[web环境]最强的windows2003安全设置.doc

[web环境]最强的windows2003安全设置 系统:windows2003　　服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]　　描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减　　1、WINDOWS本地安全策略 端口限制　　A.对于我们的例子来说.需要开通以下端口　　外-本地 80　　外-本地 20　　外-本地 21　　外-本地 PASV所用到的一些端口　　外-本地 25　　外-本地 110　　外-本地 3389　　然后按照具体情况.打开SQL SERVER和MYSQL的端口　　外-本地 1433　　外-本地 3306　　B.接着是开放从内部往外需要开放的端口　　按照实际情况,忍枪无需邮件服务,则不要打开以下两条规则　　本地-外 53 TCP,UDP　　本地-外 25　　按照具体情况.忍枪无需在服务器*****问网页.尽量不要开以下端口　　本地-外 80　　C.除了明确允许的一律阻止.这个是安全规则的关键.　　外-本地 所有协议 阻止　　2、用户帐号　　a.将administrator改名,例子中改为root　　b.取消所有除管理员root外所有用户属性中的 　　远程控制-启用远程控制 以及　　终端服务配置文件-允许登陆到终端服务器　　c.将guest改名为administrator并且修改密码　　d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等3、目录权限　　将所有盘符的权限,全部改为只有　　administrators组 全部权限　　system 全部权限　　将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限　　然后做如下修改:　　C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限　　C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限　　C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写禁用词语限出现msdtc日志问题，运行 msdtc -resetlog 重起　　4、IIS　　在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,　　在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.　　安装URLSCAN　　在[DenyExtensions]中一般加入以下内容　　.cer　　.cdx　　.mdb　　.bat　　.cmd　　.com　　.htw?? 　　.ida?? 　　.idq?? 　　.htr?? 　　.idc?? 　　.shtm 　　.shtml 　　.stm?? 　　.printer　　这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.　　因为即便文件头加入特殊字符.还是可以通过编码构造出来的IIS的安全:　　 1、不使用默认的Web站点，忍枪使用也要将 将IIS目录与系统磁盘分开。　　 2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。　　 3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。　　 4、删除不必要的IIS扩展名映射。　　 右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm　　 5、更改IIS日志的路径　　 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性　　 6、忍枪使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。IIS (Internet信息服务器管理器) 在主目录选项设置以下：???????? 读 允许???????? 写 不允许???????? 脚本源访问 不允许???????? 目录浏览 建议关闭???????? 记录访问 建议关闭???????? 索引资源 建议关闭???????? 执行权限 推荐选择 “纯脚本” 建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建