服务器安全配置详解 part one.docx

服务器安全配置详解 part one.docx

《服务器安全配置详解 part one.docx》由会员分享，可在线阅读，更多相关《服务器安全配置详解 part one.docx（20页珍藏版）》请在冰豆网上搜索。

服务器安全配置详解partone

服务器安全配置详解

Auther:

wlman

操作系统：

windowsenterprise2003

环境：

iisaspphp.net

工具包：

见图。

Partone

一、系统的安装和基础配置。

1.安装系统。

【这个就不用说了吧】

2.安装iis。

3.分区，盘符。

如图：

做下解释，为什么要这样化分盘符呢？

说明如下：

a.对于服务器而言要有备份盘吧。

b.Sys代表系统盘。

Web代表应用盘。

Bak则为备份盘。

盘符由自己定义。

二、系统远程的打开和端口修改。

操作如下:

我的电脑-右键-属性-远程。

记得勾选，由于是服务器，因此远程必须打开。

B，远程端口的修改。

两种办法：

第一种，手工修改：

Cmd，输入regedit打开注册表。

进入如下位置：

找到portnumber进行修改：

然后再进入，上边要选十进制，进驻不能选16进制。

找到portnumber进行修改，两部缺一不可。

如下：

端口由自己定义，这里的65321只是我随便想的一个端口，加完后记得在防火墙添加端口免得远程不能连接。

注意：

做安全要养成良好习惯，胆大心细才能做好安全，做完每一步都记得想到防火墙。

然后重启机器，或者重启服务，在对服务不懂的情况下可以用端口修改工具进行修改，我这里已经有做好的工具，大家不要忘了添加防火墙允许远程端口，这个是重中之重。

三、系统更新方式的修改，由于服务器的原因不能随意打开自动更新，因此设置必要方式如下，有重要安全补丁可以打上。

四、多余协议的卸载。

远程连接，加上端口号，如下：

网上邻居-属性-本地连接-属性

卸载多余协议，只留下tcpip和qos数据包协议.

五、组策略的配置和管理员组的修改。

开始–运行–gpedit.msc打开组策略管理器。

做如下密码策略。

审核策略做如下更改：

安全选项做如下修改，以下四项策略均清空。

管理员帐号的修改（这里把guest命名成administrator为了迷惑其他人员，管理员给成自己喜欢的即可）

配合更改管理员组。

我的电脑-管理-本地用户和组-组，然后选中管理员组更改为sys_users或者别的，guests组改成administrators，原因同上。

最好把描述也改了。

当然这个有点变态了，但安全，呵呵。

做完这些以后重启计算机。

六、盘符权限的配置。

登录的时候记得用改过的管理员。

Administrator现在是guest已经被停用了，哈哈

Cde盘分别做如下配置

只保留管理员组和system的访问权限，当然管理员组换成管理员更变态，但那样如果做数据迁移不利于数据恢复，这里先这么做。

配置好的服务器最好做如下设置

以下为特殊文件夹权限，首先是C:

\DocumentsandSettings权限如下

只给管理员和system完全控制权限，是管理员不是管理员组，记住了。

C:

\DocumentsandSettings\AllUsers权限如下

同上。

这样做即使被添加管理员，远程登录也会出现无法加载配置界面卡到登录界面不能登录。

C:

\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\MediaIndex这个目录要特别注意，经常被用作提权目录，因为这个目录经常有everyone可读可写可执行权限，记得仔细检查权限同上。

对他进行权限配置C:

\DocumentsandSettings\AllUsers\ApplicationData，子目录继承。

C:

\Inetpub权限如下：

C:

\wmpub权限如下：

C：

\Windows目录比较特殊不能随便更改权限更不能像上边那样，否则会导致无法启动windows，因此用到cmd，阻止权限继承。

如下去掉他的users可读权限。

可以看到windows已经没有users权限了，这样许多shell无法读取windows目录了。

C:

\WINDOWS\temp目录更特殊，经常被用来提权，所以一定得小心配置。

权限如下

Users高级权限去掉上面两个框和下面两个框中间去掉删除子文件夹和文件即可，其他不变。

C:

\ProgramFiles这个权限同上

值得注意的是这个底下有个目录必须给users可读可执行权限，一定得记住否则会导致windows无法启动

对没错就是C:

\ProgramFiles\CommonFiles，切记。

C:

\WINDOWS\system32\inetsrv\ASPCompiledTemplates这个目录值得注意，他有iis_wpg的完全控制权限，而iis的进程执行用户是networkserives也是属于这个组的所以一定要去掉执行权限，免得被提权，iis_wpg高级权限如下：

同上，去掉上边两个下边两个中间一个，呵呵

这样基本目录就已经完了，当然如果服务器在idc托管记得查看以上我提到的重要目录的目录和子目录，经常有everyone完全控制权限，记得照着更改。

好了，至此第一部分，系统的安装和基础配置已经结束了，如果有疑问，可以qq我，这些东西务必反复练习，在不熟悉的情况下用虚拟机操作，免得破坏服务器，还有基础配置尽量在服务器未进入机房之前操作，操作完重启测试。

谢谢大家。