Diez pasos principales para crear un servidor web personal seguro

La seguridad del servidor Win2003 se ha mejorado mucho en comparación con Win2K, pero ¿es realmente seguro usar el servidor Win2003 como servidor? ¿Cómo puedo construir un servidor web personal seguro? Aquí presentamos brevemente

Primero, la instalación de Windows Server2003

1, el sistema de instalación requiere al menos dos particiones, el formato de partición es formato NTFS

2, en la desconexión Situación de red instalada en el sistema 2003

3, instale IIS, solo instale los componentes IIS necesarios (deshabilite los no deseados, como los servicios FTP y SMTP). De manera predeterminada, el servicio IIS no está instalado. Seleccione "Servidor de aplicaciones" en el componente Agregar /Quitar Win, luego haga clic en "Detalles", haga doble clic en Servicios de información de Internet (iis) y verifique las siguientes opciones:

Internet Information Service Manager;

Archivos públicos;

Extensiones de servidor del Servicio de transferencia inteligente en segundo plano (BITS);

Servicio World Wide Web.

Si usa el sitio web extendido de FrontPage, marque la casilla: Extensiones de servidor de FrontPage 2002

4. Instale MSSQL y otro software requerido y luego actualice.

5. Use la herramienta MBSA (Microsoft Baseline Security Analyzer) provista por Microsoft para analizar la configuración de seguridad de su computadora e identificar los parches y actualizaciones que faltan. Dirección de descarga: vea el enlace al final de la página

En segundo lugar, configure y administre la cuenta

1, la cuenta del administrador del sistema es mejor crear menos, cambie el nombre de la cuenta del administrador predeterminado (Administrador) y la descripción, La contraseña es preferiblemente una combinación de un número más letras mayúsculas y minúsculas más un número de teclas superiores, preferiblemente de no menos de 14 dígitos de longitud.

2, cree una nueva cuenta trampa llamada Administrador, establezca los permisos mínimos para ella y luego ingrese la combinación de la mejor contraseña de no menos de 20 dígitos

3, deshabilite la cuenta de invitado Y cambie el nombre y la descripción, luego ingrese una contraseña compleja, por supuesto, ahora hay una herramienta DelGuest, quizás también pueda usarla para eliminar la cuenta de invitado, pero no lo he intentado.

4. Ingrese gpedit.msc en la ejecución, presione Entrar, abra el Editor de políticas del grupo, seleccione Configuración de la computadora - Configuración de Windows - Configuración de seguridad - Política de la cuenta - Política de bloqueo de la cuenta, configure la cuenta en "tres inicios de sesión inválidos" , "El tiempo de bloqueo es de 30 minutos", "El conteo de reinicio del bloqueo se establece en 30 minutos".

5. En Configuración de seguridad - Políticas locales - Opciones de seguridad, configure "No mostrar el último nombre de usuario" para habilitar

6. En Configuración de seguridad - Políticas locales - Asignación de derechos de usuario Solo el "acceso de Internet a esta computadora desde la red" mantendrá la cuenta de invitado de Internet e iniciará la cuenta de proceso IIS. Si usa Asp.net, también debe mantener su cuenta Aspnet.

7. Cree una cuenta de usuario y ejecute el sistema. Si desea ejecutar el comando privilegiado, use el comando Runas.

III. Network Service Security Management

1. Deshabilite el recurso compartido predeterminado de C \\ $, D \\ $, ADMIN \\ $, etc.

Abra el registro, HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ lanmanserver \\ parameters, cree un nuevo valor de Dword en la ventana derecha, establezca el nombre en AutoShareServer valor establecido en 0

2. Desvincule NetBios del protocolo TCP /IP

Haga clic con el botón derecho en Entorno de red - Propiedades - haga clic con el botón derecho en Conexión de área local - Propiedades - Haga doble clic en Protocolo de Internet - Avanzado - Gana - Deshabilite NETBIOS en TCP /IP

3. Desactive los servicios no deseados. Las siguientes son opciones sugeridas. >

Buscador de computadoras: mantenga la actualización de la computadora de la red, deshabilite

Sistema de archivos distribuidos: archivo compartido de administración de LAN, no es necesario deshabilitar el cliente de seguimiento de vínculos distribuidos

: para información de conexión de actualización de LAN, no es necesario Deshabilitar

servicio de informe de errores: deshabilitar el envío de informes de error

Microsoft Serch: proporciona búsqueda rápida de palabras, no es necesario deshabilitar

NTLMSecuritysupportprovide: servicio de telnet y Microsoft Serch No hay necesidad de desactivar

PrintSpooler: Si no hay ninguna impresora puede ser desactivado

Registro remoto: evitar la modificación remota del registro

Ayuda de escritorio remoto Session Manager: Asistencia remota prohibida

en cuarto lugar, abra la directiva de auditoría apropiada

introduzca gpedit.msc entrar en funcionamiento, abra el editor de directivas de grupo y seleccionar la configuración del equipo -Windows - configuración de seguridad - política de auditoría cuando la creación de proyectos de auditoría necesitan atención Si hay demasiados proyectos para auditar y cuantos más eventos se generen, más difícil será encontrar incidentes graves. Por supuesto, si muy pocas auditorías afectarán sus incidentes graves, debe Hacer una elección entre.
Los elementos recomendados para ser revisados ​​son:

El evento de inicio de sesión falló con éxito

El evento de inicio de sesión de la cuenta falló con éxito

El evento del sistema falló con éxito

Cambio de política Error exitoso

Error de acceso al objeto

Error de acceso al servicio de directorio

Error de uso privilegiado

V. Otras configuraciones relacionadas con la seguridad

ocultando importantes documentos /directorio

Usted puede modificar el registro para lograr la cobertura completa: "HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ Current Version-\\ Explorer \\ Advanced \\ Folder \\ Hi-dden \\ SHOWALL", haga clic derecho "CheckedValue "optar por modificar, cambiar los valores de 0 1

2, inicie el sistema viene con firewall de conexión a Internet, compruebe las opciones de servicio de configuración del servidor web.

3, prevenir ataques de inundación SYN

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters
valor

Nueva DWORD llamado el SynAttackProtect, un valor de 2

4. respuesta discapacitados enrutador ICMP mensajes publicitarios
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters \\ Interfaces \\ interfaz

El nuevo valor DWORD llamado valor PerformRouterDiscovery 0

5. Prevenir la redirección ICMP paquetes de ataque

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

se EnableICMPRedirects valor se establece en 0

6. no soporta IGMP protocolo

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters
valor

Nueva DWORD llamado valor IGMPLevel 0

7, deshabilitar DCOM:

entrar en el DCOMCNFG.exe. introducir, haga clic en los "servicios de componentes" en la "raíz de la consola" se está ejecutando. abra la subcarpeta "ordenador".

En el equipo local, haga clic en "Mi PC" y seleccionar "Propiedades". Seleccione la pestaña "Propiedades predeterminadas".

Desactive la casilla de verificación "Habilitar COM distribuido en esta computadora".

Nota: 3-6 artículos que utilice el ajuste Server2000, no probados en 2003 está trabajando. Pero una cosa es segura: he pasado algún tiempo sin descubrir los efectos de otros efectos secundarios.