WEB服務(wù)器硬件配置方案

WEB服務(wù)器硬件配置方案-、入門(mén)級(jí)常規(guī)服務(wù)器硬配置方案:硬名稱(chēng)基本參數(shù)數(shù)量參考價(jià)CPU奔騰E2I60系列，LPGA封裝，雙核,工作功率65W,核心電壓I.25V,主頻I800MHZ,總線頻率800MHZ,倍頻9,外頻200MHZ,128M級(jí)緩存，IM:級(jí)緩存，指令集MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T1￥460內(nèi)存KingstonDDRII6672,采用PBGA封，頻率667MHZ1￥135主板采用IntelP965/ICH8芯片組，集成RealtekALC662聲k芯片，適用Core2Extreme/Core2Quad/Core2Duo/奔騰4/賽揚(yáng)D/PentiumD系列處理器。前端總線頻率FSB1066MHz1￥599硬盤(pán)臺(tái)式機(jī)硬盤(pán)容量:160GB轉(zhuǎn)速/分:7200轉(zhuǎn)/分緩存(KB):8000KB接11類(lèi)型:SerialATA接口速率:SerialATA30()1Y38O機(jī)箱機(jī)箱類(lèi)型:金河田颶風(fēng)n機(jī)箱樣式:，―式機(jī)箱結(jié)構(gòu):MicroATX//XTX3.5英寸倉(cāng)位:1個(gè)軟驅(qū)倉(cāng)位+6個(gè)硬盤(pán)倉(cāng)位光驅(qū)倉(cāng)位:4個(gè)產(chǎn)品電源:金河山355WB3C1￥230光驅(qū)選配，普通DVD光驅(qū)1-散熱器熱器類(lèi)型:CPU散熱器散熱方式:風(fēng)冷風(fēng)扇轉(zhuǎn)數(shù)(RPM):2200軸承類(lèi)型:合金軸承適用范圍LGA775Conroe、PentiumD>Pentium4CeleronD全系列最大風(fēng)量(CFM):43CFM1￥60UPSUPS電源類(lèi)型:后備式UPS額定輸出容量:0.5kva1Y200穩(wěn)壓器選配1顯示器普通顯示器1-鼠標(biāo)?鍵盤(pán)普通PS鍵盤(pán)和就標(biāo)1￥100備注：作為WEB服務(wù)器，首先耍保證不間斷電源，機(jī)房要控制好相對(duì)溫度和濕度。這里有額外配置的UPS不間斷電源和穗樂(lè)器,此服務(wù)器配置能勝基木的WEB請(qǐng)求服務(wù)，如大量的數(shù)據(jù)交換，文件讀寫(xiě),可能會(huì)存在帶寬瓶頸。二、頂級(jí)服務(wù)器配置方案

硬件名稱(chēng)基本參數(shù)米用DELLPowerEdge2900(XeonE53I0/2GB/146GB)B2置CPUPowcrEdgc2900CPU頻率I600MHZ,標(biāo)配2個(gè)XeonE53I0處理器，8M緩存。內(nèi)存FB-DIMM.2GB,最大可配置48GB主板Inter5000X系列,FSB總線頻率4066MHZ,6個(gè)擴(kuò)展槽:集成ATIES1（X）0控制器，含16MBSDRAM硬盤(pán)SAS結(jié)構(gòu),146GB容昂:；標(biāo)配內(nèi)置硬盤(pán)托架支持多達(dá)8塊35sAs或SATA熱插拔硬盤(pán)：支持兩個(gè)半島（HH）駁動(dòng)器托架提供磁帶或光驅(qū)設(shè)備（可選CD-ROM、可選DVD-ROM或體化CD-RW/DVD-ROM）網(wǎng)卡雙嵌入式BroadcomNetXtremeII5708千兆以太網(wǎng)F機(jī)箱478.9x226.6x674.3mm標(biāo)準(zhǔn)接口2個(gè)RJ-45（支持內(nèi)置1GBNIC）后置、1個(gè)串「1后置、6個(gè)通用串行總線（USB）2.0端11（兩個(gè)前置、4個(gè)后置）、2個(gè)視頻（1個(gè)前置、1個(gè)后置）散熱器6個(gè)+2個(gè)熱插拔冗余風(fēng)扇（6個(gè)標(biāo)配，外加每個(gè)電源1個(gè)風(fēng)扇）管理工具OpcnManagc,標(biāo)配主板管理控制器，含IMPI2.0支持、可選DRAC5/i的先進(jìn)功能備注:I，系統(tǒng)支持WindowsServer2003R2EnterpriseEditionWindowsServer2003R2WebEdilion、WindowsServer2003R2x64EnlcrpriscEdition^WindowsServer2003R2x64StandardEdition、WindowsStorageServer2(X)3R2WorkgroupEdition2,T作環(huán)境：相對(duì)T作溫度I。。35c.相對(duì)工作濕度20%-80%無(wú)冷凝，相對(duì)存儲(chǔ)溫度-40C65C相對(duì)濕度5%-95%無(wú)冷凝3,以上配置為統(tǒng)一硬件配置，為DELL系列服務(wù)器標(biāo)準(zhǔn)配置，參考價(jià)位￥13000WEB服務(wù)器軟件配置和安全配置方案?、系統(tǒng)的安裝1、按照Windows2003安裝光盤(pán)的提示安裝，默認(rèn)情況下2003沒(méi)有把IISS0安裝在系統(tǒng)里面。2、IIS6.0的安裝JI：始菜單一〉控制面板一〉添加或刪除程序一＞添加/刪除Windows組件應(yīng)用程序 ASP.NET（可選）I——啟用網(wǎng)絡(luò)C0M+訪問(wèn)（必選）第忒頁(yè)I Internet信息服務(wù)（HS） Internet信息服務(wù)管理滯（必選）I—公用文件（必選）I 萬(wàn)維網(wǎng)服務(wù) AcliveServerpages（必選）I—Internet數(shù)據(jù)連接器（可選）I——WebDAV發(fā)布（可選）I—萬(wàn)維網(wǎng)服務(wù)（必選）I—在服務(wù)器端的包含文件（可.選）然后點(diǎn)擊確定一＞下一步安裝。3、系統(tǒng)補(bǔ)丁的更新點(diǎn)擊JF始菜單—＞所有程序—＞W(wǎng)indowsUpdate按照提示進(jìn)行補(bǔ)丁的安裝。4、備份系統(tǒng)用GHOST備份系統(tǒng)。5、安裝常用的軟件例如：殺毒軟件、解壓縮軟件等；安裝之后用GHOST再次備份系統(tǒng)。二、系統(tǒng)權(quán)限的設(shè)置1、磁盤(pán)權(quán)限系統(tǒng)盤(pán)及所有磁盤(pán)只給Administrators組和SYSTEM的完全控制權(quán)限系統(tǒng)盤(pán)'DocumentsandSellings目錄只給Adminislralors組和SYSTEM的完余控制權(quán)限系統(tǒng)盤(pán)\DocumenlsandSellings\AllUsersII〉衣只給Administrators組和SYSTEM的完全控制權(quán)限系統(tǒng)盤(pán)\InetpubII求及下面所有目錄、文件只給Administrators組和SYSTEM的完全控制權(quán)限系統(tǒng)盤(pán)\Windows\System32\cacls.exe、cmd.exe、net.exenetl.exe文件只給Administrators組和SYSTEM的完全控制權(quán)限2、本地安全策略設(shè)置開(kāi)始菜單一〉管理工具一＞本地安全策略A、本地策略一—＞審核策略審核策略更改成功失敗審核登錄事件成功失敗審核對(duì)象訪問(wèn)失敗審核過(guò)程跟蹤無(wú)審核審核目錄服務(wù)訪問(wèn) 失敗審核特權(quán)使用失敗審核系統(tǒng)事件成功失敗審核賬戶(hù)登詆事件成功失敗審核賬戶(hù)管理成功失敗B、本地策略一—＞用戶(hù)權(quán)限分配關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。通過(guò)終端服務(wù)拒絕登陸：加入Guests、User組通過(guò)終端服務(wù)允許登陸:只加入Administrators組，其他全部刪除C、本地策略——＞安全選項(xiàng)交互式登陸：不顯示上次的用戶(hù)名 啟用網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶(hù)和共享的國(guó)名枚舉 啟用網(wǎng)絡(luò)訪問(wèn)：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享 全部刪除第叁頁(yè)

可匿名訪問(wèn)的命可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑可匿名訪問(wèn)的命可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑全部刪除氽部刪除全部刪除電命名?個(gè)帳戶(hù)?命名?個(gè)帳戶(hù)帳戶(hù)：重命名來(lái)賓帳戶(hù)帳戶(hù)：幣:命名系統(tǒng)管理員帳戶(hù)3、禁用不必要的服務(wù)開(kāi)始菜單一＞管理工具一〉服務(wù)PrintSpoolerRemoteRegistryTCP/IPNetBIOSHelperServer以上是在WindowsServer2003系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的,默認(rèn)以用的服務(wù)如沒(méi)特別需要的話(huà)不要啟動(dòng)。4、啟用防火墻桌面一＞網(wǎng)上鄰居一＞（右鍵）屬性一＞本地連接一＞（右鍵）屬性一＞高級(jí)一＞（選中）Intcrnei連接防火墻一＞設(shè)置把服務(wù)服上面要用到的服務(wù)端口選中例如：?分WEB服務(wù)器，要提供WEB（80）、FTP（21）服務(wù)及遠(yuǎn)程桌面管理（3389）在“FTP股務(wù)器”、“WEB服務(wù)器（HTTP）”、“遠(yuǎn)程臬面”前面打上對(duì)號(hào)如果你要提供服務(wù)的端II不在里面,你也可以點(diǎn)添加"鐵鈕來(lái)添加.具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。然后點(diǎn)擊確定。注意：如果是遠(yuǎn)程管理這介服務(wù)器,請(qǐng)先確定遠(yuǎn)程管理的端II是否選中或添加。三、Windows2003安全配置.確保所有磁盤(pán)分區(qū)為NTFS分區(qū).操作系統(tǒng)、Web上目錄、日志分別安裝在不同的分區(qū).不要安裝不需要的協(xié)議，比如IPX/SPX,NetBIOS?.不要安裝其它任何操作系統(tǒng).安裝所有補(bǔ)丁(用瑞星安全漏洞掃描下載).關(guān)閉所有不需要的服務(wù)Alerter(disable)ClipBookServer(disable)ComputerBrowser(disable)DHCPClient(disable)DirectoryReplicator(disable)FTPpublishingservice(disable)LicenseLoggingService(disable)Messenger(disable)Nellogon(disable)NetworkDDE(disable)NetworkDDEDSDM(disable)NetworkMonitor(disable)PlugandPlay(disableafterallhardwareconfiguration)RemoteAccessServer(disable)第蚌頁(yè)RemoteProcedureCall(RPC)locater(disable)Schedule(disable)Server(disable)SimpleServices(disable)Spooler(disable)TCP/IPNetbiosHelper(disable)TelephoneService(disable)■.帳號(hào)和密碼策略1)保證禁止guest帳號(hào)2)將administrator改名為比較難猜的帳號(hào)3)密碼唯一性：記錄上次的6個(gè)密碼4)最短密碼期限：25)密碼最長(zhǎng)期限：426)最短密碼長(zhǎng)度：87)密碼復(fù)雜化(passfiIt.dlI)：?jiǎn)⒂?)用戶(hù)必須登錄方能更改密碼：后用9)帳號(hào)失敗登錄鎖定的時(shí)限：610)鎖定后重新啟用的時(shí)間間隔：720分鐘,保護(hù)文件和目錄將C:\winnt,C:\winnt\config,C:\winnt\system32,C:\winnt\system等目錄的訪問(wèn)權(quán)限做限制，限制everyone的寫(xiě)權(quán)限，限制users組的讀寫(xiě)權(quán)限.注冊(cè)表一些條目的修改I)去除logon對(duì)話(huà)框中的shutdown按鈕將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindovvsNT\CurrentVersion\Winlogon\uPShutdovvnWithoulLogonREG_SZ值設(shè)為02)去除logon信息的cashing功能將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindovvsNT\CurrentVersion\WinIogon\CachedLogonsCountREG_SZ值設(shè)為04)限制LSA匿名訪問(wèn)將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA.RestriCanonymousREG.DWORD值設(shè)為I5)去除所有網(wǎng)絡(luò)共享將HKEY_LOCAL_MACHINE\SYSTEM\CurrentConlrolSet\Services\LanManServer\Parameters\中AutoShareServerREG.DWORD值設(shè)為0四、ns的安全配置.關(guān)閉并冊(cè)J除默認(rèn)站點(diǎn)：默認(rèn)FTP站點(diǎn)默認(rèn)Web站點(diǎn)= 第仇頁(yè)管理Web站點(diǎn).建立自己的站點(diǎn)，與系統(tǒng)不在一個(gè)分區(qū)，如D:\wwwroot3.建立E:\Logfiles目錄，以后建立站點(diǎn)時(shí)的II志文件均位于此目錄，確保此目錄上的訪問(wèn)控制權(quán)限是：Administrators（完全控制）System（完全控制）.刪除ns的部分目錄：IISHelpC:\winnt\help\iishelpIISAdminC:\systeni32\inetsrv\iisadminMSADCC:\ProgramFiles\CommonFiles\System\msadc\刪除C:\\inetpub■.刪除不必要的ns映射和擴(kuò)展：IIS被預(yù)先配置為支持常用的文件名擴(kuò)展如.asp和.shtm文件。IIS接收到這些類(lèi)型的文件請(qǐng)求時(shí)，該調(diào)用由DLL處理，如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，步驟如下：選擇計(jì)算機(jī)名，點(diǎn)鼠標(biāo)右鍵，選擇屬性：然后選擇編輯然后選擇主目錄，點(diǎn)擊配置選擇擴(kuò)展名\.htw\,\.htr\,\.idc\,\.ida\,\.idq\和'.printer',點(diǎn)擊刪除如果不使用serversideinclude,則刪除\.shtm\\.stm\和\.shlml\.禁用父路徑：“父路徑”選項(xiàng)允許您在對(duì)諸如MapPath函數(shù)調(diào)用中使用“..二在默認(rèn)情況下，該選項(xiàng)處于啟用狀態(tài)，應(yīng)該禁用它。禁用該選項(xiàng)的步驟如下：右鍵單擊該Web站點(diǎn)的根,然后從上下文菜單中選擇“屬性”。單擊“主目錄”選項(xiàng)卡。單擊“配置單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡。取消選擇“啟用父路徑”復(fù)選框C.在虛擬目錄上設(shè)置訪問(wèn)控制權(quán)限主頁(yè)使用的文件按照文件類(lèi)型應(yīng)使用不同的訪問(wèn)控制列表：CGI（.exe,.dll,.cmd,.pl）Everyone（X）Administrators（完全控制）System（完全控制）腳本文件（.asp）Everyone（X）Administrators（完全控制）System（完全控制）include文件（.inc,.shtm,.shtml）Everyone（X）Administrators（完全控制）System（完全控制）靜態(tài)內(nèi)容（.txt,.gif,.jpg,.html）Everyone（R）Administrators（完全控制）第陸頁(yè)System(完全控制)在創(chuàng)建Web站點(diǎn)時(shí)，沒(méi)有必要在每個(gè)文件上設(shè)置訪問(wèn)控制權(quán)限，應(yīng)該為每個(gè)文件類(lèi)型創(chuàng)建一個(gè)新目錄，然后在每個(gè)目錄上設(shè)置訪問(wèn)控制權(quán)限、允許訪問(wèn)控制權(quán)限傳給各個(gè)文件。例如，目錄結(jié)構(gòu)可為以下形式：D:\wwwroot\myserver\static(.htnil)D:\wwwroot\myserver\include(.inc)D:\wwwrool\myserver\script(.asp)D:\wwwroot\myserver\executable(.dll)D:\wvvwroot\myserver\images(.gif.Jpeg)■.啟用日志記錄確定服務(wù)器是否被攻擊時(shí)，II志記錄是極其重要的。應(yīng)使用W3C擴(kuò)展U志記錄格式，步驟如下：打開(kāi)Internet服務(wù)管理器：右鍵單擊站點(diǎn)，然后從上下文菜單中選擇“屬性”。單擊“Web站點(diǎn)”選項(xiàng)卡。選中“啟用U志記錄”復(fù)選框。從“活動(dòng)LI志格式”下拉列表中選擇“W3C擴(kuò)展I」志文件格式”。單擊“屬性、單擊“擴(kuò)展屬性”選項(xiàng)除然后設(shè)置以卜屬性：客戶(hù)IP地址用戶(hù)名方法URI資源HTTP狀態(tài)Win32狀態(tài)用戶(hù)代理服務(wù)器IP地址服務(wù)器端口五、刪除WindowsServer21)03默認(rèn)共享和禁用TPC連接IPC$(InternetProcessConnection)是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開(kāi)放的命名管道，通過(guò)提供可信任的用戶(hù)名和口令，連接雙方計(jì)算機(jī)即可.以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換,從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。它是WindowsNT/2000/XP/2003特有的功能,但它有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè)IP之間只允許建立一個(gè)連接。NT/2OOO/XP/2OO3在提供了ipc$功能的同時(shí)，在初次安裝系統(tǒng)時(shí)還打開(kāi)「默認(rèn)共享，即所有的邏輯共享(c$,d$,e$……)和系統(tǒng)目錄winnt或windows(admin$)共享。所有的這些，微軟的初衷都是為「方便管理員的管理，但也為簡(jiǎn)稱(chēng)為IPC入侵者行意或無(wú)意的提供了方便條件，導(dǎo)致了系統(tǒng)安全性能的降低。在建立IPC的連接中不需要任何黑客工具，在命令行里鍵入相應(yīng)的命令就可以了，不過(guò)行個(gè)前提條件，那就是你需要知道遠(yuǎn)程主機(jī)的用戶(hù)名和密碼。打開(kāi)CMD后輸入如下命令即可進(jìn)行連接:netuse\ipipc$password/user:usernqmeo我們"J以通過(guò)修改注冊(cè)表來(lái)禁用IPC連接。打井注朋表編輯器。找到如下組建HKEY_LOCAL_MACHINESYSTEMCurrentControISetControlLsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接六、清空遠(yuǎn)租可訪問(wèn)的注冊(cè)表路徑大家都知道，Windows2003操作系統(tǒng)提供了注冊(cè)表的遠(yuǎn)程訪問(wèn)功能，只有將遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑設(shè)置為空，這樣才能有效的防止.黑客利用掃描器通過(guò)遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息.打開(kāi)組策略編輯器，依次展開(kāi)“計(jì)算機(jī)配置一WEdows設(shè)置一安全設(shè)置一木地策略一安全選項(xiàng)”，在右側(cè)窗II中找到“網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑”,然后在打開(kāi)的窗口中,將可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑內(nèi)容全部設(shè)置為空即可（如圖7）0七、關(guān)閉不必要的端口對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)安裝中默認(rèn)的有些端口確實(shí)是沒(méi)有什么必要的，關(guān)掉端口也就是關(guān)閉無(wú)用的服務(wù)。139端口是NetBIOS協(xié)議所使用的端口，在安裝了TCP/IP協(xié)議的同時(shí)，NetBIOS也會(huì)被作為默認(rèn)設(shè)置安裝到系統(tǒng)中。139端II的開(kāi)放意味著硬盤(pán)可能會(huì)在網(wǎng)絡(luò)中共享；網(wǎng)上黑客也可通過(guò)NetBIOS知道你的電腦中的?切!在以前的Windows版本中，只要不安裝Microsoft網(wǎng)絡(luò)的文件和打印共享協(xié)議,就可關(guān)閉139端口。但在WindowsServer2003中，只這樣做是不行的。如果想徹底關(guān)閉139端口，具體步驟如下：鼠標(biāo)右鍵單擊“網(wǎng)絡(luò)鄰居”,選擇“屬性”,進(jìn)入“網(wǎng)絡(luò)和撥號(hào)連接”,再用鼠標(biāo)右鍵單擊“本地連接”，選擇“屬性”，打開(kāi)“本地連接屬性”頁(yè)（如圖8）,然后去掉"Microsoft網(wǎng)絡(luò)的文件和打印共享”前面的“J”（如圖9）,接下來(lái)選中“Internet協(xié)議（TCP/IP）”，單擊“屬性”一“高級(jí)”一“WINS”，把“禁用TCP/IP上的NetBIOS”選中，即任務(wù)完成（如圖10）!對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)，可以在各項(xiàng)服務(wù)屈性設(shè)置中設(shè)為“禁用”，以免下次重啟服務(wù)也重新啟動(dòng)，端I」也開(kāi)放了。假如你的電腦中還裝了IIS,你最好重新設(shè)置一卜端口過(guò)濾。步驟如下：選擇網(wǎng)卡屬性，然后雙擊“Internet協(xié),議（TCP/IP）”，在出現(xiàn)的窗口中單擊“高級(jí)”按鈕,會(huì)進(jìn)入“高級(jí)TCP/IP設(shè)置”窗口，接下來(lái)選擇“選項(xiàng)”標(biāo)簽下的“TCP/IP篩選”項(xiàng)，點(diǎn)“屬性”按鈕,會(huì)來(lái)到“TCP/IP篩選”的窗II，在該窗II的“后用TCP/IP篩選（所為適配鹽）”前面打上“J”，然后根據(jù)需要配置就可以了。如果你只打算瀏覽網(wǎng)頁(yè)，則只開(kāi)放TCP端口80即可，所以可以在“TCP端II”上方選擇“只允許”，然后單擊“添加”按鈕，輸入80再單擊“確定”即可八、杜絕非法訪問(wèn)應(yīng)用程序WindowsServer2003是一種服務(wù)器操作系統(tǒng)，為了防止登陸到其中的用方，隨意啟動(dòng)服務(wù)器中的應(yīng)用程序，給服務(wù)器的正常運(yùn)行帶來(lái)不必要的麻煩，我們很有必要根據(jù)不同用戶(hù)的訪問(wèn)權(quán)限，來(lái)限制。他們?nèi)フ{(diào)用應(yīng)用程序。實(shí)際上我們只要使用組策略編輯器作進(jìn)一步的設(shè)置,即可實(shí)現(xiàn)這一目的,具體步驟如下：打開(kāi)“組策略編輯器”的方法為：依次點(diǎn)擊“開(kāi)始一運(yùn)行”，在“運(yùn)行”對(duì)話(huà)框中鍵入“gpedit.msc”命令并問(wèn)車(chē)，即可打開(kāi)“組策略編輯器“窗1」=然后依次打開(kāi)“組策略控制臺(tái)一用戶(hù)配置一管理模第捌頁(yè)板一系統(tǒng)”中的“只運(yùn)行許可的windows應(yīng)用程序”并啟用此策略.然后點(diǎn)擊下面的“允許的應(yīng)用程序列表”邊的“顯示”按鈕，彈出一個(gè)“顯示內(nèi)容”對(duì)話(huà)框，在此單擊“添加”按鈕來(lái)添加允許運(yùn)行的應(yīng)用程序即可九、設(shè)置和管理賬戶(hù)1、系統(tǒng)管理員賬戶(hù)最好少建，更改默認(rèn)的管理員帳戶(hù)名(Adrnmistrator)和描述，密碼最好采用數(shù)字加大小寫(xiě)字母加數(shù)字的上檔鍵組合，長(zhǎng)度最好不少于14位。2、新建一個(gè)名為Administratoi?的陷阱帳目，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼3、將Guest賬方禁用并更改名稱(chēng)和描述，然后輸入一個(gè)復(fù)雜的密碼，曾然現(xiàn)在也有一個(gè)DelGuest的工具，也許你也可以利用它來(lái)刪除Guest賬戶(hù)，但我沒(méi)有試過(guò)。4^在運(yùn)行中輸入gpedit.mscI可車(chē)，打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶(hù)策略-賬戶(hù)鎖定策略，將賬戶(hù)設(shè)為“三次登陸無(wú)效”，“鎖定時(shí)時(shí)間間隔6()分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。5、在安全設(shè)置?本地策略?安全選項(xiàng)中將“不顯示上次的用戶(hù)名”設(shè)為啟用6、在安全設(shè)置-木地策略-用戶(hù)權(quán)利分配中將“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”中只保留Internet來(lái)賓賬戶(hù)、啟動(dòng)HS進(jìn)程賬戶(hù)。如果你使用了Asp.ne1還要保留Aspnet賬戶(hù)。7、創(chuàng)建一個(gè)User賬戶(hù),運(yùn)行系統(tǒng),如果要運(yùn)行特權(quán)命令使用Runas命令°十、網(wǎng)絡(luò)服務(wù)安全管理I、禁止C$、D$、ADMIN$一類(lèi)的缺省共享2、解除NetBios與TCP/IP協(xié)議的綁定3、關(guān)閉不需要的服務(wù)，以下為建議選項(xiàng)ComputerBrowser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新,禁用DistributedFileSystem:局域網(wǎng)管理共享文件，不需要禁用Distributedlinktrackingclient：用于局域網(wǎng)更新連接信息,不需要禁用Errorreportingservice：禁止發(fā)送錯(cuò)誤報(bào)告MicrosoftSerch：提供快速的單詞搜索，不需要可禁用NTLMSecuritysupportprovide：telnet服務(wù)和MicrosoftSerch用的,不需要禁用PrintSpooler：如果沒(méi)有打印機(jī)可禁用RemoteRegistry：禁止遠(yuǎn)程修改注冊(cè)表RemoteDesktopHelpSessionManager：禁止遠(yuǎn)程協(xié)助十一、打開(kāi)相應(yīng)的審核策略在運(yùn)行中輸入gpedit.msc|可車(chē)，打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置?安全設(shè)置?審核策略在創(chuàng)建審核項(xiàng)目忖需耍注意的是如果審核的項(xiàng)目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會(huì)影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情況在這二件之間做出選擇。推薦的要審核的項(xiàng)目是：第玖頁(yè)登錄事件成功失敗賬戶(hù)登錄事件成功失敗系統(tǒng)事件成功失敗策略更改成功失敗對(duì)象訪問(wèn)失敗U錄服務(wù)訪問(wèn)失敗特權(quán)使用失敗十二、其它安全相關(guān)設(shè)置1、隱藏重要文件/目錄2、啟動(dòng)系統(tǒng)自帶的Intemel連接防火堵，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。3、防止SYN洪水攻擊.禁止響應(yīng)ICMP路由通告報(bào)文.防止ICMP重定向報(bào)文的攻擊.不支持IGMP協(xié)議7、禁用DCOM：十三、配置ns服務(wù)：I、不使用默認(rèn)的Web站點(diǎn)，如果使用也要將將ns目錄與系統(tǒng)磁盤(pán)分開(kāi)。2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤(pán)上)。3、刪除系統(tǒng)盤(pán)下的虛擬”錄，如：_vti_bin、IISSamples>Scripts、HShelp、IISAdmin、HShelp>MSADCo4、刪除不必要的IIS擴(kuò)展名映射。右鍵單擊“默認(rèn)Web站點(diǎn)一屬性一主LI錄一配置”，打開(kāi)應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shlml,.shtm,.stm5、更改ns志的路徑右鍵單擊“默認(rèn)Web站點(diǎn)一屬性-網(wǎng)站.在啟用U志記錄下點(diǎn)擊屬性6、如果使用的是2000可以使用iislockdown來(lái)保護(hù)IIS,在2003運(yùn)行的IE6.0的版本不需要。7、使用UrlScan但如果你在服務(wù)器運(yùn)行ASP.NET程序，并要進(jìn)行調(diào)試你需打開(kāi)要％\￥2口區(qū)%\5丫，比17132\111匕出「丫\151^1^211文件夾中的URLScan.ini文件,然后在UserAllowVerbs節(jié)添加debug謂詞,注意此節(jié)是區(qū)分大小寫(xiě)的。如果你的網(wǎng)頁(yè)是.asp網(wǎng)頁(yè)你需要在DenyExtensions刪除.asp相關(guān)的內(nèi)容°如果你的網(wǎng)頁(yè)使用了非ASCII代碼，你需要在Option節(jié)」||將A11owHighBitCharacters的值設(shè)為1在對(duì)URLScan.ini文件做了更改后，你需要重啟IIS服務(wù)才能生效，快速方法運(yùn)行中輸入iisreset如果你在配置后出現(xiàn)什么問(wèn)題，你可以通過(guò)添加/刪除程序刪除UrlScano8、利用WIS(WebInjectionScanner)工具對(duì)整個(gè)網(wǎng)站進(jìn)行SQLInjection脆弱性?huà)呙?十四、配置Sql服務(wù)器1、SystemAdministrators角色最好不要超過(guò)兩個(gè)2、如果是在本機(jī)最好將身份驗(yàn)證配置為Win登陸3、不要使用Sa賬戶(hù)，為其配置一個(gè)超級(jí)復(fù)雜的密碼4、刪除以下的擴(kuò)展存儲(chǔ)過(guò)程格式為：usemastersp_dropextendedproc'擴(kuò)展存儲(chǔ)過(guò)程名’xp_cmdshell：是進(jìn)入操作系統(tǒng)的最佳捷徑,刪除訪問(wèn)注冊(cè)表的存儲(chǔ)過(guò)程，刪除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regread Xp_regwriteXp__regremovemultistringOLE自動(dòng)存儲(chǔ)過(guò)程，不需要?jiǎng)h除Sp_OACreate Sp_OADestroy Sp__OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5、隱藏SQLServer^更改默認(rèn)的1433端口右擊實(shí)例選屈性?常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏SQLServer實(shí)例，并改原默認(rèn)的1433端口。十五、如果只做服務(wù)器，不進(jìn)行其它操作，使用IPSecI、管理工具一本地安全策略一右擊IP安全策略一管理IP篩選器表和篩選器操作一在管理IP篩選器表選項(xiàng)下點(diǎn)擊添加一名稱(chēng)設(shè)為Web篩選器一點(diǎn)擊添加一在描述中輸入Web服務(wù)器一將源地址設(shè)為任何IP地址——將11標(biāo)地址設(shè)為我的IP地址——協(xié)議類(lèi)型設(shè)為T(mén)cp——IP協(xié)議端口笫一項(xiàng)設(shè)為從任意端口，第二項(xiàng)到此端口80——點(diǎn)擊完成——點(diǎn)擊確定。2、再在管理IP篩選器表選項(xiàng)下點(diǎn)擊添加一名稱(chēng)設(shè)為所有入站篩選器一點(diǎn)擊添加一在描述中輸入所有入站篩選一將源地址設(shè)為任何IP地址——將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類(lèi)型設(shè)為任意——點(diǎn)擊下一步——完成——點(diǎn)擊確定。3、在管理篩選器操作選項(xiàng)下點(diǎn)擊添加——下一步——名稱(chēng)中輸入阻止——下一步——選擇阻止——下一步——完成——關(guān)閉管理IP篩選器表和篩選都操作窗口4、右擊IP安全策略——?jiǎng)?chuàng)建IP安全策略——下一步——名稱(chēng)輸入數(shù)據(jù)包篩選器——下一步一一取消默認(rèn)激活響應(yīng)原則——下一步——完成5、在打開(kāi)的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網(wǎng)絡(luò)連接——「一步——在IP篩選器列表中選擇新建的Web篩選器——卜一步——在篩選器操作中選擇許可一一下一步——完成——在TP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止——下一步——完成——確定6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器，點(diǎn)擊指派，不需要重啟，【PSec就可生效.卜七、如何配置一臺(tái)堅(jiān)固安全的win2003服務(wù)器1）確定你要用它來(lái)干什么，需要開(kāi)什么服務(wù)，什么是不必要的，沒(méi)用地就別裝（像Index什么的），不必要的服務(wù)全都可以關(guān)掉C弟弟拾壹頁(yè)在控制面版=＞管理=＞T具中，自己看看辦，如下服務(wù)是一定要禁」上的：RemoteRegistryServiceRunAsServiceTaskSchedulerTelnetWindowsTime其他不必要的服務(wù)可以設(shè)為手動(dòng)方式OSNMPService和SNMPTmpService最好也關(guān)掉，要用的話(huà)，把管理公共字改掉。2）打補(bǔ)丁。確定你打上了Win2kSP2;3）IIS配置。I,在US管理器中，去處所有不必要的擴(kuò)展關(guān)聯(lián)（基木上除」’ASP/ASA等兒個(gè)必要的和CGI之類(lèi)的外，其他都可以去掉）有可能的話(huà)，可以安裝一個(gè)SecureRS,還是有一定效果的。2,校驗(yàn)ftp權(quán)限，差不多就自己看著辦吧，不要被人家tag就可以了?/4）MSSQL0濘先，記得一定要加一個(gè)難記得密碼，不然就什么都完了。然后記得升級(jí)SQL7.0SP2和SQL2kSP1.5/TerminalServer=打了SP2基本就沒(méi)太大問(wèn)題，只要你的系統(tǒng)不是沒(méi)密碼 高級(jí)部分：1）類(lèi)防火墻限制。這需要我們打開(kāi)MS的IPSEC服務(wù)，然后選擇網(wǎng)絡(luò)設(shè)置=＞網(wǎng)絡(luò)界面屬性=＞TCP/IP。高級(jí)=＞選項(xiàng)簡(jiǎn)單一?點(diǎn)的話(huà),就用TCP/IP篩選,確定指開(kāi)放那些端口，比如80,1433等等（可惜開(kāi)放即服務(wù)的話(huà)，經(jīng)常會(huì)亂開(kāi)端口的，難以確定）；要求高級(jí)的話(huà)，自己定義一個(gè)IPSEC策略，可以精確的過(guò)濾例如某種ICMP類(lèi)型等等…可以做到水泄不通哦，不要到時(shí)候你自己也進(jìn)不去了就好?一*2）NetBI0S設(shè)置。歷史以來(lái)，netbios是僅次于IIS的winnt安全問(wèn)題最多的服務(wù)，簡(jiǎn)直.就是后門(mén)打開(kāi)。至少做這樣一條設(shè)置：注冊(cè)表編輯Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous=IM以禁止IPC$空用戶(hù)連接，防止信息泄漏和其他更嚴(yán)重的安全問(wèn)題。3）TerminalServer加強(qiáng)。注朋表編輯：HKEY_LOCAL_MACHINESOFTWAREMicrosoft\WindowsNT\CurrentVersion\Winlogon\Don'IDisplayLastUserName=1可以讓別人在ts中看不到你上次登錄的用戶(hù)名，有安全了一點(diǎn)點(diǎn)（記住，別人獲取你的信息越少，你就越安全）4）系統(tǒng)文件目錄權(quán)限檢查?；镜牟呗?，可以在文件屈性U」修改，避免有everyone完全控制的目錄，大部分文件最好禁止everyone寫(xiě)，甚至讀。對(duì)于系統(tǒng)的重要文件和LI錄，例如system32等等，可以用Win2kResoueceKit中的一個(gè)「.具xacls詳細(xì)的加強(qiáng)訪問(wèn)控制U第壹拾貳頁(yè)5）預(yù)防信息監(jiān)測(cè)和DOS攻擊必要的話(huà)，打開(kāi)RSAS或者「I己添加一個(gè)己SEC安全策略,過(guò)濾掉ICMPEcho和Redrict類(lèi)型,這樣別人ping你就不會(huì)有反映，而如果ping不通的話(huà)，可能別人就此罷手了?丁而且缺省配置卜一，很多的漏洞掃描器ping不通就不掃了，西西。（當(dāng)然啦,如果你有更強(qiáng)的防火墻,哪就更好）一定程度的DoS預(yù)防：在注冊(cè)表HKLM\SYSTEM\C