服务器安全配置详解 part one.docx

1、服务器安全配置详解 part one 服务器安全配置详解 Auther:wlman 操作系统： windows enterprise 2003 环境： iis asp php .net工具包：见图。 Part one 一、系统的安装和基础配置。1. 安装系统。【这个就不用说了吧】2. 安装iis。3. 分区，盘符。如图：做下解释，为什么要这样化分盘符呢？说明如下：a. 对于服务器而言要有备份盘吧。b. Sys 代表系统盘。Web代表应用盘。Bak则为备份盘。盘符由自己定义。二、系统远程的打开和端口修改。 操作如下:我的电脑-右键-属性-远程。记得勾选，由于是服务器，因此远程必须打开。B，远程端

2、口的修改。两种办法：第一种，手工修改：Cmd，输入regedit 打开注册表。进入如下位置：找到portnumber 进行修改：然后再进入，上边要选十进制，进驻不能选16进制。找到portnumber 进行修改，两部缺一不可。如下：端口由自己定义，这里的65321只是我随便想的一个端口，加完后记得在防火墙添加端口免得远程不能连接。注意：做安全要养成良好习惯，胆大心细才能做好安全，做完每一步都记得想到防火墙。然后重启机器，或者重启服务，在对服务不懂的情况下可以用端口修改工具进行修改，我这里已经有做好的工具，大家不要忘了添加防火墙允许远程端口，这个是重中之重。三、系统更新方式的修改，由于服务器的原

3、因不能随意打开自动更新，因此设置必要方式如下，有重要安全补丁可以打上。四、多余协议的卸载。远程连接，加上端口号，如下：网上邻居-属性-本地连接-属性卸载多余协议，只留下tcpip和qos数据包协议.五、组策略的配置和管理员组的修改。开始 运行 gpedit.msc 打开组策略管理器。做如下密码策略。审核策略做如下更改：安全选项做如下修改，以下四项策略均清空。管理员帐号的修改（这里把guest命名成administrator为了迷惑其他人员，管理员给成自己喜欢的即可）配合更改管理员组。我的电脑-管理-本地用户和组-组，然后选中管理员组更改为sys_users 或者别的，guests组改成admi

4、nistrators ，原因同上。最好把描述也改了。当然这个有点变态了，但安全，呵呵。做完这些以后重启计算机。六、盘符权限的配置。登录的时候记得用改过的管理员。Administrator现在是guest已经被停用了，哈哈C d e 盘分别做如下配置 只保留管理员组和system的访问权限，当然管理员组换成管理员更变态，但那样如果做数据迁移不利于数据恢复，这里先这么做。配置好的服务器最好做如下设置 以下为特殊文件夹权限，首先是C:Documents and Settings 权限如下只给管理员和system完全控制权限，是管理员不是管理员组，记住了。C:Documents and Setting

5、sAll Users 权限如下同上。这样做即使被添加管理员，远程登录也会出现无法加载配置界面卡到登录界面不能登录。C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Index 这个目录要特别注意，经常被用作提权目录，因为这个目录经常有everyone可读可写可执行权限，记得仔细检查 权限同上。对他进行权限配置C:Documents and SettingsAll UsersApplication Data，子目录继承。C:Inetpub 权限如下：C:wmpub 权限如下： C：Windows 目录比较特殊 不能随便

6、更改权限 更不能像上边那样，否则会导致无法启动windows，因此用到cmd，阻止权限继承。如下去掉他的users可读权限。可以看到windows 已经没有users权限了，这样许多shell 无法读取windows目录了。C:WINDOWStemp目录更特殊，经常被用来提权，所以一定得小心配置。权限如下Users高级权限去掉上面两个框和下面两个框 中间去掉删除子文件夹和文件即可，其他不变。C:Program Files 这个权限同上 值得注意的是这个底下有个目录必须给users可读可执行权限，一定得记住否则会导致windows无法启动对没错就是C:Program FilesCommon Fi

7、les，切记。C:WINDOWSsystem32inetsrvASP Compiled Templates 这个目录值得注意，他有iis_wpg的完全控制权限，而iis的进程执行用户是network serives 也是属于这个组的所以一定要去掉执行权限，免得被提权 ，iis_wpg 高级权限如下：同上，去掉上边两个下边两个中间一个，呵呵这样基本目录就已经完了，当然如果服务器在idc托管记得查看以上我提到的重要目录的目录和子目录，经常有everyone完全控制权限，记得照着更改。好了，至此第一部分，系统的安装和基础配置已经结束了，如果有疑问，可以qq我，这些东西务必反复练习，在不熟悉的情况下用虚拟机操作，免得破坏服务器，还有基础配置尽量在服务器未进入机房之前操作，操作完重启测试。谢谢大家。