綠色資源網:您身邊最放心的安全下載站! 最新(xīn)軟件(jiàn)|熱門排行(háng)|軟件分(fèn)類|軟件專題|廠商(shāng)大全

綠色資(zī)源網

技術教程(chéng)
您的位置:首頁服務(wù)器類Web服務器(qì) → Win2003服務器IIS6安全防木馬、權(quán)限設置方(fāng)法

Win2003服務器(qì)IIS6安全防(fáng)木馬、權(quán)限(xiàn)設(shè)置方法

我要評論 2010/10/05 21:41:45 來源:綠色資源網 編(biān)輯(jí):綠色軟件站 [大(dà) ] 評論(lùn):0 點擊:454次

一、係統的安裝  

1、按照Windows2003安裝光盤的(de)提示安裝(zhuāng),默認情況下(xià)2003沒(méi)有把IIS6.0安裝(zhuāng)在係統(tǒng)裏麵。
2、IIS6.0的(de)安裝
  開始菜單—>控製(zhì)麵板—>添加(jiā)或刪除程序—>添加/刪(shān)除Windows組件
  應(yīng)用程序 ———ASP.NET(可(kě)選)
       |——啟用網絡 COM+ 訪(fǎng)問(必選)
       |——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(qì)(必選(xuǎn)) 
                   |——公用文件(jiàn)(必選)
                   |——萬維(wéi)網(wǎng)服務———Active Server pages(必(bì)選)
                              |——Internet 數據連接器(可選) 
                              |——WebDAV 發布(bù)(可選)
                              |——萬維(wéi)網服務(必選)
                              |——在服(fú)務器端(duān)的(de)包含文件(可選)
  然後(hòu)點擊確定—>下一(yī)步(bù)安裝。(具體見本文(wén)附件1)

3、係統補丁的更新
  點擊開(kāi)始菜單—>所有程序—>Windows Update
  按照提示進行補丁的(de)安裝。

4、備份係(xì)統
  用GHOST備(bèi)份係統。

5、安(ān)裝常(cháng)用的軟(ruǎn)件
  例如:殺毒軟件、解壓縮軟(ruǎn)件等;安裝完畢後,配(pèi)置殺毒軟件,掃(sǎo)描係統漏洞,安裝之後用GHOST再次(cì)備份(fèn)係統(tǒng)。

6、先關閉不(bú)需要的(de)端口 開啟防火牆 導入IPSEC策略
在”網絡連接”裏,把不(bú)需要的協議和服務都(dōu)刪掉,這裏隻安裝了基本的Internet協(xié)議(TCP/IP),由於要控製帶寬流量服務,額外安裝了Qos數據包計劃程序。在高級tcp/ip設置裏--"NetBioses"設置"禁用tcp/IP上的NetBioses(S)"。在高級選項裏,使用"Internet連接防火牆",這是windows 2003 自(zì)帶的防火牆,在2000係統(tǒng)裏沒有的(de)功能,雖然沒(méi)什麽(me)功(gōng)能,但可以屏蔽(bì)端口,這樣已經基本達到了一個IPSec的功能。

修改3389遠程連接端口
修改(gǎi)注冊表. 
開始--運(yùn)行(háng)--regedit 
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ 
TERMINAL SERVER/WDS/RDPWD/TDS/TCP 
右(yòu)邊鍵值(zhí)中 PortNumber 改為你想(xiǎng)用的端口號.注意使用十進(jìn)製(例 10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ 
WINSTATIONS/RDP-TCP/ 
右邊鍵值中 PortNumber 改為(wéi)你想(xiǎng)用的端(duān)口號.注意使用十進製(zhì)(例(lì) 10000 ) 
注意:別忘(wàng)了在WINDOWS2003自帶的防火牆給+上(shàng)10000端(duān)口(kǒu)
修改完畢(bì).重新啟動服務器(qì).設置生效.

二、用戶安全設置 
1、禁用Guest賬號 
在計算機管理的(de)用戶裏(lǐ)麵把Guest賬號禁用。為了保險起見,最好給Guest加(jiā)一個複雜的密碼。你可以(yǐ)打開記事本,在裏麵輸入(rù)一串(chuàn)包含特殊字符、數字、字母的長(zhǎng)字(zì)符串,然後把它作為Guest用戶的密(mì)碼拷進(jìn)去。 
2、限(xiàn)製不必要的用戶(hù) 
去(qù)掉所有的Duplicate User用戶、測(cè)試用戶、共(gòng)享用戶等等。用戶組策(cè)略(luè)設置相應權限,並且經常檢查係統的用戶,刪除已經不再使用的用戶。這些用戶(hù)很(hěn)多時候都是黑客們入侵係統的突破口。 
3、把係統(tǒng)Administrator賬號改名 
大家都知道,Windows 2003 的Administrator用戶是不能(néng)被停用的,這(zhè)意味著(zhe)別人(rén)可以一遍又一遍地嚐試(shì)這個用戶的密(mì)碼(mǎ)。盡量把它偽裝成普通用戶,比如改(gǎi)成Guesycludx。 
4、創建一個陷阱(jǐng)用戶 
什麽是陷(xiàn)阱用(yòng)戶?即創建一個名為“Administrator”的本地用戶,把(bǎ)它的權限設置成(chéng)最(zuì)低,什麽事(shì)也幹不了的那種,並且加上一個(gè)超過10位的超級複(fù)雜密碼。這樣可以讓那些 Hacker們忙上(shàng)一段時間,借此(cǐ)發現(xiàn)它們的入(rù)侵企圖。 
5、把共享文件的權限從Everyone組改成授權用戶 
任何時(shí)候都不要把共享文件的用(yòng)戶設置(zhì)成“Everyone”組,包括打(dǎ)印共享,默(mò)認的屬性就是“Everyone”組的,一定不(bú)要忘了改。 
6、開啟(qǐ)用(yòng)戶策略 
使(shǐ)用用戶(hù)策略(luè),分別設置複(fù)位用戶鎖定計數(shù)器(qì)時間為20分鍾,用戶鎖定時間為20分鍾,用戶鎖定閾值為3次。 (該項為(wéi)可選)
7、不讓係統顯示(shì)上次登錄的用戶名 
默認情(qíng)況下,登錄(lù)對(duì)話框中會顯(xiǎn)示上次登(dēng)錄的用(yòng)戶名。這使得別(bié)人可以很容易地得到係統的一些(xiē)用戶(hù)名,進而做密碼猜測(cè)。修改注冊表可以(yǐ)不讓對(duì)話框裏顯示上次登錄的用戶名。方法為:打開注冊表編(biān)輯器並找(zhǎo)到注(zhù)冊表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把(bǎ)REG_SZ的鍵值改成1。 
密碼(mǎ)安(ān)全設置 
1、使用安(ān)全密碼 
一些(xiē)公司(sī)的管理員創建賬號(hào)的時(shí)候往往用公司名、計算機名做用戶名,然後又把這些用戶的密碼設置(zhì)得(dé)太簡單,比如“welcome”等等。因(yīn)此,要(yào)注意密碼的複雜性,還要記住經常改密碼。 
2、設置屏幕保護(hù)密碼 
這是一個(gè)很(hěn)簡單也很有必要的操作。設(shè)置屏幕保護密(mì)碼也是防止內(nèi)部人員(yuán)破壞服務器的一個屏障。 
3、開(kāi)啟密碼策略 
注意應用密碼策略,如啟(qǐ)用密碼複(fù)雜(zá)性要求,設置密(mì)碼(mǎ)長度最小值(zhí)為6位 ,設置強製密碼曆史為5次,時(shí)間為(wéi)42天。 
4、考慮使用智能卡來代替密(mì)碼 
對於密碼,總是使安全管理(lǐ)員(yuán)進退兩難,密碼設置(zhì)簡單容易受到黑客的(de)攻擊,密碼設置(zhì)複雜又容易忘(wàng)記。如果條件允許,用智能卡來(lái)代(dài)替複雜的密碼(mǎ)是一個很好的解決方(fāng)法。
三、係統(tǒng)權限的設置
1、磁盤權限
  係(xì)統盤(pán)及(jí)所有磁盤隻給 Administrators 組和 SYSTEM 的(de)完全(quán)控(kòng)製權限
  係統盤\Documents and Settings 目錄(lù)隻給 Administrators 組和 SYSTEM 的完全控製權限
  係統(tǒng)盤\Documents and Settings\All Users 目錄隻給 Administrators 組和 SYSTEM 的(de)完全控(kòng)製權限
  係統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、       netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件隻給 Administrators 組和SYSTEM 的完全  控製(zhì)權限(xiàn)  
另將\System32\cmd.exe、format.com、ftp.exe轉移到其(qí)他目錄或更名 
  Documents and Settings下所有些目錄都設置隻給adinistrators權限。並且要一個一個目(mù)錄查看,包括下麵的所有子目錄。
刪除c:\inetpub目錄

2、本地安(ān)全策略設置
  開始菜單—>管理工(gōng)具—>本地安全(quán)策略
  A、本地策略——>審核策略(luè) 
  審(shěn)核策(cè)略更改   成(chéng)功 失敗  
  審核登錄事件(jiàn)   成功(gōng) 失(shī)敗
  審核(hé)對象訪問      失(shī)敗
  審核過程跟蹤   無(wú)審(shěn)核(hé)
  審核目錄服務訪問(wèn)    失敗
  審核特權使(shǐ)用      失敗
  審核係統事件   成功 失敗(bài)
  審核賬戶(hù)登(dēng)錄(lù)事件 成功(gōng) 失敗
  審核賬戶管(guǎn)理(lǐ)   成(chéng)功 失敗(bài)

  B、本地策略——>用戶權限分配
  關閉係統:隻有Administrators組、其它全部刪(shān)除(chú)。 
  通(tōng)過終端服務允(yǔn)許登陸:隻加入Administrators,Remote Desktop Users組,其他全(quán)部刪除

  C、本地(dì)策略——>安全選項
  交(jiāo)互式登陸:不顯示上(shàng)次的用戶(hù)名       啟用
  網絡訪問(wèn):不允(yǔn)許SAM帳戶(hù)和共享的匿名枚舉  啟用
  網絡(luò)訪問(wèn):不允(yǔn)許(xǔ)為網絡身份(fèn)驗證儲存憑證   啟(qǐ)用
  網絡訪(fǎng)問:可(kě)匿名訪問的共(gòng)享         全部(bù)刪除
  網(wǎng)絡訪問:可匿名訪問的命          全部刪除(chú)
  網絡訪問(wèn):可遠程訪問(wèn)的注冊(cè)表路(lù)徑      全部刪除 
  網(wǎng)絡訪問:可(kě)遠(yuǎn)程訪(fǎng)問的注(zhù)冊(cè)表路徑和子路徑  全部刪(shān)除 
  帳戶:重(chóng)命名來賓帳戶(hù)            重命名(míng)一個帳戶 
  帳戶(hù):重命名係統管理員帳戶         重(chóng)命名(míng)一個帳戶

3、禁用不必(bì)要的服務  開始-運行-services.msc
      TCP/IPNetBioses Helper提(tí)供 TCP/IP 服務上的 NetBioses 和網絡上客戶端(duān)的 NetBioses 名稱解(jiě)析的支持而使用戶能夠共享
      文件、打印(yìn)和登錄(lù)到(dào)網絡
      Server支持此計算機通過網絡的文(wén)件、打印(yìn)、和(hé)命名管道(dào)共享
  Computer Browser 維(wéi)護網絡(luò)上計算(suàn)機的最(zuì)新列(liè)表以及提供(gòng)這個列表 
      Task scheduler 允許程(chéng)序在指定時間運行 
      Messenger 傳輸客戶端和(hé)服務器之間的 NET SEND 和 警報器(qì)服務消(xiāo)息 
  Distributed File System: 局(jú)域網管理共(gòng)享文(wén)件,不需要(yào)可禁(jìn)用 
  Distributed linktracking client:用(yòng)於局域網更(gèng)新連接信息,不需要可禁用 
  Error reporting service:禁止發送錯誤報告 

關鍵詞:Win2003,服務器,IIS6安(ān)全,木馬

閱讀本文後您有什(shí)麽感(gǎn)想? 已有 人給出評價(jià)!

  • 0 歡迎喜歡
  • 0 白癡
  • 0 拜(bài)托(tuō)
  • 0 哇
  • 0 加油
  • 0 鄙(bǐ)視