win2003服务器安全配置方案-zz

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

天津渤海职业技术学院毕业设计(论文)任务书10届信息工程系系计算机网络技术专业网络081班设计(论文)题目windowsserver2003服务器安全配置方案学生姓名设计地点指导教师王国振职称辅导教师职称2011年5月28日目录【摘要】.......................................................................1一、安装Windows2003Server...................................................1(一)注意授权模式的选择...................................................1(二)安装使用NTFS分区格式并设定好NTFS磁盘权限...........................1(三)禁止不必要的服务和增强网络连接安全性.................................2二、安装和配置IIS.............................................................4(一)仅安装必要的组件.....................................................5(二)修改上传文件的大小...................................................5三、FTP服务器架设.............................................................5(一)安装Serv-U注意事项..................................................6(二)serv-u的几点常规安全设置.............................................6四、win2003系统安全设置.......................................................6五、IIS安全设置...............................................................7六、设置安全的虚拟主机访问权限................................................13(一)新建web网站访问用户组和用户........................................13(二)设置目录的权限.....................................................16(三)IIS设置.............................................................20(四)修改所有盘符的权限.................................................23参考文献:....................................................................251【摘要】安全是相对的,安全防护不是追求一个永远也攻不破的安全技术,安全体系应能够保证在入侵发生,系统部分损失等较大风险产生时,关键任务不能中断,保持网络的生存能力。安全防护是有时效性的,今天的安全明天就不一定很安全,因为网络的攻防是此消彼长,道高一尺,魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断的检查、评估和调整相应的策略。【关键字】windows2003服务器安全一、安装Windows2003Server(一)注意授权模式的选择建议选择“每服务器”模式,用户可以将许可证模式从“每服务器”转换为“每客户”,但是不能从“每客户”转换为“每服务器”模式。,以后可以免费转换为“每客户”模式。所谓许可证(CAL)就是为需要访问WindowsServer2003的用户所购买的授权。有两种授权模式:每服务器和每客户。每服务器:该许可证是为每一台服务器购买的许可证,许可证的数量由“同时”连接到服务器的用户的最大数量来决定。每服务器的许可证模式适合用于网络中拥有很多客户端,但在同一时间“同时”访问服务器的客户端数量不多时采用。并且每服务器的许可证模式也适用于网络中服务器的数量不多时采用。每客户:该许可证模式是为网络中每一个客户端购买一个许可证,这样网络中的客户端就可以合法地访问网络中的任何一台服务器,而不需要考虑“同时”有多少客户端访问服务器。该许可证模式适用于企业中有多台服务器,并且客户端“同时”访问服务器的情况较多时采用。微软在许可数上只是给了你一个法律上的限制,而不是技术上的。所以假如你希望服务器有更多的并发连接,只要把每服务器模式的数量改的大一些即可。这个数量会限制到windows中所有的网络应用,包括数据库。(二)安装使用NTFS分区格式并设定好NTFS磁盘权限C盘赋给administrators和system用户组权限,删除其他用户组,其它盘也可以同样设置。注意网站最好不要放置在C盘。Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。另2外,还将c:\windows\system32目录下的一些DOS命令文件:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只允许administrators访问。另外在c:/DocumentsandSettings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在AllUsers/ApplicationData目录默认everyone用户有权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等方法,在用做web/ftp服务器的系统里,建议是将这些目录都设置的限定好权限。(三)禁止不必要的服务和增强网络连接安全性把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。在网络连接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS(S)。在高级选项3里,使用Internet连接防火墙,这是windows2003自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。注意:不推荐使用TCP/IP筛选里的端口过滤功能:譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。4二、安装和配置IIS5(一)仅安装必要的组件选择Internet(信息服务IIS)即可。原则是网站需要组件功能才安装,比如ASP.NET或其它组件不需使用就不要安装。(二)修改上传文件的大小Windowsserver2003服务器,当上传文件过大(超过200K)时,提示错误号2147467259。原因是IIS6.0默认配置把上传文件限制在200k,超过即出错。解决方法如下:首先,停止以下服务:IISadminserviceWorldWideWebPublishingServiceHTTPSSL然后找到:C:\Windows\system32\inesrv\metabase.xml\Windows\system32\inesrv\编辑文件metabase.xml(不要用写字板,要用记事本编辑,否则容易出错。)找到:ASPMaxRequestEntityAllowed默认为204800(200k),改成需要的!保存。最后,启动上面被停止的服务,就完成了!注:可能会碰到metabase.xml文件不能被保存,原因是你的服务未停干净,建议重启以后再进行上面的操作。三、FTP服务器架设推荐使用Serv-U.FTP.Server.Corporate.v6.0.0.26(一)安装Serv-U注意事项最好不要使用默认安装路径,设置Serv-U的目录权限,只有管理员才能访问;(二)serv-u的几点常规安全设置选中BlockFTP_bounceattackandFXP。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个PORT命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。另外在Blockantitime-outschemes也可以选中。其次,在Advanced选项卡中,检查Enablesecurity是否被选中,如果没有,选择它们。四、win2003系统安全设置1.将一些危险的服务禁止,特别是远程控制注册表服务及无用和可疑的服务。2.关闭机器上开启的共享文件,设置一个批处理文件删除默认共享。3.封锁端口:黑客大多通过端口进行入侵,所以你的服务器只能开放你需要的端口以下是常用端口:80为Web网站服务;21为FTP服务;25为E-mailSMTP服务;110为EmailPOP3服务。其他还有SQLServer的端口1433等,不用的端口一定要关闭!关闭这些端口,我们可以通过Windows2003的IP安全策略进行。借助它的安全策略,完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入,右击“IP安全策略”,选择“创建IP安全策略”,点[下一步]。输入安全策略的名称,点[下一步],一直到完成,你就创建了一个安全策略:接着你要做的是右击“IP安全策略”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和139端口为例说明。关闭了ICMP,黑客软件如果没有强制扫描功能就不能扫描到你的机器,也Ping不到你的机器。关闭ICMP的具体操作如下:点[添加],然后在名称中输入“关闭ICMP”,点右边的7[添加],再点[下一步]。在源地址中选“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“ICMP”,点[下一步]。回到关闭ICMP属性窗口,即关闭了ICMP。下面我们再设置关闭139,同样在管理IP筛选器列表中点“添加”,名称设置为“关闭139”,点右边的“添加”,点[下一步]。在源地址中选择“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“TCP”,点[下一步]。在设置IP协议端口中选择从任意端口到此端口,在此端口中输入139,点[下一步]。即完成关闭139端口,其他的端口也同样设置然后

1 / 28
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功