《某服务器配置大全》由会员分享,可在线阅读,更多相关《某服务器配置大全(18页珍藏版)》请在金锄头文库上搜索。
1、20033服务器器配置大大全第一步:一、先先关闭不不需要的的端口我我比较小小心,先先关了端端口。只只开了33889 221 880 114333(MYSSQL)有些些人一直直说什么么默认的的33889不安全全,对此此我不否否认,但但是利用用的途径径也只能能一个一一个的穷穷举爆破破,你把把帐号改改了密码设设置为十十五六位位,我估估计他要要破上好好几年,哈哈哈!办法:本地连连接-属性-IInteerneet协议(TCCP/IIP)-高级-选项-TTCP/IIP筛选-属性-把勾打打上然后后添加你你需要的的端口即即可。PS一句:设置完完端口需需要重新新启动!当当然大家家也可以以更改远远程连接接端口方方
2、法:Winndowws RRegiistrry EEdittor Verrsioon 55.000HKKEY_LOCCAL_MACCHINNESSYSTTEMCurrrenntCoontrrolSSetConntroolTTermminaal SServverWinnStaatioonsRDPP-TccpPorrtNuumbeer=dwoord:0000026683保存存为.REEG文件双双击即可可!更改为98559,当然大家也可可以换别别的端口口,直接打打开以上上注册表表的地址址,把值值改为十十进制的的输入你你想要的的端口即即可!重启生生效!还还有一点点,在20003系统里里,用TCPP/I
3、PP筛选里的的端口过过滤功能能,使用用Ftp服务器器的时候候,只开开放21端口,在在进行FTP传输的的时候,FTPP特有的Porrt模式和Passsivve模式,在在进行数数据传输输的时候候,需要要动态的的打开高高端口,所所以在使使用TCPP/IPP过滤的的情况下下,经常常会出现现连接上上后无法法列出目目录和数数据传输输的问题题。所以以在20003系统上上增加的的winndowws连接防防火墙能能很好的的解决这这个问题题,所以以都不推推荐使用用网卡的的TCPP/IP过滤功功能。所所做FTP下载的的用户看看仔细点点,表怪怪俺说俺俺写文章章是垃圾圾.如果要要关闭不不必要的的端口,在在中有列列表,记
4、记事本就就可以打打开的。如如果懒惰惰的话,最最简单的的方法是是启用WINN20003的自身身带的网网络防火火墙,并并进行端端口的改改变。功功能还可可以!Innterrnett连接防防火墙可可以有效效地拦截截对Winndowws 220033服务器器的非法法入侵,防防止非法法远程主主机对服服务器的的扫描,提提高winndowws 220033服务器器的安全全性。同同时,也也可以有有效拦截截利用操操作系统统漏洞进进行端口口攻击的的病毒,如如冲击波波等蠕虫虫病毒。如如果在用用winndowws 220033构造的的虚拟路路由器上上启用此防防火墙功功能,能能够对整整个内部部网络起起到很好好的保护护作用
5、。二、关闭不需要的服务打开相应的审核策略我关闭了以下的服务Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序D
6、istributed Link Tracking Client当文件在网络域的NTFS卷中移动时发送通知Com+ Event System提供事件的自动发布到订阅COM组件Alerter通知选定的用户和计算机管理警报Error Reporting Service收集、存储和向 Microsoft报告异常应用程序Messenger传输客户端和服务器之间的 NET SEND和警报器服务消息Telnet允许远程用户登录到此计算机并运行程序把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。在网络连接里,把不需要的协议和服务都删
7、掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS(S)。在高级选项里,使用Internet连接防火墙,这是windows 2003自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然
8、如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。推荐的要审核的项目是:登录事件成功失败账户登录事件成功失败系统事件成功失败策略更改成功失败对象访问失败目录服务访问失败特权使用失败三、磁盘权限设置1.系统盘权限设置C:分区部分:c:administrators全部(该文件夹,子文件夹及文件)CREATOR OWNER全部(只有子文件来及文件)system全部(该文件夹,子文件夹及文件)IIS_WPG创建文件/写入数据(只有该文件夹)IIS_WPG(该文件夹,子文件夹及文件)遍历文件夹/运行文件列出文件夹/读取数据读取属性创建文件夹/附加数据读取权限c:Document
9、s and Settingsadministrators全部(该文件夹,子文件夹及文件)Power Users(该文件夹,子文件夹及文件)读取和运行列出文件夹目录读取SYSTEM全部(该文件夹,子文件夹及文件)C:Program Filesadministrators全部(该文件夹,子文件夹及文件)CREATOR OWNER全部(只有子文件来及文件)IIS_WPG(该文件夹,子文件夹及文件)读取和运行列出文件夹目录读取Power Users(该文件夹,子文件夹及文件)修改权限SYSTEM全部(该文件夹,子文件夹及文件)TERMINAL SERVER USER(该文件夹,子文件夹及文件)修改权限
10、2.网站及虚拟机权限设置(比如网站在E盘)说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1.vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理。E: Administrators全部(该文件夹,子文件夹及文件)E:wwwsite Administrators全部(该文件夹,子文件夹及文件)system全部(该文件夹,子文件夹及文件)service全部(该文件夹,子文件夹及文件)E:wwwsitevhost1Administrators全部(该文件夹,子文件夹及文件)syst
11、em全部(该文件夹,子文件夹及文件)vhost1全部(该文件夹,子文件夹及文件)3.数据备份盘数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。4.其它地方的权限设置请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。下列这些文件只允许administrators访问5.删除c:inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述。四、防火墙、杀毒软件的安装我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木
12、马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice防火墙五、SQL2000 SERV-U FTP安全设置SQL安全方面1.System Administrators角色最好不要超过两个2.如果是在本机最好将身份验证配置为Win登陆3.不要使用Sa账户,为其配置一个超级复杂的密码4.删除以下的扩展存储过程格式为:use mastersp_dropextendedproc 扩展存储过程名xp_cmdshell:是进入操作系统的最佳捷径,删除访问注册表的存储过程,删除Xp_regaddmultistring
13、Xp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regread Xp_regwrite Xp_regremovemultistringOLE自动存储过程,不需要删除Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop5.隐藏 SQL Server、更改默认的1433端口右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server实例,并改原默认的1433端口serv-u的几点常规安
14、全需要设置下:选中Block FTP_bounceattack and FXP。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个PORT命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过Ftp服务器作为中介,仍然能够
15、最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。六、IIS安全设置IIS的相关设置:删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份
