论文部分内容阅读
摘要:随着Internet 的广泛使用,如何设置Web 服务器使服务器承载的网站在网络中较为安全的运行,值得我们关注研究。本文以Windows server 2003 Web 服务器为环境,就本人对Web 服务器的应用经验对WEB服务器系统的安全设置加以阐述和研究。
关键字:WEB 服务器系统安全配置
中图分类号:TP368.5 文献标识码:A 文章编号:
一、开启防火墙,关闭不需要的端口
首先开启防火墙,具体做法:本地连接--属性--Internet协议(TCP/IP)--高级,在高级选项卡中使用"Internet连接防火墙",这是windows 2003 自带的防火墙,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。之后关闭不需要的端口或者增加需要的端口。笔者一般只开3389,21 ,80 ,1433 端口。修改远程桌面连接端口,默认的连接端口3389为其他端口,修改注册表.,开始--运行--regedit ,依次展HKEY_LOCAL_MACHINE/SYSTEM /CURRENTCONTROLSET/CONTROL/ TERMINALSERVER/WDS/RDPWD/TDS/TCP ,右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/ CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/,右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) ,需要注意的是:在WINDOWS2003 防火墙里需要添加端口10000 ,修改完毕.重新启动服务器.设置生效。
二、禁用不必要的服务
禁用不必要的服务,提高系统的安全性和效率。开始-运行中输入命令services.msc,会有一系列服务显示出来,其中TCP/IPNetBIOS Helper;Server; Computer Browser ;Task scheduler;Messenger;Distributed File System;Distributed linktracking client;Error reporting service ;Microsoft Serch;NTLMSecuritysupportprovide;PrintSpooler;Remote Registry;Remote Desktop Help Session Manager;Workstation等这些服务可根据自身需求禁用,默认禁用的服务如没特别需要的话不要启动。
三、磁盘权限的设置
每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户),删除其它用户,系统盘的权限设置如下 :C:WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改;其它目录删除Everyone用户,切记C:Documents and Settings下All UsersDefault User目录及其子目录,如C:Documents and SettingsAll UsersApplication Data 目录默认配置保留了Everyone用户权限,C:WINDOWS 目录下面的权限也得注意,如 C:WINDOWSPCHealth、C:windowsInstaller也是保留了Everyone权限.;删除C:WINDOWSWebprinters目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击;默认IIS错误页面已基本上没多少人使用了,建议删除C:WINDOWSHelpiisHelp目录;删除C:WINDOWSsystem32inetsrviisadmpwd,此目录为管理IIS密码之用,可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。打开C:Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限。
四、用户安全设置
1、禁用Guest账号 。Guest账号禁用。保险起见,最好给Guest加一个复杂的密码。
2、限制不必要的用户。去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、Administrator账号改名。 Administrator是不能被停用的,别人可以一遍又一遍地尝试此用户的密码。我们尽可能地把它伪装成普通用户。
4、创建一个陷阱用户。创建一个名为“Administrator”的陷阱用户,把它的权限设置成最低,并且加上一个超过10位的复杂密码,这样可以让黑客们忙上一段时间,借此发现他们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户,不要把共享文件的用户设置成“Everyone”组,包括打印共享。
6、禁止系统显示上次登录的用户名。在默认情况下,登录对话框中会显示上次登录的用户名,这很容易让别人得到系统的某些用户名,进而做密码猜测。修改注册表可以不让对话框显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。
7、密码安全设置
提高密码安全性,一般管理员创建账号的时候习惯于用单位、计算机名做用户名,密码设置又太简单,很容易破解,所以需要注意密码的复杂性,定期改密码;设置屏幕保护密码,能防止内部人员破坏服务器;开启密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次等。
五、禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而猜测出帐号密码,我们可以通过修改注册表来禁止建立空连接: Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
六、 删除默认共享
Windows Server 2003安装好以后,系统会创建一些隐藏的共享,我们可以在cmd 下打开net share 查看他们。禁止这些共享,打开”管理工具”-“计算机管理”-“共享文件夹”-“共享”,在相应的共享文件夹上按右键,单击停止共享即可,但是服务器重新启动后,这些共享又会重新开启。所以需要修改注册表取消默认共享, 在注册表中将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer Parameters: AutoShareServer的REG_DWORD 值改为0 。
七、安装防毒软件
安全的服务器需要安装杀毒软件,并且要经常升级病毒库。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,使得系統更加稳定。
参考文献
[1]张振东,鲜坤林. Windows Server 2003 Web 服务器安全设置初探[M]辽宁农业职业技术学院学报,2010,(6)
[2]谢晓勇. Windows Server 2003 Web 服务器的配置与应用[M]电脑知识与技术,2006,(5)
[3]佘学兵,傅蕾:Windows Server 2003 的安全性实现[M]科技广场 ,2008,(5)
[4] 蔡伟. Windows S e rve r 2003 服务器安全设置技术[M]:计算机与信息技术,2008,(7)
关键字:WEB 服务器系统安全配置
中图分类号:TP368.5 文献标识码:A 文章编号:
一、开启防火墙,关闭不需要的端口
首先开启防火墙,具体做法:本地连接--属性--Internet协议(TCP/IP)--高级,在高级选项卡中使用"Internet连接防火墙",这是windows 2003 自带的防火墙,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。之后关闭不需要的端口或者增加需要的端口。笔者一般只开3389,21 ,80 ,1433 端口。修改远程桌面连接端口,默认的连接端口3389为其他端口,修改注册表.,开始--运行--regedit ,依次展HKEY_LOCAL_MACHINE/SYSTEM /CURRENTCONTROLSET/CONTROL/ TERMINALSERVER/WDS/RDPWD/TDS/TCP ,右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/ CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/,右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) ,需要注意的是:在WINDOWS2003 防火墙里需要添加端口10000 ,修改完毕.重新启动服务器.设置生效。
二、禁用不必要的服务
禁用不必要的服务,提高系统的安全性和效率。开始-运行中输入命令services.msc,会有一系列服务显示出来,其中TCP/IPNetBIOS Helper;Server; Computer Browser ;Task scheduler;Messenger;Distributed File System;Distributed linktracking client;Error reporting service ;Microsoft Serch;NTLMSecuritysupportprovide;PrintSpooler;Remote Registry;Remote Desktop Help Session Manager;Workstation等这些服务可根据自身需求禁用,默认禁用的服务如没特别需要的话不要启动。
三、磁盘权限的设置
每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户),删除其它用户,系统盘的权限设置如下 :C:WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改;其它目录删除Everyone用户,切记C:Documents and Settings下All UsersDefault User目录及其子目录,如C:Documents and SettingsAll UsersApplication Data 目录默认配置保留了Everyone用户权限,C:WINDOWS 目录下面的权限也得注意,如 C:WINDOWSPCHealth、C:windowsInstaller也是保留了Everyone权限.;删除C:WINDOWSWebprinters目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击;默认IIS错误页面已基本上没多少人使用了,建议删除C:WINDOWSHelpiisHelp目录;删除C:WINDOWSsystem32inetsrviisadmpwd,此目录为管理IIS密码之用,可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。打开C:Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限。
四、用户安全设置
1、禁用Guest账号 。Guest账号禁用。保险起见,最好给Guest加一个复杂的密码。
2、限制不必要的用户。去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、Administrator账号改名。 Administrator是不能被停用的,别人可以一遍又一遍地尝试此用户的密码。我们尽可能地把它伪装成普通用户。
4、创建一个陷阱用户。创建一个名为“Administrator”的陷阱用户,把它的权限设置成最低,并且加上一个超过10位的复杂密码,这样可以让黑客们忙上一段时间,借此发现他们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户,不要把共享文件的用户设置成“Everyone”组,包括打印共享。
6、禁止系统显示上次登录的用户名。在默认情况下,登录对话框中会显示上次登录的用户名,这很容易让别人得到系统的某些用户名,进而做密码猜测。修改注册表可以不让对话框显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。
7、密码安全设置
提高密码安全性,一般管理员创建账号的时候习惯于用单位、计算机名做用户名,密码设置又太简单,很容易破解,所以需要注意密码的复杂性,定期改密码;设置屏幕保护密码,能防止内部人员破坏服务器;开启密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次等。
五、禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而猜测出帐号密码,我们可以通过修改注册表来禁止建立空连接: Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
六、 删除默认共享
Windows Server 2003安装好以后,系统会创建一些隐藏的共享,我们可以在cmd 下打开net share 查看他们。禁止这些共享,打开”管理工具”-“计算机管理”-“共享文件夹”-“共享”,在相应的共享文件夹上按右键,单击停止共享即可,但是服务器重新启动后,这些共享又会重新开启。所以需要修改注册表取消默认共享, 在注册表中将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer Parameters: AutoShareServer的REG_DWORD 值改为0 。
七、安装防毒软件
安全的服务器需要安装杀毒软件,并且要经常升级病毒库。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,使得系統更加稳定。
参考文献
[1]张振东,鲜坤林. Windows Server 2003 Web 服务器安全设置初探[M]辽宁农业职业技术学院学报,2010,(6)
[2]谢晓勇. Windows Server 2003 Web 服务器的配置与应用[M]电脑知识与技术,2006,(5)
[3]佘学兵,傅蕾:Windows Server 2003 的安全性实现[M]科技广场 ,2008,(5)
[4] 蔡伟. Windows S e rve r 2003 服务器安全设置技术[M]:计算机与信息技术,2008,(7)