃圾邮件:
在服务器上点击右下角图标,然后在弹出菜单的"
系统设置"
-->
收发规则"
中选中"
启用SMTP发信认证功能"
项,这可能是最有效的防范外发垃圾邮件的手段。
只允许系统内用户对外发信"
项。
使用系统自动识别和过滤外发垃圾邮件的功能。
在
服务器上点击右下角图标,然后在弹出菜单的"
防护"
页选中"
启用外发垃圾邮件自动过滤功能"
项,然后再启用其设置中的"
允许自动调整"
项即可。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。
目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。
下载地址见页未的链接
如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
在[DenyExtensions]中一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Win web 服务器 设置