没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
目录
前言:.........................................................................................2
第一节 安装 Windows 2003 Server..........................................2
一、注意授权模式的选择(每服务器,每客户):............................................................2
二、安装时候使用 NTFS 分区格式,设定好 NTFS 磁盘权限。.........................................2
三、禁止不必要的服务和增强网络连接安全性....................................................................3
第二节 安装和配置 IIS.............................................................4
一、仅安装必要的组件,选择 Internet(信息服务 IIS)即可。原则是网站需要组件功能才
安装,比如 ASP.NET 或其它组件不需使用就不要安装。...................................................4
二、修改上传文件的大小.........................................................................................................5
第三节 FTP 服务器架设............................................................5
一、推荐使用 Serv-U.FTP.Server.Corporate.v6.0.0.2..............................................................5
第四节 win2003 系统安全设置.................................................6
第五节 IIS 安全设置..................................................................7
第六节 设置安全的虚拟主机访问权限..................................11
一、 新建 web 网站访问用户组和用户。.............................................................................11
二、设置目录的权限,我们把 web 网站放在 D 盘 jxjw 文件夹(基于安全考虑)........14
三、IIS 设置。.........................................................................................................................17
四、修改所有盘符的权限,将除 Administrators, SYSTEM 的用户组删除,尤其是删除
Users 组、Everyone 组。删除了 EVERYONE 用户组,含义是使普通用户不能越权,而
且 ASP 还可以正常使用。......................................................................................................20
总结:..........................................................................................21
1
前言:
安全是相对的,安全防护不是追求一个永远也攻不破的安全技术,安全体
系应能够保证在入侵发生,系统部分损失等较大风险产生时,关键任务不能中
断,保持网络的生存能力。
安全防护是有时效性的,今天的安全明天就不一定很安全,因为网络的攻
防是此消彼长,道高一尺,魔高一丈的事情,尤其是安全技术,它的敏感性、
竞争性以及对抗性都是很强的,这就需要不断的检查、评估和调整相应的策略。
第一节 安装 Windows 2003 Server
一、注意授权模式的选择(每服务器,每客户):
建议选择“每服务器”模式,用户可以将许可证模式从“每服务器”转换为“每
客户”,但是不能从“每客户”转换为“每服务器”模式。,以后可以免费转换为“每
客户”模式。
所谓许可证(CAL)就是为需要访问 Windows Server 2003 的用户所购
买的授权。有两种授权模式:每服务器和每客户。
每服务器:该许可证是为每一台服务器购买的许可证,许可证的数量由“同
时”连接到服务器的用户的最大数量来决定。每服务器的许可证模式适合用于网
络中拥有很多客户端,但在同一时间“同时”访问服务器的客户端数量不多时采
用。并且每服务器的许可证模式也适用于网络中服务器的数量不多时采用。
每客户:该许可证模式是为网络中每一个客户端购买一个许可证,这样网
络中的客户端就可以合法地访问网络中的任何一台服务器,而不需要考虑“同
时”有多少客户端访问服务器。该许可证模式适用于企业中有多台服务器,并且
客户端“同时”访问服务器的情况较多时采用。
微软在许可数上只是给了你一个法律上的限制,而不是技术上的。
所以假如你希望服务器有更多的并发连接,只要把每服务器模式的数量改
的大一些即可。这个数量会限制到 windows 中所有的网络应用,包括数据库。
二、安装时候使用 NTFS 分区格式,设定好 NTFS 磁盘权限。
C 盘赋给 administrators 和 system 用户组权限,删除其他用户组,其
它盘也可以同样设置。注意网站最好不要放置在 C 盘。
Windows 目录要加上给 users 的默认权限,否则 ASP 和 ASPX 等应用程
序就无法运行。另外,还将 c:\windows\system32 目录下的一些 DOS 命令
文 件 :
net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attri
b.exe,cacls.exe,这些文件都设置只允许 administrators 访问。
另外在 c:/Documents and Settings/这里相当重要,后面的目录里的权
2
限根本不会继承从前的设置,如果仅仅只是设置了 C 盘给 administrators 权
限,而在 All Users/Application Data 目录默认 everyone 用户有权限,这样
入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;
譬如利用 serv-u 的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚
至社会工程学等方法,在用做 web/ftp 服务器的系统里,建议是将这些目录都
设置的限定好权限。
三、禁止不必要的服务和增强网络连接安全性
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按
照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的
Internet 协议(TCP/IP),由于要控制带宽流量服务,额外安装了 Qos 数据
包计划程序。
在 高 级 tcp/ip 设 置 里 --"NetBIOS" 设 置 " 禁 用 tcp/IP 上 的
NetBIOS ( S ) " 。 在 高 级 选 项 里 , 使 用 "Internet 连 接 防 火 墙 " , 这 是
windows 2003 自带的防火墙,在 2000 系统里没有的功能,虽然没什么功能,
但可以屏蔽端口,这样已经基本达到了一个 IPSec 的功能。
注意:不推荐使用 TCP/IP 筛选里的端口过滤功能。譬如在使用 FTP 服务
器的时候,如果仅仅只开放 21 端口,由于 FTP 协议的特殊性,在进行 FTP 传
输的时候,由于 FTP 特有的 Port 模式和 Passive 模式,在进行数据传输的时
候,需要动态的打开高端口,所以在使用 TCP/IP 过滤的情况下,经常会出现连
接上后无法列出目录和数据传输的问题。所以在 2003 系统上增加的 windows
连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的 TCP/IP 过滤功能。
3
第二节 安装和配置 IIS
一、仅安装必要的组件,选择 Internet(信息服务 IIS)即可。原则是网站需要组
件功能才安装,比如 ASP.NET 或其它组件不需使用就不要安装。
4
二、修改上传文件的大小
Windows server 2003 服务器,当上传文件过大(超过 200K)时,提
示错误号 2147467259。原因是 IIS6.0 默认配置把上传文件限制在 200k,超
过即出错。解决方法如下:
首先,停止以下服务:
IIS admin service
World Wide Web Publishing Service
HTTP SSL
然后找到:
C:\Windows\system32\inesrv\metabase.xml \Windows\system32\inesrv\
编辑文件 metabase.xml(不要用写字板,要用记事本编辑,否则容易出错。)
找到:ASPMaxRequestEntityAllowed 默认为 204800 (200k),改成需要的
保存。
最后,启动上面被停止的服务,就完成了!
注:可能会碰到 metabase.xml 文件不能被保存,原因是你的服务未停干净,
建议重启以后再进行上面的操作。
第三节 FTP 服务器架设
一、推荐使用 Serv-U.FTP.Server.Corporate.v6.0.0.2
1.Serv-U 最好不要使用默认安装路径,设置 Serv-U 的目录权限,只有管理员
才能访问;
2、启用 Serv-U 中的安全,serv-u 的几点常规安全设置:
选中"Block "FTP_bounce"attack and FXP"。什么是 FXP 呢?通常,当
使用 FTP 协议进行文件传输时,客户端首先向 FTP 服务器发出一个"PORT"命
令,该命令中包含此用户的 IP 地址和将被用来进行数据传输的端口号,服务器
收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,
上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在
5
剩余20页未读,继续阅读
资源评论
- 萝菠爱大就2013-02-04都是IIS 的资源 么有 文件服务地膜?
cjm1213
- 粉丝: 1
- 资源: 6
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功