Yousri's Blog

    这两天接触微软的windows server 2003搭建web服务器，实在是一个头两个大，对于安全防范及配置方面可谓是从未琢磨过，一次次的尝试一次次的验证修改，感觉其实也不是很复杂吧，如果搞清楚思路后。。。。     根据“最小的权限+最少的服务=最大的安全”的原则    最小权限的设置：    使用NTFS系统文件格式，对每个硬盘根目录只给予administrator用户及system用户完全控制权限，并删除其他用户权限。    如：C:\Windows  Administrator、System完全控制权限;Users用户默认权限不修改删除其他用户         修改C:\Windows目录下相关可执行文件权限：    net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、cacls.exe、format.com、regsvr32.exe、xcopy.exe、wscript.exe、cscript.exe、ftp.exe、telnet.exe、arp.exe、edlin.exe、ping.exe、route.exe、finger.exe、posix.exe、rsh.exe、atsvc.exe、qbasic.exe、runonce.exe、syskey.exe    修改以上权限，删除所有用户只保留Adminstrators和system用户组完全控制权限     对于各个站点虚拟目录对应权限严格设置：        添加个站点或虚拟目录对应用户到GUESTS组        Administraotrs 完全控制        System 完全控制        ASP.NET 读取写入        NETWORK SERVICE 读取                    禁止建立空链接：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1] 禁止系统自动启动服务器共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0” 禁止系统自动启动管理共享：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0” 通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1” 本地安全策略配置:开始 > 程序 > 管理工具 > 本地安全策略账户策略 > [...]

发现这里太久没更新   故决定不耻的随便贴篇学习日记作为更新下。。。见笑啦。。。。 对于windows server 2003的安装就不必多费口舌，和安装普通的windows xp或vista 没啥两样，没有什么特别之处吧，不过注意C盘分区大小最好根据个人需要进行适当放大些 ~！ 关于IIS6.0安装也很简单，因为2003系统中就默认带有安装包，只需要打开控制面板–>添加与删除程序–>添加与删除windows组件–>应用程序服务器双击打开，勾选ASP.net及双击打开Internet信息服务下的万维网及FTP选项，到此最好也将添加删除组件下的microsoft .NET framework选项也勾选安装下，将会有需要的 即安装选项描述为 ： 添加与删除windows组件 | |—-Microsoft .NET framework2.0 | |—-应用程序服务器            |            |—ASP.NET            |            |—Internet信息服务                       |                       |—-万维网服务                       |                       |—-Ftp服务 接下来就是关键的IIS配置搭建，重点麻烦出现在合理配置磁盘权限和iis不安全组件 防范windows服务器 WEB SHELL,因为以前都未曾了解过关于windows server 2003 服务器安装完成后的安全强化设置，所以到后面再配置关于IIS站点对于磁盘权限控制设置的时候遇到了疑难未解的麻烦。自己直到后来google了解到后才回头做了相关的安全权限访问设置问题。 所以到此，先推荐一篇可能有点老但经典的文章：合理配置IIS站点对磁盘访问权限 关于IIS设置权限:http://www.yesadmin.com/308/83529/index.html "其实权限设置的基本思路是：1、要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一 的可以设置权限的身份。2、在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个 用户名。3、设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。 " 所以这里自己计划独立创建一个用户组用于存放为管理各个不同站点或虚拟目录而特地创建的用户，方便统一管理。 测试IIS默认安装是否能支持ASP&ASP.net程序的解析显示： 这里使用的是网上一个号称阿江ASP探针进行测试的。确实很方便而且显示功能也很完善，推荐测试环境可以使用。 最后自己同时安装几个常用ASP组件，也随便分享下： 一、LyfUpload 组件介绍、下载、安装、测试 [...]