XFocus Windows Internet服务器安全配置

Windows 2003版本区别
from:http://www.neeao.com/blog/article-3924.html

1）Windows Server 2003, Standard Edition （标准版）

针 对中小型企业的核心产品，他也是支持双路处理器，4GB的内存。它除了具备 Windows Server 2003 Web Edition 所有功能外，还支持像证书服务、UDDI服务、传真服务、IAS因特网验证服务、可移动存储、RIS、智能卡、终端服务、WMS和 Services for Macintosh。

支持文件和打印机共享。 提供安全的网络联接。

2）Windows Server 2003, Enterprise Edition （企业版）

这 个产品被定义为新一带高端产品，它最多能够支持8路处理器，32 GB内存，和28个节点的集群。它是 Windows Server 2003 Standard Edition 的扩展版本，增加了 Metadirectory Services Support、终端服务会话目录、集群、热添加（ Hot-Add）内存和 NUMA非统一内存访问存取技术。这个版本还另外增加了一个支持64位计算的版本。

全功能的操作系统支持多达8个处理器。 提供企业级的功能例如8节点的集群，支持32GB内存。 支持英特尔 安腾Itanium 处理器。 将推出支持64位计算机的版本，可以支持8个64位处理器以及64GB的内存。

3）Windows Server 2003, Datacenter Edition （数据中心）

像 以往一样，这是个一直代表 微软产品最高性能的产品，他的市场对象一直定位在最高端应用上，有着极其可靠的稳定性和扩展性能。他支持高达8-32路处理器，64GB的内存、2-8节 点的集群。与 Windows Server 2003 Enterprise Edition 相比， Windows Server 2003 Datacenter Edition 增加了一套 Windows Datacenter Program 程序包。这个产品同样也为另外一个64位版本做了支持。

微软迄今为止提供的最强大、功能最为强劲的服务器操作系统。 支持32路处理器和64GB内存。 同时提供8点集群和负载均衡。 提供64位处理器平台，可支持惊人的64路处理器和512GB的内存。

4）Windows Server 2003, Web Edition （Web版）

这 个版本是专门针对Web服务优化的，它支持双路处理器，2GB的内存。该产品同时支持ASP.NET、DFS分布式文件系统、EFS文件加密系统、 IIS6.0、智能镜像、ICF因特网防火墙、IPv6、Mircrosoft.Net Framework、NLB网络负载均衡、PKI、 Print Services for UNIX、RDP、远程OS安装（非RIS服务）、RSoP策略的结果集、影子拷贝恢复（Shadow Copy Restore)、VPN和WMI命令行模式等功能。Windows Server 2003 Web Edition 唯一和其他版本不同的是它仅能够在AD域中做成员服务器，而不能够做DC域控制器。

可以架构各种网页应用，XML页面服务。 IIS 6.0。 轻松迅速开发各种基于 XML以及 ASP.NET服务项目的平台。
5）Windows Server 2003,64-bit Edition （64位版本）

专门针对64位处理器 安腾Itanium而开发的版本。
包括两个版本：

Windows Server 2003 Enterprise Server
64-bit Edition。

Windows Server 2003 Datacenter Server
64-bit Edition。
实践篇

下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限
将所有盘符的权限,全部改为只有
administrators组 全部权限
system 全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Documents and Settings\All Users 开放默认的读取及运行 列出文件目录 读取三个权限
C:\Documents and Settings\ 增加Users用户组的读取运行权限，避免出现LoadUserProfile失败
C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限 可以增加ASP ASP.net的Access数据库访问权限
C:\Windows如下的操作可能导致采用Ghost的操作失败,系统可以Ghost成功，但在启动后会自动重启，等待解决
C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
C:\WINDOWS\ Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files 如果需要支持ASP.net请开发该目录的读写权限
同时注意下列相关目录权限不足IIS_WPG及Service用户的权限：
C:\WINDOWS\Help\IISHelp\Common
C:\WINDOWS\System32\Inetsrv\ASP Compiled Templates
C:\WINDOWS\IIS Temporary Compressed Files

现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.

4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有