Windows 服务器的安全防护林(共10篇)由网友“言寺”投稿提供,今天小编就给大家整理过的Windows 服务器的安全防护林,希望对大家的工作和学习有所帮助,欢迎阅读!
篇1:Windows 服务器的安全防护林
中小学校的校园网普遍应用Windows 2000作为服务器的操作系统,但有些学校刚开始运行就遭到网络 的攻击,造成网络崩溃,那么,安全问题怎么解决?其实不需要任何的软硬件的介入,仅靠系统本身我们就能构建一个安全防护林。
设置禁用,构建第一道防线
在安装完Windows 2000后,首先要装上最新的系统补丁。但即使装上了,在因特网上的任何一台机器上只要输入“\\你的IP地址\c”,然后输入用户名Guest,密码空,就能进入你的C盘,你还是完全暴露了。解决的方法是禁用Guest账号,为Administrator设置一个安全的密码,将各驱动器的共享设为不共享。同时你还要关闭不需要的服务。你可以在管理工具的服务中将它们设置为禁用,但要提醒的是一定要慎重,有的服务是不能禁用的。一般可以禁用的服务有Telnet、Task Scheduler(允许程序在指定时间运行)、Remote Registry Service(允许远程注册表操作)等。这是你构建的服务器的第一道防线。
设置IIS,构建第二道防线
作为校园网的服务器,很多学校将该服务器同时作为网站服务器,而IIS的漏洞也是一个棘手的问题。实际上,你可以通过简单的设置,完全可以将网站的漏洞补上。你可以将IIS默认的服务都停止(FTP服务你是不需要的,要的话笔者推荐用Serv-U;“管理Web站点”和“默认Web站点”都会给你带来麻烦;SMTP一般也不用),然后再新建一个Web站点。
设置好常规内容后,在“属性→主目录”的配置中对应用程序映射进行设置,删除不需要的映射(如图2),这些映射是IIS受到攻击的直接原因。如果你需要CGI和PHP的话,可参阅一些资料进行设置。
这样,配合常规设置,你的IIS就可以安全运行了,你的服务器就有了第二道防线。
运用扫描程序,堵住安全漏洞
要做到全面解决安全问题,你需要扫描程序的帮助。笔者推荐使用X-Scan,它可以帮助你检测服务器的安全问题。
扫描完成后,你要看一下,是否存在口令漏洞,若有,则马上要修改口令设置;再看一下是否存在IIS漏洞,若有,请检查IIS的设置。其他漏洞一般很少存在,我要提醒大家的是注意开放的端口,你可以将扫描到的端口记录下来,以方便进行下一步设置。
封锁端口,全面构建防线
大多通过端口进行入侵,所以你的服务器只能开放你需要的端口,那么你需要哪些端口呢?以下是常用端口,你可根据需要取舍:
80为Web网站服务;21为FTP服务;25为E-mail SMTP服务;110为Email POP3服务,
其他还有SQL Server的端口1433等,你可到网上查找相关资料。那些不用的端口一定要关闭!关闭这些端口,我们可以通过Windows 2000的安全策略进行。
借助它的安全策略,完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入,右击“IP安全策略”,选择“创建IP安全策略”,点[下一步]。输入安全策略的名称,点[下一步],一直到完成,你就创建了一个安全策略:
接着你要做的是右击“IP安全策略”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和139端口为例说明。
关闭了ICMP, 软件如果没有强制扫描功能就不能扫描到你的机器,也Ping不到你的机器。关闭ICMP的具体操作如下:点[添加],然后在名称中输入“关闭ICMP”,点右边的[添加],再点[下一步]。在源地址中选“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“ICMP”,点[下一步]。回到关闭ICMP属性窗口,即关闭了ICMP。
下面我们再设置关闭139,同样在管理IP筛选器列表中点“添加”,名称设置为“关闭139”,点右边的“添加”,点[下一步]。在源地址中选择“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“TCP”,点[下一步]。在设置IP协议端口中选择从任意端口到此端口,在此端口中输入139,点下一步。即完成关闭139端口,其他的端口也同样设置。
特别指出的是关闭UDP4000可以禁止校园网中的机器使用QQ。
然后进入设置管理筛选器操作,点“添加”,点下一步,在名称中输入“拒绝”,点下一步。选择“阻止”,点[下一步]。
然后关闭该属性页,右击新建的IP安全策略“安全”,打开属性页。在规则中选择“添加”,点[下一步]。选择“此规则不指定隧道”,点下一步。在选择网络类型中选择“所有网络连接”,点下一步。在IP筛选器列表中选择“关闭ICMP”,点[下一步]。在筛选器操作中选择“拒绝”,点下一步。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法,你可以将“关闭139”等其他筛选器加入进来。
最后要做的是指派该策略,只有指派后,它才起作用。方法是右击“安全”,在菜单中选择“所有任务”,选择“指派”。IP安全设置到此结束,你可根据自己的情况,设置相应的策略。
设置完成后,你可再用X-Scan进行检查,发现问题再补上。
通过以上的设置,你的Windows 2000服务器可以说是非常安全了。希望你早日筑起服务器的安全防护林。
篇2:Windows网站服务器安全设置
有很多人都认为微软的东西漏洞太多,微软的系统安全性太差,网站服务器通常都不建议用微软的系统,不过,如果网站维护人员很少,通过在Windows Server里进行一些安全配置,也可以让系统的安全性有所提高,对于网站的备份、恢复等一系列复杂操作,也可以通过一些较为简单的方式来实现,下面是我总结的一些Windows Server安全配置和备份恢复的一些经验和技巧,供各位参考,
Windows服务器安全配置技巧 - Windows服务器安装、网络安全配置、安全模板设置等。
防止服务器网卡被误停用 - 服务器一般放在IDC机房,如果我们远程控制Windows服务器的时候,不小心禁用了网卡,后果不堪设想。
ASP博客安全技巧 - 以Z-Blog博客系统为例介绍在独立主机可配置的条件下(托管、租用或者合租主机)的系统安全设置。
海量文件复制和备份的技巧 - 海量文件服务技巧,带权限文件复制(单个文件的权限)技巧。
修改远程登录3389端口 - 众所周知,远程终端服务基于端口3389,
入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。
五个远程管理Windows服务器的技巧 - 一些有效管理服务器的小技巧。
IIS 的备份恢复 - Windows的IIS有一个非常“ ”的备份还原功能,和大部分备份还原不同的是,这个服务默认不支持不同电脑之间的备份还原,如果用户重装Windows的话,即使备份了IIS的相关文件,还原的时候还是提示“无效签名”,导致这个IIS无法恢复。
Windows IIS日志文件分析程序 - Windows Server具有事件日志记录的功能,其IIS日志文件里记录了包括下列信息:谁访问了您的站点,访问者查看了哪些内容等等。通过定期检查这些日志文件,网站管理员可以检测到服务器或站点的哪些方面易受攻击或存在其他安全隐患。
Google KMZ/MKL文件设置 - Google Earth的KML文件的MIME类型是application/vnd.google-earth.kml+xml,KMZ文件的MIME类型是application/vnd.google-earth.kmz。
篇3:Windows Server服务器安全配置WEB安全
一、先关闭不需要的端口
我比较小心,先关了端口,只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStations\RDP-Tcp]
“PortNumber”=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!
Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
二.关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation关闭的话远程NET命令列不出用户组
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在“网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用“Internet连接防火墙”,这是windows 2003 自带的防火墙,在系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件
账户登录事件
系统事件
策略更改
对象访问
目录服务访问
特权使用
三、关闭默认共享的空连接
地球人都知道,我就不多说了!
四、磁盘权限设置
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:“只要给我一个webshell,我就能拿到system”,这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
另外,还将:
net.exe NET命令
cmd.exe CMD 懂电脑的都知道咯~
tftp.exe
netstat.exe
regedit.exe 注册表啦 大家都知道
at.exe
attrib.exe
cacls.exe ACL用户组权限设置,此命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这个....(:
format.exe 不说了,大家都知道是做嘛的
大家都知道ASP木马吧,有个CMD运行这个的,这些如果都可以在CMD下运行..55,,估计别的没啥,format下估计就哭料~~~(:这些文件都设置只允许administrator访问,
五、防火墙、杀毒软件的安装
关于这个东西的安装其实我也说不来,反正安装什么的都有,建议使用卡巴,卖咖啡。用系统自带的防火墙,这个我不专业,不说了!大家凑合!
六、SQL2000 SERV-U FTP安全设置
SQL安全方面
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要,删除
Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
Sp_OAMethodSp_OASetPropertySp_OAStop
5、隐藏 SQL Server、更改默认的1433端口。
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
serv-u的几点常规安全需要设置下:
选中“Block ”FTP_bounce“attack and FXP”。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
七、IIS安全设置
IIS的安全:
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、.shtm、.stm。
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
八、其它
1、系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
5、防止SYN洪水攻击。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
6. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0。
7. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
8. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0。
9、禁用DCOM:
运行中输入Dcomcnfg.exe。回车,单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
最后,建议安全以上步骤做的朋友们,每做一步先进行一下测试,省的无可挽回,毕竟Microsoft会出一些非常规性的问题的咯!
篇4:Windows Server 服务器教程
server|window
4月,Windows Server 2003发布;对活动目录、组策略操作和管理、磁盘管理等面向服务器的功能作了较大改进,对.net技术的完善支持进一步扩展了服务器的应用范围,
Windows Server 2003有四个版本:Windows Server 2003 Web服务器版本(Web Edition)、Windows Server 2003标准版(Standard Edition)、Windows Server 2003企业版(Enterprise Edition)以及Windows Server 2003数据中心版(Datacenter Edition),
Web Edition主要是为网页服务器(web hosting)设计的,而Datacenter是一个为极高端系统使用的。标准和企业版本则介于两者中间。
Windows Server 2003是目前微软最新的服务器操作系统。
一开始,该产品叫作“Windows .NET Server”,改成“Windows .NET Server 2003”,后最终被改成“Windows Server 2003”,于203月28日发布,并在同年四月底上市。
Windows Server 2003有多种版本,每种都适合不同的商业需求:
Windows Server 2003 Web版
Windows Server 2003 标准版
Windows Server 2003 企业版
Windows Server 2003 数据中心版
篇5:Windows DHCP服务器配置DHCP服务器
DHCP服务器的主要作用便是为网络客户机分配动态的IP地址,这些被分配的IP地址都是DHCP服务器预先保留的一个由多个地址组成的地址集,而且,它们一般是一段连续的地址(除了管理员在配置DHCP服务器时排除的某些地址)。当网络客户机请求临时的IP地址时,DHCP服务器便会查看地址数据库,以便为客户机分配一个仍没有被使用的IP地址。本节便为读者介绍一些有关DHCP服务方面的内容以及如何配置一台Windows 2000 Server下的DHCP服务器。
什么是DHCP服务
在早期的网络管理中,为网络客户机分配IP地址是网络管理员的一项复杂的工作。由于每个客户计算机都必须拥有一个独立的IP地址以免出现重复的IP地址而引起网络冲突,因此,分配IP地址对于一个较大的网络来说是一项非常繁杂的工作。
为解决这一问题,导致了DHCP服务的产生。DHCP是Dynamic Host Configuration Protocol的缩写,它是使用在TCP/IP通信协议当中,用来暂时指定某一台机器IP地址的通信协议。使用DHCP时必须在网络上有一台DHCP服务器,而其他计算机执行DHCP客户端。当DHCP客户端程序发出一个广播讯息,要求一个动态的IP地址时, DHCP服务器会根据目前已经配置的地址,提供一个可供使用的IP地址和子网掩码给客户端。这样,网络管理员不必再为每个客户计算机逐一设置IP地址,DHCP服务器可自动为上网计算机分配IP地址,而且只有客户计算机在开机时才向DHCP服务器申请IP地址,用毕后立即交回。
使用DHCP服务器动态分配IP地址,不但可节省网络管理员分配IP地址的工作,而且可确保分配地址不重复。另外,客户计算机的IP地址是在需要时分配,所以提高了IP地址的使用率。为了更进一步了解DHCP的作用,下面来看一看它是如何工作的。
通常DHCP分配IP地址有三种方式,第一种是固定的IP地址,每一台计算机都有各自固定的IP地址,这个地址是固定不变的,适合区域网络当中每一台工作站的地址,除非网络架构改变,否则这些地址通常可以一直使用下去。第二种是动态分配,每当计算机需要存取网络资源时, DHCP服务器才给予一个IP地址,但是当计算机离开网络时,这个IP地址便被释放,可供其他工作站使用。第三种是由网络管理者以手动的方式来指定。若DHCP配合WINS服务器使用,则电脑名称与IP地址的映射关系可以由WINS服务器来自动处理。
当配置为使用DHCP的客户计算机第一次启动时,将经历一系列步骤以获得其TCP/IP配置信息,并得到租约。租约是客户计算机从DHCP服务器接收到完整的TCP/IP配置,即客户计算机从DHCP服务器接收到TCP/IP配置信息每经过服务器指定的一段时间后通常要重新续租一次。
客户计算机从DHCP服务器获得租约的简要步骤是:初始化→选择→请求→绑定。下面对这些步骤进行更详细的讨论。
初始化: 当DHCP 客户计算机启动时,其IP 地址并没有任何设置。然后它将DHCP DISCOVER消息发送给本地子网。DHCP DISCOVER包含客户介质访问控制( MAC)地址及客户系统名称。MAC地址是所有网卡保存的唯一地址。通过在消息中使用MAC地址,客户确保能在网络上唯一地被识别。
择:DHCP服务器从客户计算机收到DHCP DISCOVER消息后,将通过DHCP OFFER信息作出反应。DHCP OFFER信息包含有客户计算机的MAC地址,提供了TCP/IP地址,子网掩码以及DHCP服务器的IP地址,它直接送到客户计算机,并不是广播消息。DHCP服务器发送DHCP OFFER信息之后仍暂时保留发送给客户计算机的地址,并等待要获得该地址的客户的
确认信息。
如果在引导期间DHCP客户没有以DHCP服务器接收到DHCP OFFER消息,它将每隔五分钟与DHCP服务器试着进行五次通信。其中四次重试间隔时间分别为2、4、8、16秒,另一次则在0 - 100毫秒之间的任意间隔。
请求:当DHCP客户接收到DHCP OFFER消息时,要决定使用哪一条消息,因为网络上有可能有多个DHCP服务器,客户可能收到不止一条DHCP OFFER消息。
一般情况下,客户计算机使用第一条接到的信息。然后客户计算机发送HDCPREQUEST消息给
关 键 字:DHCP 服务器
篇6:Windows DNS服务器配置DNS服务器
如果用户使用Windows 2000 Server作为计算机的操作系统,可以通过安装服务、协议与工具并正确地设置它们来把该计算机配置成诸如Web服务器、IIS服务器、FTP服务器、DNS 服务器、DHCP服务器和WINS服务器等各种服务器,以便为网络中的客户机提供某项服务,在Windows 2000 Server服务器提供的所有服务当中,最为重要和基本的三种服务是域名服务、将NetBIOS计算机名转换为对应IP地址的服务以及为进入网络的客户机动态地分配IP地址的服务。它们的主要作用在于将计算机能够识别的IP地址与现实中人们使用的诸如www.sina.com 或Jace(计算机名)类型的计算机地址和名称进行转换与解析。这三种服务分别是由DNS服务器、DHCP服务器和WINS服务器来完成的。基于这三种服务器在整个网络连接中的重要作用,本章介绍如何创建和配置DNS服务器、DHCP服务器和WINS服务器及其相关的知识。
在庞大的Internet网络中,每台计算机(无论是服务器还是客户机)都有一个自己的计算机名称。通过这个易识别的名称,网络用户之间可以很容易地进行互相访问以及客户机与存储有信息资源的服务器建立连接等网络操作。不过,网络中的计算机硬件之间真正建立连接并不是通过大家都熟悉的计算机名称,而是通过每台计算机各自独立的IP地址来完成的。因为,计算机硬件只能识别二进制的IP地址。因此, Internet中有很多域名服务器来完成将计算机名转换为对应IP地址的工作,以便实现网络中计算机的连接。可见DNS服务器在Internet中起着重要作用,本节我们便来对域名服务以及如何配置和管理DNS服务器进行介绍。
什么是域名服务
在计算机网络中,主机标识符分为三类:名字、地址及路径。而计算机在网络中的地址又分为IP地址和物理地址,但地址终究不易记忆和理解。为了向用户提供一种直观的主机标识符,TCP/IP协议提供了域名服务(DNS)
DNS的引入是与TCP/IP协议中层次型命名机制的引入密切相关的。所谓层次型命名机制是指在名字中加入结构信息,而这种结构本身又是层次型的。例如,DNS是以根和树结构组成的(如图10 - 1所示)。
层次型命名的过程是从树根( Root )开始沿箭头向下进行,在每一处选择相应于各标号的名字,然后将这些名字串连起来,形成一个唯一代表主机的特定的名字。例如,图10 - 1中,Internet各网点的标号与组织的对应关系如表10 - 1所示。
具体地说,一个网点是整个广域网的一部分,由若干网络组成,这些网络在地理位置或组织关系上联系非常紧密,广域网将它们抽象成一个点来处理,各网点内又分成若干管理组,在组下面才是主机,因此, DNS的一般格式为:
本地主机名?组名?网点名
DNS服务器负责的工作便是将主机名连同域名转换为IP地址。该项功能对于实现网络连接可谓至关重要。因为,当网络上的一台客户机需要访问某台服务器上的资源时,客户机的用户只需在“ Internet Explorer”主窗口中的“地址”文本框中输入该服务器在现实中为大家所知的诸如www.happy.com.cn类型的地址,即可与该服务器进行连接。然而,网络上的计算机之间实现连接却是通过每台计算机在网络中拥有的唯一的IP地址(该地址为数值地址,分为网络地址和主机地址两部分)来完成的,因为计算机硬件只能识别IP地址而不能够识别其他类型的地址。这样在用户容易记忆的地址和计算机能够识别的地址之间就必须有一个转换,DNS服务器便充当了这个转换角色。
虽然所有连接到Internet上的网络系统都采用DNS地址解析方法,但是域名服务有一个缺点,就是所有存储在DNS数据库中的数据都是静态的,不能自动更新。这意味着,当有新主机添加到网络上时,管理员必须把主机DNS名称(例如,www.happy.com.cn) 和对应的IP地址(例如,147.23.234.6
关 键 字:DNS 服务器
篇7:windows 安装PHP5.5.0WEB服务器
这次的教程主要写IIS7和PHP新版本的配置(IIS7+FastCGI+PHP),
由于windows 2008(win7)下使用IIS7以上版本的IIS,可能配置方法有点不同,所以写了这个教程。
顺便前几天PHP5.5.0 Alpha出来了,由于忙没有去搞环境来测试。这次有时间一起搞了。
这次在虚拟机里面安装操作的,系统安装的是windows 2008 Standard sp2(32位)版本。安装好后,添加角色(IIS服务),在添加角色时默认再够上了CGI。
又安装了web4.0平台安装程序。web4.0平台安装程序:www.iis.net/downloads
打开 web平台安装程序 ,搜索“fastcgi”,安装IIS 7.0 FastCGI更新,如图(这里我已经安装过了,只要选择安装第一个就可以了,下面2个会自动安装的)
到了这里前期的准备工作已经完成,去下载PHP的zip包(非线程安全的VC9 x86 Non Thread Safe)
解压,我自己放到C盘php文件夹下(c:/php)
IIS管理界面 --- 处理程序映射 --- 添加模块映射
请求路径:*.php
模块:FastCGIModule
可执行文件:php-cgi.exe的路径
名称:随便(例如:php)
默认文档 --- 添加index.php这里我就不详细说了,
根目录下,创建phpinfo.php文件,内容
<?php phpinfo;?>
访问127.0.0.1/phpinfo.php,出现如下图。
篇8:打造安全WINDOWS服务器的终极手段
打造安全WINDOWS服务器的终极手段
这是因为ADMIN5被黑.而引发出来的一篇针对服务器安全的文章.由静花木木原创.希望对大家有帮助.[eek].废话也不说了.直接开始今天的正题.完全打造安全WINDOWS服务器的终极法宝.
我的目标:,加固WEB服务器系统,使之提高并完善其稳定性及安全性。[muteness]
系统环境:Windows Server 2003 Enterprise Edition With Service Pack 1(以下简称W2k3SP1),WEB平台为IIS6,FTP平台为Serv-U FTP Server6.4
系统的安装
这个不需要讲把.[lol]
1、IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。
打开自动更新.安装常用软件.WINRAR.GHOST.我们进入下一步[redface]
2.很多服务器被黑.很大一部分是被因为权限分配问题导致的,下面写出推荐的权限分配:
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的`完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
注意:另外别忘记还有一个隐藏目录也需要同样操作[eek]
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限(建议删除netpub目录)
系统盘\Windows\System32\cmd.exe、ftp.exe、scrrun.dll、shell.dll.net.exe net1.exe,netstat.exe ,tftp.exe ,regedit.exe ,at.exe ,attrib.exe,cacls.exe ,format.com 文件只给 Administrators 组和 SYSTEM 的完全控制权限(这些都是杀手锏,千万注意)[cool]
注意:如果服务器安装了ASPUPLOAD组件,会默认在系统盘建立 UPLOAD 一定要删除.
3.打开服务器本地计算机策略(gpedit.msc)
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
修改Administrator和Guest这两个账号 一定要改的够复杂./最好@#$@!这样类似的组合.
4.禁用不必要的服务
禁用不必要的服务不但可以降低服务器的资源占用减轻负担,而且可以增强安全性.列出:
开始菜单—>管理工具—>服务
Application Experience Lookup Service
BITS
Computer Browser
DHCP Client
Error Reporting Service
Help and Support
Network Location Awareness
Print Spooler
Remote Registry
Secondary Logon
Smartcard
TCP/IP NetBIOS Helper
Workstation 这个就是“啊江”经常说到的,利用getobject(“WINNT”)获得了系统用户和系统进程的列表.
Windows Audio
Windows Time
Wireless Configuration
TCP/IP NetBIOS Helper
Server 这个就是默认共享了,如果连这个都不禁用的话,危险很大哦[sad]
5.更改远程桌面端口和禁用IPC连接
1. 打开注册表并转到此项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
2. 找到“PortNumber”子项,看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
2.禁用IPC连接:打开注册表编辑器,依次展开[HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可
6.关于ASP木马.这里借鉴图王和啊江的解决方法
在IIS系统上,大部分木马都是ASP写的,因此,ASP组件的安全是非常重要的。
ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell组件使用这个命令删除:regsvr32 WSHom.ocx /u
WScript.Network组件使用这个命令删除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
禁止guests用户执行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests
FSO组件的禁用比较麻烦,如果网站本身不需要用这个组件,那么就通过RegSrv32 scrrun.dll /u命令来禁用吧。
7.WINDOWS的默认防火墙和TCP_IP筛选
1.TCP_IP筛选,打开网络连接.属性——>高级——>选项——>属性
开放的端口是:TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4005。开放4000~4005是为了支持Serv- U的PASV模式(要在Serv-U中设置这段被动端口范围)
这是最简单的做法,但是不是最有效的下面介绍我最常用的,
2.WINDOWS的默认防火墙:
桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置
把服务器上面要用到的服务端口选中
一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。
注意:千万要选远程桌面管理,否则改完了,上不去服务器别哭[sad]
不要问我为什么推荐使用自带的防火墙.呵呵
关于IIS的配置和网站权限的设置,我没有进一步讲解/.主要原因是,我一直利用虚拟主机管理软件自动开设.笔者接触的大都是IDC商服务器.虚拟主机管理软件,我还是推荐使用易方.需要的也可以找我,是破解版本.当然是免费的.
篇9:Windows Internet服务器安全配置原理篇WEB安全
原理篇
我们将从入侵者入侵的各个环节来作出对应措施一步步的加固windows系统,一共归于以下几个方面:
1. 端口限制
2. 设置ACL权限
3. 关闭服务或组件
4. 包过滤
5. 审计
我们现在开始从入侵者的第一步开始,对应的开始加固已有的windows系统:
1. 扫描
这是入侵者在刚开始要做的第一步,比如搜索有漏洞的服务
对应措施:端口限制
以下所有规则,都需要选择镜像,否则会导致无法连接我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽,
2. 下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段来阻止特定结尾的文件的执行
3. 上传文件
入侵者通过这步上传WEBSHELL、提权软件、运行cmd指令等等
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的
通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL,如果需要使用,那就为每个站点建立一个user用户对每个站点相应的目录,只给这个用户读、写、执行权限,给administrators全部权限。安装杀毒软件,实时杀除上传上来的恶意代码,个人推荐MCAFEE或者卡巴斯基。如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止。
4. WebShell
入侵者上传文件后,需要利用WebShell来执行可执行程序,或者利用WebShell进行更加方便的文件操作。
对应措施:取消相应服务和功能
一般WebShell用到以下组件
Wscript.Network
Wscript.Network.1
Wscript.Shell
Wscript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除,同时需要注意按照这些键值下的CLSID键的内容,从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除
5. 执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
Windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为某个特定管理员帐户(比如administrator)拥有全部权限,
其他用户,包括system用户、administrators组等等,一律无权限访问此文件。
6. 利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加Windows正式用户,向获取管理员权限迈进
对应措施:设置ACL权限、修改用户
将除管理员外所有用户的终端访问权限去掉,限制CMD.EXE的访问权限,限制SQL SERVER内的XP_CMDSHELL
7. 登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,获取许多图形程序的运行权限。由于WINDOWS系统下绝大部分应用程序都是GUI的,所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问。我们在第一步的端口限制中,对所有从内到外的访问一律屏蔽也就是为了防止反弹木马,所以在端口限制中,由本地访问外部网络的端口越少越好。如果不是作为MAIL SERVER,可以不用加任何由内向外的端口,阻断所有的反弹木马。
8. 擦除脚印
入侵者在获得了一台机器的完全管理员权限后,就是擦除脚印来隐藏自身
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目,如果审计项目不足,入侵者甚至都无需去删除windows事件。其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的将运行的指令保存下来,了解入侵者的行动。对于windows日志,我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性。evtsys工具(engineering.purdue.edu/ECN/Resources/Documents)提供将windows日志转换成syslog格式并且发送到远程服务器上的功能,使用此用具,并且在远程服务器上开放syslogd,如果远程服务器是windows系统,推荐使用kiwi syslog deamon。我们要达到的目的就是不让入侵者扫描到主机弱点,即使扫描到了也不能上传文件,即使上传文件了不能操作其他目录的文件,即使操作了其他目录的文件也不能执行shell,即使执行了shell也不能添加用户,即使添加用户了也不能登陆图形终端,即使登陆了图形终端、拥有系统控制权,他的所作所为还是会被记录下来。
额外措施:我们可以通过增加一些设备和措施来进一步加强系统安全性。
1. 代理型防火墙,如ISA
代理型防火墙可以对进出的包进行内容过滤,设置对HTTP REQUEST内的request string或者form内容进行过滤,将SELECT、DROP、DELETE、INSERT等都过滤掉,因为这些关键词在客户提交的表单或者内容中是不可能出现的。过滤了以后可以说从根本杜绝了SQL 注入。
2. 用SNORT建立IDS
用另一台服务器建立个SNORT,对于所有进出服务器的包都进行分析和记录,特别是FTP上传的指令以及HTTP对ASP文件的请求,可以特别关注一下。本文提到的部分软件在提供下载的RAR中包含:
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项
篇10:Windows Advance Serve安全设置服务器教程
网络安全应该是网络管理的一个重点,如何构建安全的企业网,是每个企业网管的重要工作,Windows 2000 Advance Serve是比较流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事,下面我就自己的工作经验,谈谈Windows 2000 Advance Serve网络的安全设置.
一、定制自己的Windows 2000 Advance Serve
1. 版本的选择:Win2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)。
2. 组件的安装:Win2000在默认情况下进行典型安装,不过这种安装的系统是脆弱的,不够安全的,根据安全原则,最少的服务+最小的权限=最大的安全。请根据自己服务器的所需要求做出合理的配置。
3.根据用途对服务器进行单独管理:就是说如果你根据企业的各种需要作出有不同功能的服务器,原则上是一台服务服务器只提供单独的服务,如域控制器,文件服务器,备份服务器,WEB服务器,FTP服务器等等。
二、合理安装Windows 2000 Advance Serve
1.安装Windows 2000 Advance Serve,建议最少CREATE两个分区,一个系统分区,一个应用程序分区。
2.顺序的选择:Windows 2000 Advance Serve在安装中有几个顺序是一定要注意的:
首先,Windows 2000 Advance Serve在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好Win2000 Server之前,一定不要把主机接入网络,
其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
三、安全配置Win2000 Server
即使正确的安装了Win2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。
1.PORT:PORT是计算机和外部网络相连的逻辑接口,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
2.IIS:IIS是微软的组件中漏洞最多的一个,所以IIS的配置是我们的重点:
首先,DELTREE C:\INETPUB ,在c盘以外creat Inetpub在IIS管理器中将主目录指向x:\Inetpub;
其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除
第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,删除你不需要的映射。
最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。
责编:豆豆技术应用
★ 安全防护协议书
【Windows 服务器的安全防护林(共10篇)】相关文章:
数字签名2023-10-16
电子数字签名2023-08-19
计算机病毒的起源和发展探析论文2023-04-02
加强Windows安全性2022-09-07
防护宝典:预防、判断及阻止流氓软件的方法2022-05-07
监控系统出现故障的报告制度2022-12-20
局域网互访总结2023-04-07
网上银行安全手册之安全使用网银要点2022-07-27
网络与信息安全工程师简历2023-05-13
即时通信工具安全2024-03-08