Diez pasos para crear un servidor web personal y seguro

Win2003 La seguridad del servidor se ha mejorado mucho en comparación con Win2K, pero ¿es realmente seguro usar el servidor Win2003 como servidor? ¿Cómo podemos crear un servidor web personal y seguro? Breve introducción, la seguridad de Windows Server 2003

La seguridad del servidor Win2003 se ha mejorado considerablemente en comparación con Win2K, pero ¿es realmente seguro usar el servidor Win2003 como servidor? ¿Cómo crear un servidor web personal y seguro? ? Aquí explicamos brevemente

a, la instalación de Windows Server 2003 no

1, instale el sistema requiere un mínimo de dos particiones, formatos de partición están en formato NTFS

2 Instale el sistema 2003 en el caso de una red desconectada

3. Instale IIS e instale solo los componentes necesarios de IIS (desactive FTP no deseado, como FTP) Y servicio SMTP). De forma predeterminada, el servicio IIS no está instalado. Seleccione "Servidor de aplicaciones" en el componente Agregar /Quitar Win y luego haga clic en "Detalles", haga doble clic en Servicios de información de Internet (iis) y verifique las siguientes opciones:

Administrador de servicios de información de Internet;

archivos comunes;

servicio de transferencia inteligente en segundo plano (BITS) extensiones de servidor;

World Wide Web Service.

Si utiliza el sitio web ampliado de FrontPage, marque la casilla: Extensiones de servidor de FrontPage 2002

4. Instale MSSQL y otro software requerido y luego actualice.

5, proporcionado por Microsoft MBSA (Microsoft Baseline Security Analyzer) herramienta para analizar la configuración de seguridad de la computadora, e identificar la falta de parches y actualizaciones. Descargar: Consulte el final del vínculo

En segundo lugar, configurar y gestionar cuentas

1, la cuenta de administrador del sistema es la mejor manera de construir más, cambiar el nombre de la cuenta de administrador por defecto (Administrador) Y descripción, la contraseña es preferiblemente una combinación de un número más letras mayúsculas y minúsculas más un número de teclas superiores, preferiblemente de no menos de 14 dígitos de longitud.

2, una nueva cuenta denominada trampa de Administrador, para establecer los permisos mínimos y combinación aleatoria de entradas es preferiblemente no menos de código de 20 bits

3. Deshabilite la cuenta de invitado y cambie el nombre y la descripción, luego ingrese una contraseña compleja. Por supuesto, también hay una herramienta DelGuest. También puede usarla para eliminar la cuenta de invitado, pero no la he probado.

4. Ingrese gpedit.msc en la ejecución, presione Entrar, abra el Editor de políticas del grupo, seleccione Configuración del equipo - Configuración de Windows - Configuración de seguridad - Políticas de la cuenta - Política de bloqueo de la cuenta, configure la cuenta en "ld"; tres inicios de sesión no son válidos ", " el tiempo de bloqueo es de 30 minutos ", " el conteo de restablecimiento de bloqueo se establece en 30 minutos ".

5, en la configuración de seguridad - política local - las opciones de seguridad "no mostrarán el último nombre de usuario" configurado para habilitar

6, en la configuración de seguridad - Política local: la asignación de derechos de usuario solo mantendrá las cuentas de invitado de Internet e iniciará las cuentas de proceso IIS en "Acceda a este equipo desde la red". Si usa Asp.net, también debe mantener su cuenta Aspnet.

7. Cree una cuenta de usuario y ejecute el sistema. Si desea ejecutar el comando privilegiado, use el comando Runas.

En tercer lugar, la gestión de la seguridad de servicios de red

1, prohíbe C $, D $, ADMIN $ defecto una clase comparten

Abra el registro, HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ lanmanserver \\ parameters, cree un nuevo valor de Dword en la ventana derecha, establezca el nombre en AutoShareServer establecido en 0

2. Desenlace NetBios y TCP /IP protocolo

Haga clic con el botón derecho en el Entorno de red - Propiedades - haga clic con el botón derecho en Conexión de área local - Propiedades - Haga doble clic en Protocolo de Internet - Avanzado - Victorias - Deshabilite NETBIOS en TCP /IP

3. Desactive los servicios no deseados. Las siguientes son opciones sugeridas para

Buscador de computadora: mantener las actualizaciones de la computadora de la red, deshabilitar

Sistema de archivos distribuidos: archivos compartidos de administración de LAN, no es necesario deshabilitar

Cliente de seguimiento de vínculos: para la información de conexión de la actualización de LAN, no es necesario deshabilitar

Servicio de informes de errores: prohibir el envío de informes de errores

Microsoft Serch: proporciona búsqueda rápida de palabras, no es necesario Se puede deshabilitar

NTLMSecurit Ysupportprovide: para el servicio de telnet y Microsoft Serch, no es necesario deshabilitar

PrintSpooler: deshabilitar si no hay una impresora.

Registro remoto: deshabilitar la modificación remota del registro.

Sesión de ayuda de Escritorio remoto Manager: asistencia remota prohibida

en cuarto lugar, abren la política apropiada de auditoría

introducir introduzca gpedit.msc en funcionamiento, abra el editor de directivas de grupo, seleccione Configuración de la computadora - Configuración de Windows - Configuración de seguridad - Estrategias de auditoría Al crear un proyecto de auditoría, es importante tener en cuenta que si hay demasiados proyectos auditados, cuantos más eventos se generen, más difícil será encontrar incidentes graves. Menos también afectará los eventos serios que encuentre, y debe elegir entre los dos dependiendo de la situación.

Los elementos recomendados para revisar son:

El evento de inicio de sesión falló exitosamente

El evento de inicio de sesión de la cuenta falló exitosamente

El evento del sistema falló exitosamente

cambio de política fracaso éxito

acceso a objetos no

fallo en el acceso del servicio de directorio

fallaron el uso de privilegios

V. Otras configuraciones relacionadas con la seguridad

1. Ocultar archivos /directorios importantes

Puede modificar el registro para que se oculte completamente: "HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ Versión actual \\ Explorer \\ Advanced \\ Folder \\ Hi-dden \\ SHOWALL ", haga clic con el botón derecho en "CheckedValue", seleccione Modificar, cambie el valor de 1 a 0

2. Inicie la conexión a Internet propia del sistema Firewall, verifique el servidor web en la opción Establecer servicio.

3, para evitar inundaciones SYN ataques

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

Nuevo valor DWORD denominado SynAttackProtect, valor 2

4. Deshabilitar la respuesta a los mensajes de anuncio de ruta ICMP

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters \\ Interfaces \\ interface

Cree un nuevo valor DWORD denominado PerformRouterDiscovery con un valor de 0

5. Evite que los paquetes de redireccionamiento de ICMP ataquen a

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

EnableICMPRedirects valor se establece en 0

6. no es compatible con el protocolo IGMP

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

Nueva valor DWORD llamado valor IGMPLevel 0

7, deshabilitar DCOM:

entrada de operación DCOMCNFG.exe. Ingrese, haga clic en " Servicios de componentes " en <; nodo raíz de la consola ". Abra la subcarpeta " Computadora ".

Para una computadora local, haga clic con el botón derecho en " Mi computadora " y seleccione " Propiedades ". Seleccione la pestaña " Propiedades predeterminadas "

Borrar " Habilitar la casilla COM distribuida " en esta computadora.

Nota: He usado la configuración de Server2000 para 3-6 elementos. No he probado si funciona para 2003. Pero una cosa es segura: he pasado algún tiempo sin descubrir los efectos de otros efectos secundarios.

Seis, configurar los servicios IIS:

1, no utilice el sitio Web predeterminado, si se utiliza el directorio IIS debe estar separado con el disco del sistema.

2. Elimine el directorio Inetpub creado por IIS de manera predeterminada (en el disco donde está instalado el sistema).

3, elimine el directorio virtual debajo del disco del sistema, como: _vti_bin, IISamples, Scripts, IIShelp, IISAdmin, IIShelp, MSADC.

4, elimine la asignación innecesaria de la extensión IIS.

Haga clic con el botón derecho en " Sitio web predeterminado → Propiedades ↠ Directorio de inicio ↠ Configuración ", abra la ventana de la aplicación, elimine la asignación innecesaria de la aplicación. Principalmente Shtml, .shtm, .stm

5, cambie la ruta de registro de IIS

Haga clic en " el sitio Web predeterminado y rarr; Propiedades - página web - para permitir registro de anotaciones Haga clic en Propiedades

6. Si está utilizando 2000, puede usar iislockdown para proteger IIS. No se requiere la versión de IE6.0 que se ejecuta en 2003.

7. Uso de UrlScan

UrlScan es un filtro ISAPI que analiza los paquetes HTTP entrantes y rechaza cualquier tráfico sospechoso. La versión actual es 2.5. Si es 2000Server, primero debe instalar la versión 1.0 o 2.0. Descargue la dirección en la página sin un enlace

Si no hay un requisito especial, puede usar la configuración predeterminada de UrlScan.

Pero si ejecuta ASP.NET en el servidor y desea depurarlo, necesita abrir% WINDIR% \\ System32 \\ Inetsrv \\ URLscan