La seguridad del servidor Win2003 se ha mejorado considerablemente en comparación con Win2K, pero ¿es realmente seguro usar el servidor Win2003 como servidor? ¿Cómo crear un servidor web personal y seguro? ? Aquí explicamos brevemente
a, la instalación de Windows Server 2003 no
1, instale el sistema requiere un mínimo de dos particiones, formatos de partición están en formato NTFS
2 Instale el sistema 2003 en el caso de una red desconectada
3. Instale IIS e instale solo los componentes necesarios de IIS (desactive FTP no deseado, como FTP) Y servicio SMTP). De forma predeterminada, el servicio IIS no está instalado. Seleccione "Servidor de aplicaciones" en el componente Agregar /Quitar Win y luego haga clic en "Detalles", haga doble clic en Servicios de información de Internet (iis) y verifique las siguientes opciones:
Administrador de servicios de información de Internet;
archivos comunes;
servicio de transferencia inteligente en segundo plano (BITS) extensiones de servidor;
World Wide Web Service.
Si utiliza el sitio web ampliado de FrontPage, marque la casilla: Extensiones de servidor de FrontPage 2002
4. Instale MSSQL y otro software requerido y luego actualice.
5, proporcionado por Microsoft MBSA (Microsoft Baseline Security Analyzer) herramienta para analizar la configuración de seguridad de la computadora, e identificar la falta de parches y actualizaciones. Descargar: Consulte el final del vínculo
En segundo lugar, configurar y gestionar cuentas
1, la cuenta de administrador del sistema es la mejor manera de construir más, cambiar el nombre de la cuenta de administrador por defecto (Administrador) Y descripción, la contraseña es preferiblemente una combinación de un número más letras mayúsculas y minúsculas más un número de teclas superiores, preferiblemente de no menos de 14 dígitos de longitud.
2, una nueva cuenta denominada trampa de Administrador, para establecer los permisos mínimos y combinación aleatoria de entradas es preferiblemente no menos de código de 20 bits
3. Deshabilite la cuenta de invitado y cambie el nombre y la descripción, luego ingrese una contraseña compleja. Por supuesto, también hay una herramienta DelGuest. También puede usarla para eliminar la cuenta de invitado, pero no la he probado.
4. Ingrese gpedit.msc en la ejecución, presione Entrar, abra el Editor de políticas del grupo, seleccione Configuración del equipo - Configuración de Windows - Configuración de seguridad - Políticas de la cuenta - Política de bloqueo de la cuenta, configure la cuenta en "ld"; tres inicios de sesión no son válidos ", " el tiempo de bloqueo es de 30 minutos ", " el conteo de restablecimiento de bloqueo se establece en 30 minutos ".
5, en la configuración de seguridad - política local - las opciones de seguridad "no mostrarán el último nombre de usuario" configurado para habilitar
6, en la configuración de seguridad - Política local: la asignación de derechos de usuario solo mantendrá las cuentas de invitado de Internet e iniciará las cuentas de proceso IIS en "Acceda a este equipo desde la red". Si usa Asp.net, también debe mantener su cuenta Aspnet.
7. Cree una cuenta de usuario y ejecute el sistema. Si desea ejecutar el comando privilegiado, use el comando Runas.
En tercer lugar, la gestión de la seguridad de servicios de red
1, prohíbe C $, D $, ADMIN $ defecto una clase comparten
Abra el registro, HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ lanmanserver \\ parameters, cree un nuevo valor de Dword en la ventana derecha, establezca el nombre en AutoShareServer establecido en 0
2. Desenlace NetBios y TCP /IP protocolo
Haga clic con el botón derecho en el Entorno de red - Propiedades - haga clic con el botón derecho en Conexión de área local - Propiedades - Haga doble clic en Protocolo de Internet - Avanzado - Victorias - Deshabilite NETBIOS en TCP /IP
3. Desactive los servicios no deseados. Las siguientes son opciones sugeridas para
Buscador de computadora: mantener las actualizaciones de la computadora de la red, deshabilitar
Sistema de archivos distribuidos: archivos compartidos de administración de LAN, no es necesario deshabilitar
Cliente de seguimiento de vínculos: para la información de conexión de la actualización de LAN, no es necesario deshabilitar
Servicio de informes de errores: prohibir el envío de informes de errores
Microsoft Serch: proporciona búsqueda rápida de palabras, no es necesario Se puede deshabilitar
NTLMSecurit Ysupportprovide: para el servicio de telnet y Microsoft Serch, no es necesario deshabilitar
PrintSpooler: deshabilitar si no hay una impresora.
Registro remoto: deshabilitar la modificación remota del registro.
Sesión de ayuda de Escritorio remoto Manager: asistencia remota prohibida
en cuarto lugar, abren la política apropiada de auditoría
introducir introduzca gpedit.msc en funcionamiento, abra el editor de directivas de grupo, seleccione Configuración de la computadora - Configuración de Windows - Configuración de seguridad - Estrategias de auditoría Al crear un proyecto de auditoría, es importante tener en cuenta que si hay demasiados proyectos auditados, cuantos más eventos se generen, más difícil será encontrar incidentes graves. Menos también afectará los eventos serios que encuentre, y debe elegir entre los dos dependiendo de la situación.
Los elementos recomendados para revisar son:
El evento de inicio de sesión falló exitosamente
El evento de inicio de sesión de la cuenta falló exitosamente
El evento del sistema falló exitosamente
cambio de política fracaso éxito
acceso a objetos no
fallo en el acceso del servicio de directorio
fallaron el uso de privilegios
V. Otras configuraciones relacionadas con la seguridad
1. Ocultar archivos /directorios importantes
Puede modificar el registro para que se oculte completamente: "HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ Versión actual \\ Explorer \\ Advanced \\ Folder \\ Hi-dden \\ SHOWALL ", haga clic con el botón derecho en "CheckedValue", seleccione Modificar, cambie el valor de 1 a 0
2. Inicie la conexión a Internet propia del sistema Firewall, verifique el servidor web en la opción Establecer servicio.
3, para evitar inundaciones SYN ataques
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters
Nuevo valor DWORD denominado SynAttackProtect, valor 2
4. Deshabilitar la respuesta a los mensajes de anuncio de ruta ICMP
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters \\ Interfaces \\ interface
Cree un nuevo valor DWORD denominado PerformRouterDiscovery con un valor de 0
5. Evite que los paquetes de redireccionamiento de ICMP ataquen a
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters
EnableICMPRedirects valor se establece en 0
6. no es compatible con el protocolo IGMP
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters
Nueva valor DWORD llamado valor IGMPLevel 0
7, deshabilitar DCOM:
entrada de operación DCOMCNFG.exe. Ingrese, haga clic en " Servicios de componentes " en <; nodo raíz de la consola ". Abra la subcarpeta " Computadora ".
Para una computadora local, haga clic con el botón derecho en " Mi computadora " y seleccione " Propiedades ". Seleccione la pestaña " Propiedades predeterminadas "
Borrar " Habilitar la casilla COM distribuida " en esta computadora.
Nota: He usado la configuración de Server2000 para 3-6 elementos. No he probado si funciona para 2003. Pero una cosa es segura: he pasado algún tiempo sin descubrir los efectos de otros efectos secundarios.
Seis, configurar los servicios IIS:
1, no utilice el sitio Web predeterminado, si se utiliza el directorio IIS debe estar separado con el disco del sistema.
2. Elimine el directorio Inetpub creado por IIS de manera predeterminada (en el disco donde está instalado el sistema).
3, elimine el directorio virtual debajo del disco del sistema, como: _vti_bin, IISamples, Scripts, IIShelp, IISAdmin, IIShelp, MSADC.
4, elimine la asignación innecesaria de la extensión IIS.
Haga clic con el botón derecho en " Sitio web predeterminado → Propiedades ↠ Directorio de inicio ↠ Configuración ", abra la ventana de la aplicación, elimine la asignación innecesaria de la aplicación. Principalmente Shtml, .shtm, .stm
5, cambie la ruta de registro de IIS
Haga clic en " el sitio Web predeterminado y rarr; Propiedades - página web - para permitir registro de anotaciones Haga clic en Propiedades
6. Si está utilizando 2000, puede usar iislockdown para proteger IIS. No se requiere la versión de IE6.0 que se ejecuta en 2003.
7. Uso de UrlScan
UrlScan es un filtro ISAPI que analiza los paquetes HTTP entrantes y rechaza cualquier tráfico sospechoso. La versión actual es 2.5. Si es 2000Server, primero debe instalar la versión 1.0 o 2.0. Descargue la dirección en la página sin un enlace
Si no hay un requisito especial, puede usar la configuración predeterminada de UrlScan.
Pero si ejecuta ASP.NET en el servidor y desea depurarlo, necesita abrir% WINDIR% \\ System32 \\ Inetsrv \\ URLscan
Análisis de causa: La acción de apagado del sistema de Win8.1 se realiza mediante la suspensión pr
1. Presione la tecla Win para cambiar a la interfaz de escritorio tradicional, busque el ícono de re
1. Inicie sesión en el escritorio tradicional Win8.1, haga clic
Hay muchas razones para la limitación de la red inalámbrica, a veces, la inestabilidad de la red o l
El mouse de la pantalla negra de arranque de Win8 solo se puede activar
¿Cómo desactiva Windows 8 la protección del sistema para ahorrar espacio en el disco?
Cómo agregar el icono de acceso directo de IE en el escritorio en el sistema Win8.1
La configuración de la aplicación de inicio automático de Win8 es más conveniente
Teclado de pantalla Win8 para ayudarte a resolver problemas
Win8.2 detalla la exposición: el menú de inicio volverá
Windows8 error de firewall abierto error 0x80070437 cómo resolver
Error de conexión de banda ancha Win8 678 pasos de procesamiento
Cómo desactivar la red inalámbrica Win8
Recomendación del software Win8: aplicación práctica para ayudarte a ganar dinero
Utilice la directiva de grupo Win8.1 para crear la mejor compatibilidad IE11