服务器安全设置和检查.docx

服务器安全设置和检查.docx

《服务器安全设置和检查.docx》由会员分享，可在线阅读，更多相关《服务器安全设置和检查.docx（10页珍藏版）》请在冰豆网上搜索。

服务器安全设置和检查

2003服务器设置

一、磁盘权限

1、操作系统一般安装在C盘，所以C盘权限比其他盘多一个Users的特殊权限，其他盘的权限只有：

Administrators、SYSTEM的完全控制权限。

Users权限设置为：

遍历文件夹/运行文件读取属性读取权限。

如下图

2、D:

\盘统一的权限是：

system和administrator完全控制，如果是网站服务器检查WEB目录权限应该是继承上一级D:

\下的权限，并添加IIS的账号权限，不能给IIS的完全控制权限。

如果要配置.NET环境的，必须要选：

添加IIS_WPG和ASP.NET计算机账户这两个用户的访问权限，如果没有IIS_WPG也可以添加EVERYONE的用户，这样系统不安全。

多站点服务器可对单个站点设置独立账户权限，防止因单个网站出现病毒问题，导致大面积感染。

3、E:

盘统一的权限是：

system和administrator完全控制。

二、取消硬盘的共享（防止通过共享服务影响系统的安全）

Windows2003安装完成后，会有一些默认共享如下图，这些共享有时会成为黑客入侵途经。

我的电脑===管理===文件共享，系统安装完，所有的硬盘都是默认共享的：

通过注册表regedit添加健值autoshareserver（WORD值），重新启动服务器这样硬盘的默认共享全部停止：

打开注册表：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"autoshareserver"=dword:

00000000

"autosharewks"=dword:

00000000

如果上面所说的主键不存在，就新建（右击-新建-双字节值）一个主健再改键值

这样重新启动服务器后，该服务器的磁盘默认共享自动停止：

命令删除默认共享

通过命令将不安全共享删除，CMD下运行：

C:

\>netshareC$/del

C:

\>netshareD$/del

C:

\>netshareADMIN$/del

删除完成后，每次重启不会再出现这些共享。

三、系统中的服务必要停止的服务：

1：

Alerter：

通知选定的用户和计算机管理警报（禁用）

2：

ApplicationManagement：

为ActiveDirectory智能映像组策略程序处理安装、删除和枚举请求（手动）

3：

ASP.NETStateService：

为ASP.NET提供进程外会话状态支持（如果没有配置，手动）

4：

ClipBook：

启用“剪贴簿查看器”储存信息并与远程计算机共享。

（禁止）

5：

DistributedLinkTrackingServer：

启用同域内的分布式链接跟踪客户端服务（禁止）

6：

DNSClient：

为此计算机解析和缓冲域名系统（DNS）名称（手动）

7：

Messenger：

传输客户端和服务器之间的NETSEND和警报器服务消息（禁止）

8：

RemoteRegistry：

远程修改注册表服务消息（禁止）

还有的服务再安装完系统后都是一些默认的自动停止和手动的，默认的就可以了！

四、本地安全设置：

1、密码策略======修改密码长度最小值：

10个字符

2、本地策略：

审核策略：

如下表图：

这样在事件查看器就可以看见账号登陆服务器的成功和失败的情况。

五、服务器的系统账号的管理：

1：

ADMINISTRATOR账号==管理员账户

2：

SQLDebugger账号====SQLSERVER创建账户

3：

IUSR_COMPUTERNAME===Internet来宾账户

IWAM_CONPUTERNAME===启动IIS进程账户

以及其他创建的FSO的账号除外，如果有其他莫名其妙的账号请查清楚并禁用或删除。

六、网卡防火墙的设置（一般来说只是设置外网卡就可以）（WINDOWS2003）

1、WEB网站服务器开放端口：

Ftp（TCP21,UDP20）;HTTPD（TCP80）;终端（TCP3389）

2、WEB+DB网站数据库服务器开放端口：

Ftp（TCP21,UDP20）;HTTPD（TCP80）;终端（TCP3389）;SQLSERVERDB（TCP1433）

3、DB数据库服务器开放端口：

终端（TCP3389）;SQLSERVERDB（TCP1433）

4、开放服务器的PING服务：

如果不需要开放该服务器的PING服务，就不需要钩选（允许转入响应请求）

七、Serv-U的安装与设置：

Serv-U直接安装在E盘上，不要安装在C:

\的系统目录下（这样可以防止其他组件的BUG造成对系统目录文件的影响）

该服务器serv-u是服务商安装，未修改其路径。

八、修改iis默认上传设置

1.关闭IISAdminService服务

　　2.打开\Windows\system32\inesrv\metabase.xml

　　3.修改ASPMaxRequestEntityAllowed的值为自己需要的,默认为204800

　　4.启动IISAdminService