《windows 2003 服务器安装步骤和安全配置》由会员分享,可在线阅读,更多相关《windows 2003 服务器安装步骤和安全配置(25页珍藏版)》请在金锄头文库上搜索。
1、windows 2003 服务器安装步骤和安全配置(一)2007 年 04 月 01 日 星期日 下午 06:551. 系统安装 (windows 2003 启动光盘+ Raid 磁盘和软件驱)- 系统安装, - 用户名: jasun 单位:jasun co. SN: JCGMJ-Tc669-KcBg7-HB8X2-FXG7M- 计算机名称: jasun-ma1 管理员密码: 12345678902. 完成系统安装后, 并安装相应的驱动程序(如声卡,网卡等). 并安装好IIS6 开启系统自带防火墙.设置上网的 IP 等.然后安装 SP1 并在线升级- 安装 IIS6- 设置服务器 IP 211
2、.155.23.239网关: 211.155.23.239 DNS: (主)61.144.56.100 (副)211.155.27.88- windows 2003 补丁打上并在线升级补丁 winrar 5.2 安装 五笔输入法安装与设置- 防火墙设置端口: 80,1433,3306,25,110,3389,21,IPSEC 或 IP 筛选设置(IP筛选要允许 TCP 的 80,1433,3306,25,1103389,21 端口嗵 过,其它全禁止)- 调整虚拟内存服务器都最高设置成 4096M- office 2003 安装 WORD+EXCEL+ACCESS- 安装防火墙和杀毒软件,可使用
3、 macfee 的杀毒软件和防火墙。- windows 2003 基本优化设置,- 在 IIS 6.0 中,默认设置是特别严格和安全的,最大只能传送 204,800 个字节,这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。(在 IIS 6.0 之前的版本中无此限制)在 IIS 6.0 中,修改上传附件大于 200k 的方法,可以按以下步骤解决(一般用于 WEB 邮件发送或文件上传):1、先在服务里关闭 iis admin service 服务。2、找到 windowssystem32inetsrv 下的 metabase.xml 文件。3、用纯文本方式打开,找到 ASPMaxReq
4、uestEntityAllowed 把它修改为需要的值(可修改为 10M 即:10240000),默认为:204800,即:200K。4、存盘,然后重启 iis admin service 服务。在 IIS 6.0 中,无法下载超过 4M 的附件时,可以按以下步骤解决:1、先在服务里关闭 iis admin service 服务。2、找到 windowssystem32inetsrv 下的 metabase.xml 文件。3、用纯文本方式打开,找到 AspBufferingLimit 把它修改为需要的值(可修改为 20M 即:20480000)。4、存盘,然后重启 iis admin serv
5、ice 服务。- 禁用关机事件跟踪开始 - 运行 - gpedit.msc - Computer configuration - Administrative Templates - System - Display shutdown event tracker - 设置为 Disable。如果是中文版,则:开始 - 运行 - gpedit.msc-计算机配置 - 管理模板 - 系统 - 显示关机事件跟踪 - 禁用。- 禁用开机 CTRL+ALT+DEL 和实现自动登陆管理工具 - Local Security Settings(本地安全策略) - 本地策略 - 安全选项 - interact
6、ive logon: Do not require CTRL+ALT+DEL,启用之。3.修改终端服务端口(安全)- 运行 regedit,找到HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp,看到右边的 PortNumber 了吗?在十进制状态下改成你想要的端口号吧,比如 6101 之类的,只要不与其它冲突即可。 - 第二处 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinSta
7、tions RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。4.禁止 IPC 空连接(安全)hacker 可以利用 net use 命令建立空连接,进而入侵,还有 net view,nbtstat 这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_MachineSystemCurrentControlSetControlLSA 下的RestrictAnonymous 把这个值改成”1”即可。5.更改 TTL 值(安全)hacker 可以根据 ping 回的 TTL 值来大致判断你的操作系统,如: TTL=107(WINNT); TTL=108(win2000);
8、 TTL=127 或 128(win9x); TTL=240 或 241(linux); TTL=252(solaris); TTL=240(Irix); 修改方法: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建一个 REG_DWORD 值的 DefaultTTL 然后输入十进制值就是 0-0xff(0-255 十进制,默认值 128)改成一个莫名其妙的数字如 258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦6. 删除默认共享(安全)有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么
9、回事,这是 2K 为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters:新建一个 AutoShareServer 类型是 REG_DWORD 把值改为 0 即可7.禁用 TCP/IP 上的 NetBIOS网上邻居-属性-本地连接-属性-Internet 协议(TCP/IP)属性-高级-WINS面板-NetBIOS 设置-禁用 TCP/IP 上的 NetBIOS。这样 hacker 就无法用 nbtstat命令来读取你的 NetBIOS 信息和网卡 M
10、AC 地址了。8更改日志文件默认保存目录,将应用程序日志、系统日志、安全日志更改到E:logfileevent 目录需要修改注册表以更改,调整日志文件大小,将该目录只允许 system 有写入权限和 administrator 完全控制权限。注册表中找到以下三项:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogSecurityHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogApplicationHKEY_LOCAL_MACHINESystemCurrentCont
11、rolSetServicesEventlogSystem;将其中项值 Flie 的路径更改9.设置一个伪管理员帐号并将原来的 Administrator 管理帐号的名称改掉进入管理工具里的计算机管理, 找到本地用户和组里的用户项目. 这时你会发现有几个帐号直接在 Administrator 帐号上重命名,改成你喜欢的名称, 如: Kaitmaster 并设定一个复杂的密码 ,不用担心改掉后会影响服务器的设置,没关系的!一点也不会损坏系统和设置然后新建一个 Administrator 帐号 然后随便设置一个密码, 下面选择密码永不过期的选项.然后在该帐号上右击点属性,然后将这个帐号的权限设置成最
12、低就是!,上面的功能应该关的就全关了!不让系统显示上次登录的用户名 默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把 REG_SZ 的键值改成 1。 10.SQL2000 安装+SQL SP4 安装 设定 SA 密码11.PHP 5.12+MYSQL4.1.16+Zend 2.62 安装下载:
13、 PHP(5.1.2):http:/ Optimizer(2.6.2):http:/ 安装 php 5.1.2下载解压 php5.1.2 并解压到 C 盘下的 c:php 文件夹里然后将 php 里所有的 dll 文件复制到 c:windowssystem32 的文件夹里并代替原有的文件将 C:Windowsphp.ini-dist 改名为 php.ini,然后用记事本打开,利用记事本的查找功能搜索register_globals = Off,将 Off 改成 On ;extension_dir =,并将其路径指到你的 PHP 目录下的 extensions 目录,比如:extension_d
14、ir = C:phpext ;在 c:php 下建文件夹 tmp 找 upload_tmp_dir 并改 upload_tmp_dir = “c:phptmp” ,去掉前面的 ; (目录必须有读写权限。)查找 ;Windows Extensions 将下面列举的;extension=php_curl.dll;extension=php_dbase.dll;extension=php_gd2.dll (这个是用来支持 GD 库的,一般需要,必选);extension=php_ldap.dll;extension=php_zip.dll;extension=php_mbstring.dll;ext
15、ension=php_mssql.dll (可选) ;extension=php_mysql.dll将这些前的;去掉,其他的你需要的也可以去掉前面的;然后关闭保存该文件。查找 ;session.save_path = 去掉前面 ; 号,本文这里将其设置置为 session.save_path = “c:phptmp”一些朋友经常反映无法上传较大的文件或者运行某些程序经常超时,那么可以找到 C:Windows 目录下的 PHP.INI 以下内容修改: max_execution_time = 30 ; 这个是每个脚本运行的最长时间,可以自己修改加长,单位秒max_input_time = 60 ; 这是每个脚本可以消耗的时间,单位也是秒memory_limit = 8M ; 这个是脚本运行最大消耗的内存,也可以自己加大upload_max_filesize = 2
