[web环境]最强的windows2003安全设置

《[web环境]最强的windows2003安全设置》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、[web环境]最强的windows2003安全设置系统:windows2003　　服务:[IIS][SERV-U][IMAIL][SQLSERVER2000][PHP][MYSQL]　　描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减　　1、WINDOWS本地安全策略端口限制　　A.对于我们的例子来说.需要开通以下端口　　外->本地80　　外->本地20　　外->本地21　　外->本地PASV所用到的一些端口　　外->本地25　　外->本地110　　外->本地3389　　然后按照具体情况.打开SQLS

2、ERVER和MYSQL的端口　　外->本地1433　　外->本地3306　　B.接着是开放从内部往外需要开放的端口　　按照实际情况,忍枪无需邮件服务,则不要打开以下两条规则　　本地->外53TCP,UDP　　本地->外25　　按照具体情况.忍枪无需在服务器*****问网页.尽量不要开以下端口　　本地->外80　　C.除了明确允许的一律阻止.这个是安全规则的关键.　　外->本地所有协议阻止　　2、用户帐号　　a.将administrator改名,例子中改为root　　b.取消所有除管理员root外所有用户属性中

3、的　　远程控制->启用远程控制以及　　终端服务配置文件->允许登陆到终端服务器　　c.将guest改名为administrator并且修改密码　　d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQLDEBUG以及TERMINALUSER等等3、目录权限　　将所有盘符的权限,全部改为只有　　administrators组全部权限　　system全部权限　　将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限　　然后做

4、如下修改:　　C:ProgramFilesCommonFiles开放Everyone　默认的读取及运行列出文件目录读取三个权限　　C:WINDOWS开放Everyone　默认的读取及运行列出文件目录读取三个权限　　C:WINDOWSTemp开放Everyone修改,读取及运行,列出文件目录,读取,写禁用词语限出现msdtc日志问题，运行msdtc-resetlog重起　　4、IIS　　在IIS6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,　　在IIS

5、5下我们需要把除了ASP以及ASA以外所有类型删除.　　安装URLSCAN　　在[DenyExtensions]中一般加入以下内容　　.cer　　.cdx　　.mdb　　.bat　　.cmd　　.com　　.htw  　　.ida  　　.idq  　　.htr  　　.idc  　　.shtm　　.shtml　　.stm  　　.printer　　这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.　　因为即便文件头加入特殊字符.还是可以通过编码构造出来的IIS的安全:　　

6、1、不使用默认的Web站点，忍枪使用也要将将IIS目录与系统磁盘分开。　　2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。　　3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。　　4、删除不必要的IIS扩展名映射。　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml,.shtm,.stm　　5、更改IIS日志的路径　　右键单击“默认We

7、b站点→属性-网站-在启用日志记录下点击属性　　6、忍枪使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。IIS(Internet信息服务器管理器)在"主目录"选项设置以下：        读允许        写不允许        脚本源访问不允许        目录浏览建议关闭        记录访问建议关闭        索引资源建议关闭        执行权限推荐选择“纯脚本”>>建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口

8、，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullControl)。>>在IIS6.0-本地计算机-属性-允许直接编辑配置数据库在IIS中属性->主目录->配置->选项中>>在网站把”启用父路径“前面打上勾>>在IIS中的Web服务扩展中选中Ac