win2003服务器 Web服务器安全配置的内容清单
Web服务器安全配置的内容
1终端服务默认端口号:3389。
更改原因:不想让非法用户连接到服务器进行登录实验。当这台服务器托管在外时更不希望发生这种情况,呵呵,还没忘记2000的输入法漏洞吧?
更改方法:
(1)、第一处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
(2)、第二处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
2系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、telnet.exe、ftp.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
注册表删除 WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、Shell.application
注册表改名 adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject
3启用防火墙和tcp/ip过滤,再serv-u开启一组端口映射
80 \ 20 \ 21 \ 2121 \ * 以及serv-u端口组
4关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"deletenetshare"="c:\\\\deletenetshare.bat"
5防范拒绝服务攻击
禁止响应ICMP重定向报文。此类报文有可能用以攻击,所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
6 iis部分的配置,mdb防止下载,添加数据库名的如MDB的扩展映射 iislog.dll
7 如何解除FSO上传程序小于200k限制?
先在服务里关闭IIS admin service服务,找到Windows\System32\Inesrv目录下的Metabase.xml并打开,找到ASPMaxRequestEntityAllowed,将其修改为需要的值。默认为204800,即200K,把它修改为51200000(50M),然后重启IIS admin service服务。
Windows2003下的IIS权限设置
前提:仅针对windows 2003 server SP1 Internet(IIS) 服务器
系统安装在C:\盘
系统用户情况为:
administrators 超级管理员(组)
system 系统用户(内置安全主体)
guests 来宾帐号(组)
iusr_服务器名 匿名访问web用户
iwam_服务器名 启动iis进程用户
www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)
为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用
将访问web目录的全部账户设为guests组、去除其他的组
■盘符 安全访问权限
△C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限
△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△如有其他盘符类推下去.
■禁止系统盘下的EXE文件:
net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe
- ·网络词语6馍啥意思?网络热词6馍梗来源及6馍出处介绍
- ·迅雷 敏感资源下载方法,迅雷下载敏感资源的解决办法
- ·excel阳历转农历的方法,学习公历转农历的四种方法。
- ·android n代号是什么?
- ·死亡空间3配置要求高吗?死亡空间配置要求。
- ·win11如何删除桌面图标?添加或删除桌面图标的方法。
- ·android l是什么意思?
- ·cmnet是什么意思?
- ·5英寸手机有多大?5英寸是多少厘米?5英寸有多大?
- ·MX150显卡性能评测。
- ·dlna是什么?DLNA怎么用?
- ·超星泛雅怎么添加课程?超星泛雅添加课程的方法教程。
- ·尼卡形态是什么?海贼王人人果实幻兽种尼卡是什么?
- ·孤泳者,孤泳者歌词含义解析。
- ·美团月付怎么关闭?如何关闭美团月付,关闭美团月付的
- ·腾讯会员怎么共享给别人登录?
- ·android m是什么?
- ·万能路由器密码破解软件推荐,无线密码破解软件,路由器
- ·双wipe是什么意思?安卓系统双wipe操作教程。
- ·消逝的光芒配置,玩消逝的光芒游戏需要什么样的电脑配
- ·一键清理bat代码,一键清除垃圾bat命令(快速清理垃圾ba
- ·ps经典游戏介绍,ps经典游戏排行榜前十名。
- ·怎样关闭安全警告?怎样关闭浏览器的安全警告?
- ·手机上的安全警告怎么关闭?