高防服務器裝了windows 2003 R2 32位系統后如何設置服務器安全呢？

高防服務器 win2003安全設置

一、硬盤分區與操作系統的安裝

1.

2.

硬盤分區
總的來講在硬盤分區上面沒什么值得深入剖析的地方，無非就是一個在分區前做好規劃知道要去放些什么東西，如果實在不知道。那就只一個硬盤只分一個區，分區要一次性完成，不要先分成FAT32再轉成NTFS。一次性分成 NTFS格式，以我個人習慣，系統盤一般給12G。建議使用光盤啟動完成分區過程，不要加載硬盤軟件。

3.

系統安裝
以下內容均以2003為例
安裝過程也沒什么多講的，安裝系統是一個以個人性格為參數的活動，我建議在安裝路徑上保持默認路徑，好多文章上寫什么安裝路徑要改成什么呀什么的，這是沒必要的。路徑保存在注冊表里，怎么改都沒用。在安裝過程中就要選定你需要的服務，如一些DNS、DHCP沒特別需要也就不要裝了。在安裝過程中網卡屬性中可以只保留TCP/IP 這一項，同時禁用NETBOIS。安裝完成后如果帶寬條件允許可用系統自帶在線升級。

二、系統權限與安全配置

前面講的都是屁話，潤潤筆而已。（俺也文人一次）
話鋒一轉就到了系統權限設置與安全配置的實際操作階段
系統設置網上有一句話是"最小的權限+最少的服務=最大的安全"。此句基本上是個人都看過，但我好像沒有看到過一篇講的比較詳細稍具全面的文章，下面就以我個人經驗作一次教學嘗試！

2.1 最小的權限如何實現？

NTFS系統權限設置
在使用之前將每個硬盤根加上 Administrators 用戶為全部權限(可選加入SYSTEM用戶)
刪除其它用戶，進入系統盤:權限如下

·

· C:\WINDOWS Administrators SYSTEM用戶全部權限 Users 用戶默認權限不作修改

· 其它目錄刪除Everyone用戶，切記C:\Documents and Settings下All Users\Default User目錄及其子目錄
如C:\Documents and Settings\All Users\Application Data 目錄默認配置保留了Everyone用戶權限
C:\WINDOWS 目錄下面的權限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone權限.

· 刪除C:\WINDOWS\Web\printers目錄，此目錄的存在會造成IIS里加入一個.printers的擴展名，可溢出攻擊

· 默認IIS錯誤頁面已基本上沒多少人使用了。建議刪除C:\WINDOWS\Help\iisHelp目錄

· 刪除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目錄為管理IIS密碼之用，如一些因密碼不同步造成500 錯誤的時候使用 OWA 或 Iisadmpwd 修改同步密碼，但在這里可以刪掉，下面講到的設置將會杜絕因系統設置造成的密碼不同步問題。

· 打開C:\Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

修改權限，刪除所有的用戶只保存Administrators 和SYSTEM為所有權限

關閉445端口

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 "DWORD值"值名為 "SMBDeviceEnabled" 數據為默認值"0"

禁止建立空連接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 "DWORD值"值名為 "RestrictAnonymous" 數據值為"1" [2003默認為1]

禁止系統自動啟動服務器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 "DWORD值"值名為 "AutoShareServer" 數據值為"0"

禁止系統自動啟動管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 "DWORD值"值名為 "AutoShareWks" 數據值為"0"

通過修改注冊表防止小規模DDOS攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 "DWORD值"值名為 "SynAttackProtect" 數據值為"1"

禁止dump file的產生
dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。然而，它也能夠給黑客提供一些敏感信息比如一些應用程序的密碼等。控制面板>系統屬性>高級>啟動和故障恢復把寫入調試信息改成無。

關閉華醫生Dr.Watson
在開始-運行中輸入"drwtsn32"，或者開始-程序-附件-系統工具-系統信息-工具-Dr Watson，調出系統里的華醫生Dr.Watson ，只保留"轉儲全部線程上下文"選項，否則一旦程序出錯，硬盤會讀很久，并占用大量空間。如果以前有此情況，請查找user.dmp文件，刪除后可節省幾十MB空間。

本地安全策略配置
開始 > 程序 > 管理工具 > 本地安全策略

·

· 賬戶策略 > 密碼策略 > 密碼最短使用期限改成0天[即密碼不過期，上面我講到不會造成IIS密碼不同步]

· 賬戶策略 > 賬戶鎖定策略 >賬戶鎖定閾值 5 次 賬戶鎖定時間 10分鐘 [個人推薦配置]

· 本地策略 > 審核策略 >

· 賬戶管理 成功 失敗

· 登錄事件 成功 失敗

· 對象訪問 失敗

· 策略更改 成功 失敗

· 特權使用 失敗

· 系統事件 成功 失敗

· 目錄服務訪問 失敗

· 賬戶登錄事件 成功 失敗

· 本地策略 > 安全選項 > 清除虛擬內存頁面文件更改為"已啟用"

·

o

o > 不顯示上次的用戶名 更改為"已啟用"

o > 不需要按CTRL+ALT+DEL 更改為"已啟用"

o > 不允許 SAM 賬戶的匿名枚舉 更改為"已啟用"

o > 不允許 SAM 賬戶和共享的匿名枚舉 更改為"已啟用"

o > 重命名來賓賬戶 更改成一個復雜的賬戶名

o > 重命名系統管理員賬號 更改一個自己用的賬號 [同時可建立一個無用戶組的Administrat賬戶]

組策略編輯器
運行 gpedit.msc 計算機配置 > 管理模板 > 系統 顯示"關閉事件跟蹤程序" 更改為已禁用

刪除不安全組件
WScript.Shell 、Shell.application 這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。

1.

2. 方案一：

regsvr32 /u wshom.ocx 卸載WScript.Shell 組件
regsvr32 /u shell32.dll 卸載Shell.application 組件

如果按照上面講到的設置，可不必刪除這兩個文件

3. 方案二：

刪除注冊表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 對應 WScript.Shell
刪除注冊表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 對應 Shell.application

用戶管理
建立另一個備用管理員賬號，防止特殊情況發生。
安裝有終端服務與SQL服務的高防服務器停用TsInternetUser, SQLDebugger這兩個賬號

用戶組說明
在將來要使用到的IIS中，IIS用戶一般使用Guests組，也可以再重新建立一個獨立的專供IIS使用的組，但要將這個組賦予C:\Windows 目錄為讀取權限[單一讀取] 個人不建議使用單獨目錄，太小家子氣。

二、系統權限與安全配置

2.2最少的服務如果實現

黑色為自動 綠色為手動 紅色為禁用

·

· Alerter

· Application Experience Lookup Service

· Application Layer Gateway Service

· Application Management

· Automatic Updates [Windows自動更新,可選項]

· Background Intelligent Transfer Service

· ClipBook

· COM+ Event System

· COM+ System Application

· Computer Browser

· Cryptographic Services

· DCOM Server Process Launcher

· DHCP Client

· Distributed File System

· Distributed Link Tracking Client

· Distributed Link Tracking Server

· Distributed Transaction Coordinator

· DNS Client

· Error Reporting Service

· Event Log

· File Replication

· Help and Support

· HTTP SSL

· Human Interface Device Access

· IIS Admin Service

· IMAPI CD-Burning COM Service

· Indexing Service

· Intersite Messaging

· IPSEC Services [如果使用了IP安全策略則自動，如無則禁用，可選操作]

· Kerberos Key Distribution Center

· License Logging

· Logical Disk Manager [可選，多硬盤建議自動]

· Logical Disk Manager Administrative Service

· Messenger   /li>

· Microsoft Search

· Microsoft Software Shadow Copy Provider

· MSSQLSERVER

· MSSQLServerADHelper

· Net Logon

· NetMeeting Remote Desktop Sharing

· Network Connections

· Network DDE

· Network DDE DSDM

· Network Location Awareness (NLA)

· Network Provisioning Service

· NT LM Security Support Provider

· Performance Logs and Alerts

· Plug and Play

· Portable Media Serial Number Service [微軟反盜版工具，目前只針對多媒體類]

· Print Spooler

· Protected Storage

· Remote Access Auto Connection Manager

· Remote Access Connection Manager

· Remote Desktop Help Session Manager

· Remote Procedure Call (RPC)

· Remote Procedure Call (RPC) Locator

· Remote Registry

· Removable Storage

· Resultant Set of Policy Provider

· Routing and Remote Access

· Secondary Logon

· Security Accounts Manager

· Server

· Shell Hardware Detection

· Smart Card

· Special Administration Console Helper

· SQLSERVERAGENT

· System Event Notification

· Task Scheduler

· TCP/IP NetBIOS Helper

· Telephony

· Telnet

· Terminal Services

· Terminal Services Session Directory

· Themes

· Uninterruptible Power Supply

· Upload Manager

· Virtual Disk Service

· Volume Shadow Copy

· WebClient

· Windows Audio [服務器沒必要使用聲音]

· Windows Firewall/Internet Connection Sharing (ICS)

· Windows Image Acquisition (WIA)

· Windows Installer

· Windows Management Instrumentation

· Windows Management Instrumentation Driver Extensions

· Windows Time

· Windows User Mode Driver Framework

· WinHTTP Web Proxy Auto-Discovery Service

· Wireless Configuration

· WMI Performance Adapter

· Workstation

· World Wide Web Publishing Service

以上操作完成以后是否就"最小的權限+最少的服務=最大的安全"呢？其實不然，任何事物都是相對的
依我個人而見，以上設置也只是最基本的一些東西而已，如有遺漏，稍后補上！

三、IIS、終端服務、FTP、SQL的配置

3.1 IIS配置

IIS6與IIS5有著很多不同之處，不一一列舉，也不是我一個腦袋可以裝下的東西。都在資料上！IIS6有一個非常不方便的東西，就是他限制了在線上傳不得大于200K，如何修改，請看：

首先停用IIS服務，> 服務 > iis admin service > 停用

C:\windows\system32\inetsrv\ metabase.xml 文件 用記事本打開它

找到 ASPMaxRequestEntityAllowed 處。默認為 204800 即 204800字節(200K)

修改為想要的數字如： 2048000 [2M] 保存，重啟IIS服務即可！

設置基本參數

打開IIS管理器 > 網站 > 屬性 >

網站 > 啟動日志記錄 > 關閉

主目錄 > 配置 > 應用程序擴展 > 只保留 asp,asa

主目錄 > 配置 > 選項 > 啟用父目錄

主目錄 > 配置 > 調試 > 向客戶端發送文本錯誤消息

網站 > 自定義錯誤 > 全部改成默認值 [上一章已經刪除IIS使用的錯誤信息頁面]

IIS管理器 > WEB服務擴展 > 啟用 Active Server Pages

注：停用IIS默認站點，切勿刪除，有可能會造成IIS的不穩定。

站點的建立將在第四節中詳細介紹。

IIS支持PHP的配置

http://www.php.net/downloads.php 以 PHP 5.1.1 為例

下載php-5.1.1-Win32.zip 解壓到 D:\php 或任意目錄 賦予該目錄IIS用戶組讀取權限

將ext目錄中的所有文件復制到 C:\Windows\System32目錄下面

以記事本打開php.ini-dist文件

查找 extension_dir = "./" 更改為 extension_dir = "D:\php\ext"

查找 ; Windows Extensions 更改下面的參數

如要開通GD庫支持 則將;extension=php_gd2.dll 前面的冒號刪除

依此類推，更多設置參考PHP.INI中文版。完成設置好另存在C:\Windows\php.ini

爾后在IIS設置中 IIS管理器 > 網站 > 屬性 > 主目錄 > 配置 > 映射

添加 D:\php\php5isapi.dll 擴展名.php

其次在WEB服務擴展中 添加一個新的擴展名 PHP 執行位置 D:\php\php5isapi.dll 設為允許即可

由于WIN平臺對MYSQL與PHP的組合無法體現性能優勢。個人建議WIN平臺PHP程序要使用數據庫建議遠程

或搭配文本數據庫。

終端服務配置

開始 > 程序 > 管理工具 > 終端服務配置 > 連接

選擇右側列出的連接 屬性 > 權限刪除所有用戶組添加單一的允許使用的管理員賬戶,這樣即使高防服務器

被創建了其它的管理員.也無法使用終端服務。

另外在會話設置中可以進一步設置斷1 D、注銷等一些參數。

FTP的配置

目前大多數高防服務器使用Serv-U Server 為FTP SYSTEM。這里同時建議使用此軟件

以 Serv-U FTP Server 6.1.0.5 final [最新版]為例，這里建議使用漢化版本.www.hanzify.org

安裝原版至D:\Serv-U_3434999fdaf [復雜無規則的目錄名可有效防止黑客的猜解]

爾后退出Serv-U,安裝漢化包。

運行SERV-U管理器 IP地址可為空、安裝為系統服務 設置密碼防止溢出

PASV設置

Serv-U管理器 > <<本地服務器>> > 設置 > 高級

PASV端口范圍 這里SERV-U只允許 50個端口范圍 端口的設置范圍 如 1025 - 1075 [1024以前的端口為系統使用]

更多個人化設置參考以下文檔

Jmail 組件的安裝

建議使用 w3 JMail Personal V4.3 這里為免費版 http://www.skycn.net/soft/5555.html

默認安裝至 D:\w3JMail4_35434fnald [同樣，復雜的目錄名]

安裝完成后只需單一設置 jmail.dll 權限，加入IIS用戶組默認權限即可！

SQL Server 2000 的安裝與配置

目前SQL Server 2000 + SP4 在我看來已算比較安全，已沒有SP3等版本會因為 sqlstp.log, sqlsp.log而泄露

安裝信息的問題。當然也建議在安全后 檢查 <systemdrive>:\Program Files\Microsoft SQL Server\MSSQL\Install

目錄中是否存在有 sqlstp.log, sqlsp.log, setup.iss文件，如果有，則備份至其它位置。

數據庫的建立這里就不多講了。更多設置可以參考SQL SERVER 2000幫助文檔！

四、站點的建立

站點的建立有一定的操作標準，當然這都是些屁話，能運行就行了。

上面講到的設置已經為下面的建立站點創造了一個良好的條件，只需要嚴格按照控制每個站點的權限

就足夠了，不要因為時間緊而不設置站點FSO或將目錄權限開到最大。操作上的疏忽偶爾會帶來一點小

麻煩。

建立站點前 首先在用戶管理中建立一個站點所需要使用的用戶名。

比如我們要建立一個名為 HostNew的站點 綁定域名hostnew.com

建立一用戶Iusr_hostnew.com [對IIS用戶增加統一的前綴方便將來的管理] 設置一個復雜的密碼

修改該用戶所屬用戶組為Guests 或 你準備好的IIS用戶組。刪除默認的Users用戶組.

爾后給站點需要使用的目錄加上這個用戶為讀取、寫入權限。不要是默認權限，默認權限擁有運行權限

那么站點就可以通過FSO來執行或利用其它方式來執行一些惡意程序破壞服務器配置。

爾后打開IIS管理器 > 網站 > 新建站點 設置好后

打開新站點屬性 > 目錄安全性 > 身份驗證和訪問控制 > 編輯 > 選擇剛才建立的用戶[Iusr_hostnew.com]

輸入該用戶的密碼.確認.應用.即可,此時該站點的權限已控制在該站點目錄!

其實這一切都是相對比較簡單的.也沒有什么可值得稱道的地方.

如果該站點不使用ASP\PHP\CGI等腳本 在該站點屬性 > 主目錄里面 > 執行權限 里面選擇 無

如果要執行ASP等腳本 則 選擇純腳本.如果PHP\CGI等腳本使用的是EXE文件執行方式.則選擇腳本和可執行文件