win2003 服务器安全配置全套详解

2020-07-28 16:01:16

字体：大中小

来源：转载

供稿：网友

其实，在服务器的安全设置方面，我虽然有一些经验，但是还谈不上有研究，以前在站长网服务器安全讲座上也讲了不少类似的文章，虽然谈不上多牛B的技术但是一点小小的经验，大家自行挑选学习。我写这篇文章的时候心里很不踏实，总害怕说错了会误了别人的事。呵呵下面开始说下。

本文更侧重于防止ASP漏洞攻击，所以服务器防黑等方面的讲解可能略嫌少了点。
　　基本的服务器安全设置
　　安装补丁
　　安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。
　　安装杀毒软件
　　虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。我一直在用诺顿2004，据说2005可以杀木马，不过我没试过。还有人用瑞星，瑞星是确定可以杀木马的。更多的人说卡巴司机好，不过我没用过。
　　不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
　　设置端口保护和防火墙、删除默认共享
　　都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以擞出来看看，晚些时候我或者会复制一些到我的网站上。
　　权限设置
　　阿江感觉这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。
　　权限设置的原理
　　WINDOWS用户，在WINNT系统中大多数时候把权限按用户()来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
　　NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
　　IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”)，当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户”所具有的权限。
　　权限设置的思路
　　要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。
　　在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
　　设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限，并且要加上超管组和SYSTEM组)。
　　这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。
　　我的设置方法
　　我是先创建一个用户组，以后所有的站点的用户都建在这个里，然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。
　　因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和，不知道怎么设置文件夹权限，不知道IIS站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来，具体的方法其实自己也能摸索出来的，我就是这样。当然，如果我有空，我会写我的具体设置方法，很傲能还会配上图片。
　　改名或卸载不安全组件
　　不安全组件不惊人
　　我的在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的)，这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。

上一篇：win2003 服务器设置完全简洁版

下一篇：基于Win2003平台下的文件服务器案例