标签归档:windows server 2003

Windows Server 2003服务器简易安全配置

    这两天接触微软的windows server 2003搭建web服务器,实在是一个头两个大,对于安全防范及配置方面可谓是从未琢磨过,一次次的尝试一次次的验证修改,感觉其实也不是很复杂吧,如果搞清楚思路后。。。。

    根据“最小的权限+最少的服务=最大的安全”的原则
    最小权限的设置:
    使用NTFS系统文件格式,对每个硬盘根目录只给予administrator用户及system用户完全控制权限,并删除其他用户权限。
    如:C:Windows  Administrator、System完全控制权限;Users用户默认权限不修改删除其他用户

   
    修改C:Windows目录下相关可执行文件权限:
    net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、cacls.exe、format.com、regsvr32.exe、xcopy.exe、wscript.exe、cscript.exe、ftp.exe、telnet.exe、arp.exe、edlin.exe、ping.exe、route.exe、finger.exe、posix.exe、rsh.exe、atsvc.exe、qbasic.exe、runonce.exe、syskey.exe
    修改以上权限,删除所有用户只保留Adminstrators和system用户组完全控制权限

    对于各个站点虚拟目录对应权限严格设置:
        添加个站点或虚拟目录对应用户到GUESTS组
        Administraotrs 完全控制
        System 完全控制
        ASP.NET 读取写入
        NETWORK SERVICE 读取
     

     

       

禁止建立空链接:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]

禁止系统自动启动服务器共享:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

禁止系统自动启动管理共享:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”

通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”

本地安全策略配置:
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 密码策略 > 密码最短使用期限 改成0天
账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
本地策略 > 审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败

本地策略 > 安全选项 >
清除虚拟内存页面文件 更改为"已启用"
不显示上次的用户名 更改为"已启用"
不需要按CTRL+ALT+DEL 更改为"已启用"
不允许 SAM 账户的匿名枚举 更改为"已启用"
不允许 SAM 账户和共享的匿名枚举 更改为"已启用"
重命名来宾账户 更改成一个复杂的账户名
重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]

删除不安全组件:
WScript.Shell 、Shell.application 两个组件一般一些ASP木马或一些恶意程序入侵渗透点。
方案一、
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
方案二、
删除注册表 HKEY_CLASSES_ROOTCLSID{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注册表 HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application

最少的服务的设置:
黑色为自动 绿色为手动 红色为禁用
Alerter
服务描述: 通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。
Application Experience Lookup Service
Application Layer Gateway Service

服务描述: 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。
Application Management
Automatic Updates [Windows自动更新,可选项]
Background Intelligent Transfer Service

服务描述: 服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。
ClipBook
COM+ Event System
COM+ System Application
Computer Browser

服务描述: 服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed File System

服务描述: 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。
Distributed Link Tracking Client
Distributed Link Tracking Server
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log

File Replication
Help and Support
服务描述: 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
HTTP SSL
Human Interface Device Access

IIS Admin Service
IMAPI CD-Burning COM Service
Indexing Service
Intersite Messaging
IPSEC Services [如果使用了IP安全策略则自动,如无则禁用,可选操作]
Kerberos Key Distribution Center
License Logging

Logical Disk Manager [可选,多硬盘建议自动]
Logical Disk Manager Administrative Service
Messenger
服务描述: 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
Microsoft Search
Microsoft Software Shadow Copy Provider
MSSQLSERVER
MSSQLServerADHelper
Net Logon

NetMeeting Remote Desktop Sharing
服务描述: 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。
Network Connections
Network DDE
Network DDE DSDM

Network Location Awareness (NLA)
Network Provisioning Service
NT LM Security Support Provider
Performance Logs and Alerts

Plug and Play
Portable Media Serial Number Service [微软反盗版工具,目前只针对多媒体类]
Print Spooler

服务描述: 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
Protected Storage
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Desktop Help Session Manager

Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry
服务描述: 使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
Removable Storage
Resultant Set of Policy Provider

Routing and Remote Access
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card
Special Administration Console Helper
SQLSERVERAGENT

System Event Notification
Task Scheduler
服务描述: 使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
TCP/IP NetBIOS Helper
服务描述: 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
Telephony
Telnet
服务描述: 允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。
Terminal Services
Terminal Services Session Directory
Themes

Uninterruptible Power Supply
Upload Manager
Virtual Disk Service
Volume Shadow Copy

WebClient
Windows Audio [服务器没必要使用声音]
Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA)

Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Windows User Mode Driver Framework
WinHTTP Web Proxy Auto-Discovery Service

Wireless Configuration
WMI Performance Adapter
Workstation

服务描述: 创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
World Wide Web Publishing Service

基于IIS6.0安装配置PHP程序支持:
先安装php使用最新版本php-5.2.8-win32-installer.msi
安装过程中选择所设置的the web server 为IIS ISAPI module如图所示:

       

       
    紧接着简单配置IIS完成站点c.com支持PHP程序
    站点属性–>主目录–>配置–>应用程序扩展–>添加 可执行文件:C:PHPphp5isapi.dll   格式为:.php
如下图所示:

    
    添加相应支持php程序“web服务扩展”,即打开“ Internet 信息服务(IIS)管理器”,在“ Web 服务扩展”里,选择“添加一个新的 Web 服务扩展”,扩展名可填写“PHP”,要求的文件选择: C:PHPphp5isapi.dll,并设置扩展状态为允许。结果如下图所示:

   
    打开“网站”->“属性”->“文档”->“启用默认内容文档”->“添加”,可以将 index.php 添加为默认内容文档。最后并重新启动IIS服务项。
    最后使用phpinfo();函数测试结果

   

Install Windows Server 2003 & IIS For ASP&ASP.NET

发现这里太久没更新   故决定不耻的随便贴篇学习日记作为更新下。。。见笑啦。。。。

对于windows server 2003的安装就不必多费口舌,和安装普通的windows xpvista 没啥两样,没有什么特别之处吧,不过注意C盘分区大小最好根据个人需要进行适当放大些 ~

关于IIS6.0安装也很简单,因为2003系统中就默认带有安装包,只需要打开控制面板–>添加与删除程序–>添加与删除windows组件–>应用程序服务器双击打开,勾选ASP.net及双击打开Internet信息服务下的万维网及FTP选项,到此最好也将添加删除组件下的microsoft .NET framework选项也勾选安装下,将会有需要的

即安装选项描述为 :

添加与删除windows组件

|
|—-Microsoft .NET framework2.0
|
|—-
应用程序服务器
           |
           |—ASP.NET
           |
           |—Internet
信息服务
                      |
                      |—-
万维网服务
                      |
                      |—-Ftp
服务

接下来就是关键的IIS配置搭建,重点麻烦出现在合理配置磁盘权限和iis不安全组件
防范windows服务器 WEB SHELL,因为以前都未曾了解过关于windows server 2003 服务器安装完成后的安全强化设置,所以到后面再配置关于IIS站点对于磁盘权限控制设置的时候遇到了疑难未解的麻烦。自己直到后来google了解到后才回头做了相关的安全权限访问设置问题。

所以到此,先推荐一篇可能有点老但经典的文章:合理配置IIS站点对磁盘访问权限

关于IIS设置权限:http://www.yesadmin.com/308/83529/index.html

"其实权限设置的基本思路是:1、要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一

的可以设置权限的身份。2、在IIS的【站点属性或者虚拟目录属性目录安全性匿名访问和验证控制编辑匿名访问编辑】填写刚刚创建的那个

用户名。3、设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。 "

所以这里自己计划独立创建一个用户组用于存放为管理各个不同站点或虚拟目录而特地创建的用户,方便统一管理。

测试IIS默认安装是否能支持ASP&ASP.net程序的解析显示:

这里使用的是网上一个号称阿江ASP探针进行测试的。确实很方便而且显示功能也很完善,推荐测试环境可以使用。

最后自己同时安装几个常用ASP组件,也随便分享下:

一、LyfUpload 组件介绍、下载、安装、测试

介绍:国产的老牌的流行的上传组件,可惜的是阿江一直没有尝试这个组件。

下载:http://www.ajiang.net/products/download/coms/lyfupload12b.zip

安装:解压刘云峰下载组件中的LyfUpload.dll文件,然后添加进注册表即win+R(或开始–>运行)输入regsvr32 E:lyfupload12bLyfUpload.dll 回车注册完成

二、ASPJpeg组件介绍、下载、安装、测试

介绍:曾经很流行的图像组件,当时知道它的时候很多人用它来缩放图片,不知道现在多什么功能了没。

下载:http://www.oioj.net/down/AspJpegv1.5.0.0.rar

安装:直接双击运行安装,此文件中已附带有注册码直接复制黏贴就ok

附注:安装过程会提示重启IIS服务器。