windows2003服务器安全设置攻略


有很多人问我服务器安全策略怎么做? 我不会做,能告诉我一下吗? 今天上午还有位朋友这样问我.那我今天就写写我做服务器安全策略的经验.   第一步:网站架设完成以后,首先修改服务器密码.防止别人利用若口令密码进行入侵.    具体操作如下:登陆终端服务器 开始 — windows安全性 — 更改密码 — 输入原始密码 — 新密码 —确认新密码 — OK.  第二步: 我们就要修改默认的终端端口了.3389 这个我相信大家都熟悉.具体操作如下:在终端服务器上做如下修改 打开“开始→运行”,输入“regedit”,打开注册表KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\Wds\rdpwd\Tds\tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下都有一个PortNumber值,通常为3389,将其修改为自己的值,如1928(可自己指定端口,但最好不要设为低端端口,以免冲突) (如果不会修改的请用3389修改工具修改)第三步:检测服务器后门:   为了安全起见。我们还是要检查一下服务器是否被安装了后门具体操作如下:登陆远程终端在登陆窗口连续敲打5下shift键 如果您的服务器被安装了后门,就会在登陆窗口后跳出一个登陆框要求输入密码,当非法入侵者输入正确密码以后完全可以拿到服务器的最高权限也就是administrator权限. 当您服务器被安装了shift后门您的服务器危险指数就是%100 !第四步:服务器文件夹权限分配:一、网站文件夹与文件访问权限的设置假设ASP网站在以下文件夹中:web 、bbs,我们称其为网站根文件夹。1、相同的设置(1)本地用户一般都要对站点内的文件夹和文件进行维护,所以所有的文件夹和文件必须给予本地超级用户完全控制的权限(不要忘记给超级用户设置强大的密码)。(2)我们知道网站中大部分文件都是asp程序,这些文件必须具有“读取和运行”的权限。所以要给web、bbs根文件夹添加internet来宾用户,设置读取和运行的权限,并让它们底下的所有子文件夹和文件继承到这个权限。(请注意:先不要取消子文件夹的继承权——特殊的毕竟是“少数分子”,我们后面来个别对付它们)(3)所有的文件夹只保留administrator和internet来客用户,其它的用户都删除。使权限可编辑的操作方法:文件夹的权限默认是继承来的,而继承的权限不能直接编辑。操作方法如下,以web为例,打开该文件夹的属性对话框,点击“安全”标签,点击“高级”按钮,把“允许把来自父系的可继承权限传播给该对象”的复选框中的钩去掉,然后,又会弹出一对话框,点击“复制”,这样,这个文件夹就复制到了默认的那些权限(不是继承的),就可以编辑了。2、web的设置如上所述,现在,web站点内的所有文件internet来客用户都有“读取和运行”的权限。在此基础上,需要进行特别设置的有(不作特别说明,都指internet来客用户):database、 count:再添加“修改”的权限。各频道(如article)内的UploadFiles和js文件夹:添加“修改”权限。4、动网BBS:Data、UploadFiles、UploadFaces、Dv_ForumNews这几个文件夹都添加“修改”的权限。二、IIS中的internet匿名用户访问权限的设置一般地,IIS中,Asp网站中大多数的文件夹和文件要给予internet匿名用户“读取”和“纯脚本”的执行许可,切记不能选“写入”,其它的用默认设置。但是,对那些在文件夹权限设置时,给了internet来客用户“修改”权的,要在IIS中重新设置它们的“执行许可”权:如果文件夹中没有asp 和js文件的(如:data、UploadFiles),钩选“读取”,执行许可都设置为“无”,即不允许任何脚本运行。这样,即使这个文件夹中被写入了恶意程序,也不能运行。第五步:服务器防护ARP欺骗设置:  很多朋友都说服务器总是受到arp侵扰.真的很头痛.  最简单的方法而且实用的方法就是 双绑MAC网关.在远程终端服务器cmd下执行 arp -a查看服务器IP地址与MAC地址 继续执行MAC绑定例如:arp -s 121.101.215.129 00-22-13-21-25-4f  接下来就需要机房交换机捆绑了.  可是我们没交换机权限。但机房往往也不会给我们用交换机捆绑.这里我再介绍一种防护arp欺骗攻击的方法:我们编辑一个文本文件输入内容如下:@echo offarp -darp -s 121.101.215.129 00-24-13-31-35-5f  后缀修改为 bat格式我们运行我们编辑好的bat文件,添加到启动项,这样就简单实现了单绑.但只这样做还是不够的.我们还需要arp防火墙.在这里我推荐一下我的安全方案中使用的arp防火墙:首先是绿盾防火墙.我欣赏它的主要原因就是因为它懂得互补. 所谓的互补就是在防护arp欺骗的同时还可以防护CC  SYN攻击等.(免费软件) 第二款软件:ArpFix 一句话简单实用!最后忘记告诉大家了记得开启360arp防护 嘿嘿!第六步:CC DDOS攻击防护  您是否受担心您的服务器受到CC 或DDOS 攻击的干扰呢? 我们为您排忧解难. 国内防护DDOS攻击主要是已防火墙为主! 那我也推荐一下几款防火墙吧!刚才我们在arp防护里介绍了绿盾防火墙.  绿盾防火墙可以有效的防护轻微的CC 或DDOS攻击. 所以我们首先安装个绿盾防火墙。其次飞安装腾防火墙(可选) 个人感觉飞腾防火墙效果不算理想.但可以有效的记录CC攻击的连接数.最后我们的大牌该出来亮相了.它就是天盾DDOS防火墙(破解版) 它可以有效的防护CC DDOS攻击. 但破解版有些bug . 希望大家支持正版.好了DDOS防护我就介绍到这里了..(此次介绍的DDOS防护软件均为免费软件大家都可以找到).


蛋痛,但不心痛...