1、服务器安全配置详解 part one 服务器安全配置详解 Auther:wlman 操作系统: windows enterprise 2003 环境: iis asp php .net工具包:见图。 Part one 一、系统的安装和基础配置。1. 安装系统。【这个就不用说了吧】2. 安装iis。3. 分区,盘符。如图:做下解释,为什么要这样化分盘符呢?说明如下:a. 对于服务器而言要有备份盘吧。b. Sys 代表系统盘。Web代表应用盘。Bak则为备份盘。盘符由自己定义。二、系统远程的打开和端口修改。 操作如下:我的电脑-右键-属性-远程。记得勾选,由于是服务器,因此远程必须打开。B,远程端
2、口的修改。两种办法:第一种,手工修改:Cmd,输入regedit 打开注册表。进入如下位置:找到portnumber 进行修改:然后再进入,上边要选十进制,进驻不能选16进制。找到portnumber 进行修改,两部缺一不可。如下:端口由自己定义,这里的65321只是我随便想的一个端口,加完后记得在防火墙添加端口免得远程不能连接。注意:做安全要养成良好习惯,胆大心细才能做好安全,做完每一步都记得想到防火墙。然后重启机器,或者重启服务,在对服务不懂的情况下可以用端口修改工具进行修改,我这里已经有做好的工具,大家不要忘了添加防火墙允许远程端口,这个是重中之重。三、系统更新方式的修改,由于服务器的原
3、因不能随意打开自动更新,因此设置必要方式如下,有重要安全补丁可以打上。四、多余协议的卸载。远程连接,加上端口号,如下:网上邻居-属性-本地连接-属性卸载多余协议,只留下tcpip和qos数据包协议.五、组策略的配置和管理员组的修改。开始 运行 gpedit.msc 打开组策略管理器。做如下密码策略。审核策略做如下更改:安全选项做如下修改,以下四项策略均清空。管理员帐号的修改(这里把guest命名成administrator为了迷惑其他人员,管理员给成自己喜欢的即可)配合更改管理员组。我的电脑-管理-本地用户和组-组,然后选中管理员组更改为sys_users 或者别的,guests组改成admi
4、nistrators ,原因同上。最好把描述也改了。当然这个有点变态了,但安全,呵呵。做完这些以后重启计算机。六、盘符权限的配置。登录的时候记得用改过的管理员。Administrator现在是guest已经被停用了,哈哈C d e 盘分别做如下配置 只保留管理员组和system的访问权限,当然管理员组换成管理员更变态,但那样如果做数据迁移不利于数据恢复,这里先这么做。配置好的服务器最好做如下设置 以下为特殊文件夹权限,首先是C:Documents and Settings 权限如下只给管理员和system完全控制权限,是管理员不是管理员组,记住了。C:Documents and Setting
5、sAll Users 权限如下同上。这样做即使被添加管理员,远程登录也会出现无法加载配置界面卡到登录界面不能登录。C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Index 这个目录要特别注意,经常被用作提权目录,因为这个目录经常有everyone可读可写可执行权限,记得仔细检查 权限同上。对他进行权限配置C:Documents and SettingsAll UsersApplication Data,子目录继承。C:Inetpub 权限如下:C:wmpub 权限如下: C:Windows 目录比较特殊 不能随便
6、更改权限 更不能像上边那样,否则会导致无法启动windows,因此用到cmd,阻止权限继承。如下去掉他的users可读权限。可以看到windows 已经没有users权限了,这样许多shell 无法读取windows目录了。C:WINDOWStemp目录更特殊,经常被用来提权,所以一定得小心配置。权限如下Users高级权限去掉上面两个框和下面两个框 中间去掉删除子文件夹和文件即可,其他不变。C:Program Files 这个权限同上 值得注意的是这个底下有个目录必须给users可读可执行权限,一定得记住否则会导致windows无法启动对没错就是C:Program FilesCommon Fi
7、les,切记。C:WINDOWSsystem32inetsrvASP Compiled Templates 这个目录值得注意,他有iis_wpg的完全控制权限,而iis的进程执行用户是network serives 也是属于这个组的所以一定要去掉执行权限,免得被提权 ,iis_wpg 高级权限如下:同上,去掉上边两个下边两个中间一个,呵呵这样基本目录就已经完了,当然如果服务器在idc托管记得查看以上我提到的重要目录的目录和子目录,经常有everyone完全控制权限,记得照着更改。好了,至此第一部分,系统的安装和基础配置已经结束了,如果有疑问,可以qq我,这些东西务必反复练习,在不熟悉的情况下用虚拟机操作,免得破坏服务器,还有基础配置尽量在服务器未进入机房之前操作,操作完重启测试。谢谢大家。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1