Diez pasos para enseñar a crear un servidor seguro personal Web

La seguridad del servidor Win2003 de Win2K de hecho ha mejorado mucho, pero el uso Win2003 Server como el servidor si realmente seguro? ¿Cómo podemos crear un servidor seguro Web personal? A continuación explicamos brevemente
a, la instalación de Windows Server 2003 no
1, instalar el sistema requiere un mínimo de dos particiones, formatos de partición están en formato NTFS

2, desconectado de la red que se instalan sistemas 2003
3, instalar IIS, IIS sólo instalar los componentes necesarios (incapacitantes servicios innecesarios, como FTP y SMTP). Por defecto, el servicio IIS no está instalado, la opción Agregar /Quitar componentes de Windows, seleccione "Servidor de aplicaciones", a continuación, haga clic en "detalles", haga doble clic en Servicios de Internet Information Server (IIS), marcar las siguientes opciones:
internet Gestor de servicios de información; documentos públicos
;
servicio de transferencia inteligente (BITS) extensiones de servidor, el servicio
World Wide web.
Si está utilizando el sitio Web de FrontPage extendido y luego comprueba: FrontPage 2002 Server Extensions
4, MSSQL e instalar el software que necesita y luego Actualizar.
5, mediante MBSA (Microsoft Baseline Security Analyzer) Microsoft proporciona herramientas para analizar la configuración de seguridad de la computadora, e identificar la falta de parches y actualizaciones. Descargar: Ver el enlace al final de la página
En segundo lugar, configurar y administrar cuentas
1, la cuenta de administrador del sistema es la mejor manera de construir más, cambiar el nombre de la cuenta de administrador por defecto (Administrador) y descrito, la contraseña se usa preferiblemente una combinación de números, más la tecla de cambio más el número de letras mayúsculas y minúsculas, la longitud es preferiblemente no menor que 14.
2, crear una cuenta nueva llamada Administrador de la trampa, para establecer los permisos mínimos, y luego entrar casualmente la mejor combinación de no menos de 20 contraseñas
3, la cuenta de invitado está deshabilitada y cambiar el nombre y la descripción, y luego introduzca una contraseña compleja, por supuesto, ahora hay una herramienta DelGuest, tal vez usted también puede utilizarlo para eliminar la cuenta de invitado, pero no lo he probado.
4, introduzca gpedit.msc en el funcionamiento del retorno de carro, abrir el Editor de directivas de grupo y seleccione Configuración del equipo -Windows Configuración - Configuración de seguridad - Estrategia de cuenta - la directiva de bloqueo, la cuenta se pone a "tres de inicio de sesión no válido" "tiempo de bloqueo es de 30 minutos", "Restaurar contador de bloqueo establecido en 30 minutos."
5, en la configuración de seguridad - "no mostrar el último nombre de usuario" para activar las opciones de seguridad en el
6. En la configuración de seguridad - - Directivas locales - Directivas locales Asignación de derechos de usuario el "acceso a este equipo desde la red" para retener sólo la cuenta de invitado de Internet, iniciar la cuenta de proceso de IIS. Si está utilizando Asp.net debemos tener en cuenta ASPNET.
7, crear una cuenta de usuario, el sistema operativo, si desea ejecutar comandos privilegiados mediante el comando runas.

En tercer lugar, la gestión de la seguridad de servicios de red
1, prohíbe C $, D $, ADMIN $ defecto cuota de
una especie de registro abierto , HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters, el valor DWORD nuevo en la ventana de la derecha, el nombre se establece el valor AutoShareServer se establece en 0
2, levante el NetBIOS y el protocolo TCP /IP vinculante
haga clic en Mis sitios de red - propiedades - Haga clic derecho en conexión de área local - propiedades - doble clic en Protocolo de Internet - alta -Wins- deshabilitar NetBIOS
3 en TCP /IP, desactivar los servicios innecesarios, lo que sigue es la opción recomendada
Examinador de equipos: mantenimiento de la actualización de equipo de red, desactivar
sistema de archivos distribuido: gestión de LAN para compartir archivos, sin desactivar
cliente linktracking distribuida: actualización de la información de conexión a internet, no es necesario desactivar
servicio de informe de errores: prohíbe enviar un informe de error
Microsoft Serch: proporcionar rápida búsqueda de palabras, no es necesario desactivar
NTLMSecuritysupportprovide: servicio telnet Y el uso de Microsoft Serch, no es necesario desactivar
PrintSpooler: Si no hay ninguna impresora se puede desactivar
Registro remoto: evitar la modificación remota del registro
Ayuda de escritorio remoto Session Manager: prohibición remoto ayudar a
en cuarto lugar, abra la directiva de auditoría apropiada
introduzca gpedit.msc entrar en funcionamiento, abra el editor de directivas de grupo y seleccione los ajustes de configuración del equipo -Windows - seguridad ajustes - política de auditoría cuando se crea una auditoría del proyecto debe tenerse en cuenta que gran parte del proyecto si la auditoría, las más eventos que se generan, entonces el orden de los acontecimientos difícil que es encontrar una revisión seria, por supuesto, si usted encuentra que muy poco afectará grave caso, de acuerdo con la situación que necesita para hacer una elección entre los dos.
recomienda para auditar el proyecto son:
sucesos de inicio éxito o el fracaso
eventos de inicio de sesión de cuenta éxito o el fracaso del éxito de eventos del sistema
o el fracaso

cambio de política fracaso éxito
falta de acceso a objetos
fallo en el acceso del servicio de directorio
fallo uso de privilegios

cinco otros ajustes relacionados con la seguridad

1, ocultando documentos importantes /directorio
puede modificar el registro para lograr la cobertura completa: "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows actual-VersionExplorerAdvancedFolderHi-ddenSHOWALL", haga clic derecho "CheckedValue", seleccione modificar, el valor de 1 se cambió a 0
2, inicie el sistema viene con firewall de conexión a Internet, compruebe las opciones de servicio de configuración del servidor web.
3, para evitar que el nuevo ataque de inundación SYN valor DWORD
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
, denominado SynAttackProtect, un valor de 2
4. ICMP Router mensaje de anuncio en respuesta a prohibir

HKEY_LOCAL_MACHINESYSTEMCurrentContrat.pun.Potation.punam.ParametersPterametersInterfacesinterface

Cree un nuevo valor de DWORD. el valor EnableICMPRedirects
a 0
protocolo IGMP 6. no soporta
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
nuevo valor DWORD llamado un valor de 0 IGMPLevel
7, deshabilitar DCOM:
ejecutar, escriba dcomcnfg.exe. "Servicios de componentes" en virtud de Enter, haga clic en "Raíz de consola." Abra la subcarpeta "PC".
para el equipo local, haga clic en "Mi PC" y seleccionar "Propiedades". Seleccione "Propiedades por defecto" de la ficha.
borrar el "Habilitar COM distribuido en este equipo" casilla de verificación.
Nota: 3-6 artículos que utilice el ajuste Server2000, no probados en 2003 está trabajando. Pero una cosa es segura pasé algún tiempo encontró ninguna influencia de otro lado.