《(售后服务)WFM服务器的日常管理与维护》由会员分享,可在线阅读,更多相关《(售后服务)WFM服务器的日常管理与维护(6页珍藏版)》请在金锄头文库上搜索。
1、Web Ftp Mail服务器的日常管理与维护一、设置和管理账户1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码。3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,然后禁用。4、开始-程序-管理工具-本地安全策略,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分
2、钟”。5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用。6.本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举SAM帐号和共享)二、网络服务安全管理1、禁止C$、D$、ADMIN$一类的缺省共享打开注册表,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0.注册表不了解.不要随便更改.2、解除NetBios与TCP/IP协议的绑定右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高
3、级-Wins-禁用TCP/IP上的NETBIOS3、关闭不需要的服务,以下为建议选项开始-所有程序-管理工具-服务ComputerBrowser:维护网络计算机更新,禁用DistributedFileSystem:局域网管理共享文件,不需要禁用Distributedlinktrackingclient:用于局域网更新连接信息,不需要禁用Errorreportingservice:禁止发送错误报告MicrosoftSerch:提供快速的单词搜索,不需要可禁用NTLMSecuritysupportprovide:telnet服务和MicrosoftSerch用的,不需要禁用PrintSpooler
4、:如果没有打印机可禁用RemoteRegistry:禁止远程修改注册表RemoteDesktopHelpSessionManager:禁止远程协助Messenger:信使服务(windows2000)TaskScheduler:允许程序在指定时间运行(不用计划任务就禁用掉)TCP/IPNetBIOSHelperService:NetBIOS(NetBT)”服务以及NetBIOS名称解析的支持注:新上架的服务器已经做过其他安全设置只开以下端口,需要开其他端口可以在。右击网上邻居-属性-Internet协议(TCP/IP)属性-高级-选项-TCP/IP筛选属性-TCP端口添加你想要开的端口.默认开
5、启的端口列表:FTP:20.21mail:25.110Web:80pcanywhere:5631远程桌面:3389(3389不要关闭,否则将无法远程连接)三、系统安全管理1.对于系统的NTFS磁盘权限设置,C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。2.Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。3.另外在c:/DocumentsandSettings/这里相当重要,后面的目录
6、里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在AllUsers/ApplicationData目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe这些文件都设置只允许administrators.system访问.guests禁止访问四、打开相应的审核策略开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略注:windows
7、2003已经开启部分.windows2000没有开启.可以根据实际情况来设置.推荐的要审核的项目是:登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败五、IIS的安装与配置1.IIS6.0安装过程在控制面板里依次选择“添加或删除程序”的“添加/删除Windows组件”;双击“应用程序服务器”,再双击“Internet信息服务(IIS)”,选中“万维网服务”(注:此选项下还可进一步作选项筛选,请根据自己需要选用,如下图所示),点确定即安装完成。(一个方便的方法:选中ASP.NET其他的组件会自动选上)2.IIS6.0的配置WEB服务默认随
8、系统启动,IIS6.0最初安装完成是只支持静态内容的(即不能正常显示基于ASP的网页内容),因此首先要做的就是打开其动态内容支持功能。依次选择“开始”“程序”“管理工具”“inter信息服务管理器”,在打开的IIS管理窗口左面点“web服务扩展”;将鼠标所在的项“ASP.NETv.1.1.4322”以及“ActiveServerPages”项启用(点允许)即可。右击网站-新建-网站.按向导操作输入网站描述:这里可以随便填.一般为了方便查找.填写网站的域名网站IP地址:服务器只有一个IP地址这里可以选(全部未分配),如果选了IP.在更换服务器IP时.这里的IP也要进行更换.所以为方便.这里也不选
9、.网站TCP端口(默认值:80)(T)::默认为80.有特殊需要也可以更改为其他没有用的端口(如81).但访问时要在域名端口号:http:/:81此网站的主机头(默认:无):服务器做虚拟主机或者服务器上有多个站点时。主机头填写该站点的域名。只有一个站点可以不填(注:主机头是唯一的。不可以和其他主机头重复)路径:单击浏览。找到网站程序所放的目录。允许下列权限:默认权限即可。这样一个站点就初步建好了。添加主机头:右击刚建的站点()属性文档选项卡添加添加上默认的首页文件名:默认的首面文件通常有:index.htm.Default.htm.index.asp.Default.asp.Default.p
10、hp.Default.aspx网站选项卡新建站点的一个基本设置在这里可能更改。选择高级:可以给网站添加多个域名。IP地址:默认端口:80主机头值:需要添加的域名(如:)注:添加的域名不可重复。更改IIS日志的路径右键单击“默认Web站点属性-网站-在启用日志记录下点击属性建议:IIS日志默认是放在C:WINDOWSsystem32LogFiles下.服务器运行一段时间后.日志会特别大.造成C盘空间不足.建议把路径改在其他盘符2、性能选项卡:对于做虚拟主机想限制各个站点带宽的。这项很有用。3、主目录选项卡:本地路径-浏览:网站程序的路径。配置选项选项卡:会话超时:session的存活时间启用父路
11、径:windows默认没有勾选这个选项。在asp程序中使用“./”,请请复选框选中4、目录安全性选卡如果你的网站访问需要用户名和密码。可以检查一下,是否启用了匿名访问,并检查一下上面的用户名:如上图就是:IUSR_EDONG-FU5JINJ65这个用户对网站程序有没有访问的权限。5、IIS设置进行备份有多种方法可以用来完成此项工作。在Internet信息服务管理器控制台(IIS插件)中所设置的属性和值都被储存在Metabase.bin文件中,缺省情况下,这个文件位于“C:winntsystem32inetsrv”目录中。在IIS5.0中,你可以从内置的IIS插件中来备份元数据。如果需要进行此工
12、作,请选择桌面上的计算机图标然后单击右健。然后再选择“备份/恢复配置”。然后你就可以选择备份现有元数据设置或者恢复以前的版本。与此相同的选项在MetaEdit2.2中也可找到。当你以这种方式保存了元数据时,你的备份将以.md0文件的格式储存在C:winntsystem32instrvmetaback文件夹中。当你执行备份时,文件将使用你所指定的名称,如Pre-Lockdown.md0。如果你使用相同的文件名创建了多个备份,他们将使用数字逐渐递增的扩展名,如Backup.md0,Backup.md1等等。在你的元数据严重损坏的情况下,你将不能启动IIS。此时,你也不能从IIS插件或metaedi
13、t中执行恢复操作。如果真的发生了类似情况,你就可以通过从备份文件夹中选用最合适的.md0(.md1等等)元数据备份文件来替换Metabase.bin。如果你的备份文件没有错误,IIS将会立刻启动。制作元数据的备份还有其它两个意义。你可以使用xcopy,scopy或其它复制程序来简单地复制Metabase.bin文件。你应该先停止Internet服务,以保证你的元数据是最新的并且不在使用状态中。最后,我们还提供了两个脚本-metaback.vbs和metarest.vbs-它们位于Inetpub/IISSamples/sdk/admin(如果你在IIS5.0上安装了IISSDK)文件夹中或在II
14、SResourceKit/Utility/ADSIAdminScripts文件夹(如果你安装了IIS4.0ResourceKit)中。这些.vbs脚本使用了一个ADSI命令,它是专门为创建元数据备份而提供的。6、利用WIS(WebInjectionScanner)工具对整个网站进行SQLInjection脆弱性扫描.7、如果需要加装支持,的安装目录网站匿名用户一定要有读的权限。8、为了防止跨站浏览,建议每个网站,使用不同的来宾账号进行访问。设置方法:A、右击我的电脑-管理-本地用户和组-右击(新建用户,如:webuser,密码为:edonguser),设置为guests组。B、为您的网站目录添加相应的权限。如您的网站目录在:D:hostsedong。右击edong文件夹,找到安全选项卡,设置权限为:administrator完全控制。System完全控制,webuser除完全控制外其他权限都给。C、打开IIS管理器,右击需要设置的网站属性选择“目录安全性”选项卡“身份验证和访问控制”编辑-启用
