機房服務(wù)器硬件配置方案

1、機房服務(wù)器硬件配置方案一、 入門級常規(guī)服務(wù)器硬配置方案：硬件名稱基本參數(shù)數(shù)量參考價CPU奔騰E2160系列，LPGA封裝，雙核，工作功率65W，核心電壓1.25V,主頻1800MHZ，總線頻率800MHZ，倍頻9，外頻200MHZ，128M一級緩存，1M二級緩存，指令集 MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T1￥460內(nèi)存Kingston DDRII 667 1G,采用PBGA封，頻率667MHZ1￥135主板采用Intel P965/ICH8芯片組，集成Realtek ALC 662聲卡芯片，適用Core2 Extreme/Core 2 Quad/Core 2 Du

2、o/奔騰4/賽揚D/PentiumD系列處理器。前端總線頻率FSB 1066MHz1￥599硬盤臺式機 硬盤容量:160GB 轉(zhuǎn)速/分:7200轉(zhuǎn)/分 緩存（KB）:8000KB 接口類型:Serial ATA 接口速率:Serial ATA 3001￥380機箱機箱類型:金河田颶風II 機箱樣式:立式 機箱結(jié)構(gòu):Micro ATX/ATX 3.5英寸倉位:1個軟驅(qū)倉位+6個硬盤倉位 光驅(qū)倉位:4個 產(chǎn)品電源:金河田355WB 3C1￥230光驅(qū)選配，普通DVD光驅(qū)1-散熱器熱器類型:CPU散熱器 散熱方式:風冷 風扇轉(zhuǎn)數(shù)（RPM）:2200 軸承類型:合金軸承 適用范圍:Intel LGA7

3、75 Conroe、PentiumD、Pentium4 Celeron D全系列 最大風量(CFM):43CFM1￥60UPSUPS電源類型:后備式UPS 額定輸出容量:0.5kva1￥200穩(wěn)壓器選配1-顯示器普通顯示器1-鼠標鍵盤普通PS鍵盤和鼠標1￥100備注：作為WEB服務(wù)器，首先要保證不間斷電源，機房要控制好相對溫度和濕度。這里有額外配置的UPS不間斷電源和穩(wěn)壓器，此服務(wù)器配置能勝基本的WEB請求服務(wù)，如大量的數(shù)據(jù)交換，文件讀寫，可能會存在帶寬瓶頸。二、 頂級服務(wù)器配置方案硬件名稱基本參數(shù)采用DELL PowerEdge 2900(Xeon E5310/2GB/146GB) 配置CP

4、UPowerEdge 2900 CPU頻率1600MHZ，標配2個Xeon E5310處理器，8M緩存。內(nèi)存FB-DIMM，2GB，最大可配置48GB主板Inter 5000X系列，F(xiàn)SB總線頻率4066MHZ，6個擴展槽；集成ATI ES1000控制器,含16MB SDRAM硬盤SAS結(jié)構(gòu)，146GB容量；標配內(nèi)置硬盤托架支持多達8塊3.5"SAS或SATA熱插拔硬盤；支持兩個半高(HH)驅(qū)動器托架提供磁帶或光驅(qū)設(shè)備(可選CD-ROM、可選DVD-ROM或一體化CD-RW/DVD-ROM）網(wǎng)卡雙嵌入式Broadcom NetXtreme II 5708千兆以太網(wǎng)卡機箱478.9&#

5、215;226.6×674.3mm標準接口2個RJ-45(支持內(nèi)置1GB NIC)后置、1個串口后置、6個通用串行總線(USB) 2.0端口(兩個前置、4個后置)、2個視頻(1個前置、1個后置)散熱器6個+2個熱插拔冗余風扇(6個標配,外加每個電源1個風扇)管理工具OpenManage、標配主板管理控制器,含IMPI 2.0支持、可選DRAC 5/i的先進功能備注：1， 系統(tǒng)支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64

6、Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition2， 工作環(huán)境：相對工作溫度10-35，相對工作濕度20%-80% 無冷凝，相對存儲溫度-40-65，相對濕度5%-95% 無冷凝3， 以上配置為統(tǒng)一硬件配置，為DELL系列服務(wù)器標準配置，參考價位￥13000WEB 服務(wù)器軟件配置和安全配置方案一、系統(tǒng)的安裝 、按照Windows2003安裝光盤的提示安裝，默認情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。、IIS6.0的

7、安裝開始菜單>控制面板>添加或刪除程序>添加/刪除Windows組件應(yīng)用程序 ASP.NET（可選）|啟用網(wǎng)絡(luò) COM+ 訪問（必選）|Internet 信息服務(wù)(IIS)Internet 信息服務(wù)管理器（必選） |公用文件（必選） |萬維網(wǎng)服務(wù)Active Server pages（必選） |Internet 數(shù)據(jù)連接器（可選） |WebDAV 發(fā)布（可選） |萬維網(wǎng)服務(wù)（必選） |在服務(wù)器端的包含文件（可選）然后點擊確定>下一步安裝。、系統(tǒng)補丁的更新點擊開始菜單>所有程序>Windows Update按照提示進行補丁的安裝。、備份系統(tǒng)用GHOST備份系統(tǒng)

8、。、安裝常用的軟件例如：殺毒軟件、解壓縮軟件等；安裝之后用GHOST再次備份系統(tǒng)。二、系統(tǒng)權(quán)限的設(shè)置、磁盤權(quán)限系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤Window

9、sSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限、本地安全策略設(shè)置開始菜單>管理工具>本地安全策略A、本地策略>審核策略 審核策略更改成功失敗審核登錄事件成功失敗審核對象訪問失敗審核過程跟蹤無審核審核目錄服務(wù)訪問失敗審核特權(quán)使用失敗審核系統(tǒng)事件成功失敗審核賬戶登錄事件成功失敗審核賬戶管理成功失敗B、本地策略>用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。通過終端服務(wù)拒絕登陸：加入Guests、User組通過終端服務(wù)允許登陸：只加入A

10、dministrators組，其他全部刪除C、本地策略>安全選項交互式登陸：不顯示上次的用戶名啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗證儲存憑證啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享全部刪除網(wǎng)絡(luò)訪問：可匿名訪問的命全部刪除網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑全部刪除 網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑全部刪除 帳戶：重命名來賓帳戶重命名一個帳戶 帳戶：重命名系統(tǒng)管理員帳戶重命名一個帳戶、禁用不必要的服務(wù)開始菜單>管理工具>服務(wù)Print Spooler Remote RegistryTCP/IP NetBIOS HelperServer 以上

11、是在Windows Server 2003 系統(tǒng)上面默認啟動的服務(wù)中禁用的，默認禁用的服務(wù)如沒特別需要的話不要啟動。、啟用防火墻桌面>網(wǎng)上鄰居>（右鍵）屬性>本地連接>（右鍵）屬性>高級>（選中）Internet 連接防火墻>設(shè)置把服務(wù)器上面要用到的服務(wù)端口選中例如：一臺WEB服務(wù)器，要提供WEB（80）、）服務(wù)及遠程桌面管理（3389）在“FTP 服務(wù)器”、“WEB服務(wù)器（HTTP）”、“遠程桌面”前面打上對號如果你要提供服務(wù)的端口不在里面，你也可以點擊“添加”銨鈕來添加，具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。然后點擊確定。注意：如果是遠程管理這臺服務(wù)

12、器，請先確定遠程管理的端口是否選中或添加。 三、 Windows 2003安全配置 確保所有磁盤分區(qū)為NTFS分區(qū) 操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū) 不要安裝不需要的協(xié)議，比如IPX/SPX, NetBIOS? 不要安裝其它任何操作系統(tǒng) 安裝所有補丁（用瑞星安全漏洞掃描下載） 關(guān)閉所有不需要的服務(wù)* Alerter (disable) * ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* service (di

13、sable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* S

14、chedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* Telephone Service (disable). 帳號和密碼策略1） 保證禁止guest帳號2） 將administrator改名為比較難猜的帳號3） 密碼唯一性：記錄上次的 6 個密碼4） 最短密碼期限：25） 密碼最長期限：426） 最短密碼長度：87） 密碼復雜化(passfilt.dll)：啟用8） 用戶必須登錄方能更改密碼：啟用9） 帳號失敗登錄鎖

15、定的時限：610）鎖定后重新啟用的時間間隔：720分鐘保護文件和目錄將C:winnt, C:winntconfig, C:winntsystem32, C:winntsystem等目錄的訪問權(quán)限做限制，限制everyone的寫權(quán)限，限制users組的讀寫權(quán)限注冊表一些條目的修改1） 去除logon對話框中的shutdown按鈕將HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中ShutdownWithoutLogon REG_SZ 值設(shè)為02） 去除logon信息的cashing功能將HKEY_LOCAL_

16、MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中CachedLogonsCount REG_SZ 值設(shè)為04）限制LSA匿名訪問將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中RestriCanonymous REG_DWORD 值設(shè)為1 5） 去除所有網(wǎng)絡(luò)共享將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters中AutoShareServer REG_DWORD 值設(shè)為0四、I

17、IS的安全配置 關(guān)閉并刪除默認站點： 默認FTP站點默認Web站點管理Web站點 建立自己的站點，與系統(tǒng)不在一個分區(qū)，如D: 建立 E:Logfiles 目錄，以后建立站點時的日志文件均位于此目錄，確保此目錄上的訪問控制權(quán)限是： Administrators（完全控制）System（完全控制） 刪除IIS的部分目錄： IISHelp C:winnthelpiishelp IISAdmin C:system32inetsrviisadmin MSADC C:Program FilesCommon FilesSystemmsadc刪除 C:inetpub . 刪除不必要的IIS映射和擴展： IIS

18、 被預先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴展或功能，則應(yīng)刪除該映射，步驟如下： 選擇計算機名，點鼠標右鍵，選擇屬性： 然后選擇編輯然后選擇主目錄， 點擊配置選擇擴展名 .htw,.htr,.idc,.ida,.idq和.printer，點擊刪除如果不使用server side include，則刪除.shtm .stm 和 .shtml. 禁用父路徑 :“父路徑”選項允許您在對諸如 MapPath 函數(shù)調(diào)用中使用“.”。在默認情況下，該選項處于啟用狀態(tài)，應(yīng)該禁用它。 禁用該選項的步驟

19、如下：右鍵單擊該 Web 站點的根，然后從上下文菜單中選擇“屬性”。 單擊“主目錄”選項卡。 單擊“配置”。 單擊“應(yīng)用程序選項”選項卡。 取消選擇“啟用父路徑”復選框。 . 在虛擬目錄上設(shè)置訪問控制權(quán)限 主頁使用的文件按照文件類型應(yīng)使用不同的訪問控制列表： CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators（完全控制）System（完全控制）腳本文件 (.asp) Everyone (X) Administrators（完全控制） System（完全控制） include 文件 (.inc, .shtm, .shtml) Every

20、one (X) Administrators（完全控制）System（完全控制） 靜態(tài)內(nèi)容 (.txt, .gif, .jpg, .html) Everyone (R) Administrators（完全控制） System（完全控制） 在創(chuàng)建Web站點時，沒有必要在每個文件上設(shè)置訪問控制權(quán)限，應(yīng)該為每個文件類型創(chuàng)建一個新目錄，然后在每個目錄上設(shè)置訪問控制權(quán)限、允許訪問控制權(quán)限傳給各個文件。例如，目錄結(jié)構(gòu)可為以下形式： D:myserverstatic (.html) D:myserverinclude (.inc) D:myserver script (.asp) D:myserver ex

21、ecutable (.dll)D:myserverimages (.gif, .jpeg). 啟用日志記錄 確定服務(wù)器是否被攻擊時，日志記錄是極其重要的。應(yīng)使用 W3C 擴展日志記錄格式，步驟如下： 打開 Internet 服務(wù)管理器：右鍵單擊站點，然后從上下文菜單中選擇“屬性”。 單擊“Web 站點”選項卡。 選中“啟用日志記錄”復選框。從“活動日志格式”下拉列表中選擇“W3C 擴展日志文件格式”。 單擊“屬性”。單擊“擴展屬性”選項卡，然后設(shè)置以下屬性： * 客戶 IP 地址 * 用戶名 * 方法 * URI 資源 * HTTP 狀態(tài) * Win32 狀態(tài) * 用戶代理 * 服務(wù)器 IP

22、地址 * 服務(wù)器端口五、刪除Windows Server 2003默認共享 和禁用IPC連接 IPC$(Internet Process Connection)是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方計算機即可以建立安全的通道并以此通道進行加密數(shù)據(jù)的交換，從而實現(xiàn)對遠程計算機的訪問。它是Windows NT/2000/XP/2003特有的功能，但它有一個特點，即在同一時間內(nèi)，兩個IP之間只允許建立一個連接。NT/2000/XP/2003在提供了ipc$功能的同時，在初次安裝系統(tǒng)時還打開了默認共享，即所有的邏輯共享(c$,d$,e$)

23、和系統(tǒng)目錄winnt或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但也為簡稱為IPC入侵者有意或無意的提供了方便條件，導致了系統(tǒng)安全性能的降低。在建立IPC的連接中不需要任何黑客工具，在命令行里鍵入相應(yīng)的命令就可以了，不過有個前提條件，那就是你需要知道遠程主機的用戶名和密碼。打開CMD后輸入如下命令即可進行連接：net useipipc$ password /user:usernqme。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到如下組建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLs

24、a中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接 六、清空遠程可訪問的注冊表路徑 大家都知道，Windows 2003操作系統(tǒng)提供了注冊表的遠程訪問功能，只有將遠程可訪問的注冊表路徑設(shè)置為空，這樣才能有效的防止黑客利用掃描器通過遠程注冊表讀取計算機的系統(tǒng)信息及其它信息.打開組策略編輯器，依次展開“計算機配置Windows 設(shè)置安全設(shè)置本地策略安全選項”，在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑”，然后在打開的窗口中，將可遠程訪問的注冊表路徑和子路徑內(nèi)容全部設(shè)置為空即可（如圖7）。 七、關(guān)閉不必要的端口 對于個人用戶來說安裝中默認的有些端口確實是沒有什么必要

25、的，關(guān)掉端口也就是關(guān)閉無用的服務(wù)。139端口是NetBIOS協(xié)議所使用的端口，在安裝了TCP/IP 協(xié)議的同時，NetBIOS 也會被作為默認設(shè)置安裝到系統(tǒng)中。139端口的開放意味著硬盤可能會在網(wǎng)絡(luò)中共享；網(wǎng)上黑客也可通過NetBIOS知道你的電腦中的一切！在以前的Windows版本中，只要不安裝Microsoft網(wǎng)絡(luò)的文件和打印共享協(xié)議，就可關(guān)閉139端口。但在Windows Server 2003中，只這樣做是不行的。如果想徹底關(guān)閉139端口，具體步驟如下： 鼠標右鍵單擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，進入“網(wǎng)絡(luò)和撥號連接”，再用鼠標右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接 屬性”頁

26、（如圖8）， 然后去掉“Microsoft網(wǎng)絡(luò)的文件和打印共享”前面的“”（如圖9）， 接下來選中“Internet協(xié)議(TCP/IP)”，單擊“屬性”“高級”“WINS”，把“禁用TCP/IP上的NetBIOS”選中，即任務(wù)完成(如圖10)！ 對于個人用戶來說，可以在各項服務(wù)屬性設(shè)置中設(shè)為“禁用”，以免下次重啟服務(wù)也重新啟動，端口也開放了。 假如你的電腦中還裝了IIS，你最好重新設(shè)置一下端口過濾。步驟如下：選擇網(wǎng)卡屬性，然后雙擊“Internet協(xié)議(TCP/IP)”，在出現(xiàn)的窗口中單擊“高級”按鈕，會進入“高級TCP/IP設(shè)置”窗口，接下來選擇“選項”標簽下的“TCP/IP 篩選”項，點“

27、屬性”按鈕，會來到“TCP/IP 篩選”的窗口，在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“”，然后根據(jù)需要配置就可以了。如果你只打算瀏覽網(wǎng)頁，則只開放TCP端口80即可，所以可以在“TCP端口”上方選擇“只允許”，然后單擊“添加”按鈕，輸入80再單擊“確定”即可 八、杜絕非法訪問應(yīng)用程序 Windows Server 2003是一種服務(wù)器操作系統(tǒng)，為了防止登陸到其中的用戶，隨意啟動服務(wù)器中的應(yīng)用程序，給服務(wù)器的正常運行帶來不必要的麻煩，我們很有必要根據(jù)不同用戶的訪問權(quán)限，來限制。 他們?nèi)フ{(diào)用應(yīng)用程序。實際上我們只要使用組策略編輯器作進一步的設(shè)置，即可實現(xiàn)這一目的，具體步驟如下：

28、 打開“組策略編輯器”的方法為：依次點擊“開始運行”，在“運行”對話框中鍵入“gpedit.msc”命令并回車，即可打開“組策略編輯器”窗口。然后依次打開“組策略控制臺用戶配置管理模板系統(tǒng)”中的“只運行許可的應(yīng)用程序”并啟用此策略.然后點擊下面的“允許的應(yīng)用程序列表”邊的“顯示”按鈕，彈出一個“顯示內(nèi)容”對話框，在此單擊“添加”按鈕來添加允許運行的應(yīng)用程序即可九、設(shè)置和管理賬戶 1、系統(tǒng)管理員賬戶最好少建，更改默認的管理員帳戶名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14位。 2、新建一個名為Administrator的陷阱帳號，為其

29、設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼 3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復雜的密碼，當然現(xiàn)在也有一個DelGuest的工具，也許你也可以利用它來刪除Guest賬戶，但我沒有試過。 4、在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無效”，“鎖定時時間間隔60分鐘”，“復位鎖定計數(shù)設(shè)為30分鐘”。 5、在安全設(shè)置-本地策略-安全選項中將“不顯示上次的用戶名”設(shè)為啟用 6、在安全設(shè)置-本地策略-用戶權(quán)利分配中將“從網(wǎng)絡(luò)訪問此計算機”中只保留Internet來賓

30、賬戶、啟動IIS進程賬戶。如果你使用了A還要保留Aspnet賬戶。 7、創(chuàng)建一個User賬戶，運行系統(tǒng)，如果要運行特權(quán)命令使用Runas命令。 十、網(wǎng)絡(luò)服務(wù)安全管理 1、禁止C$、D$、ADMIN$一類的缺省共享 2、 解除NetBios與TCP/IP協(xié)議的綁定 3、關(guān)閉不需要的服務(wù)，以下為建議選項 Computer Browser:維護網(wǎng)絡(luò)計算機更新，禁用 Distributed : 局域網(wǎng)管理共享文件，不需要禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用 Error reporting service：禁止發(fā)送錯誤報告 Micros

31、oft Serch：提供快速的單詞搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用 PrintSpooler：如果沒有打印機可禁用 Remote Registry：禁止遠程修改注冊表 Remote Desktop Help Session Manager：禁止遠程協(xié)助 十一、打開相應(yīng)的審核策略 在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴重的事件也越難當然如果

32、審核的太少也會影響你發(fā)現(xiàn)嚴重的事件，你需要根據(jù)情況在這二者之間做出選擇。 推薦的要審核的項目是： 登錄事件 成功失敗 賬戶登錄事件成功 失敗 系統(tǒng)事件 成功失敗 策略更改 成功失敗 對象訪問 失敗 目錄服務(wù)訪問失敗 特權(quán)使用 失敗 十二、其它安全相關(guān)設(shè)置 1、隱藏重要文件/目錄 2、啟動系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項中勾選Web服務(wù)器。 3、防止SYN洪水攻擊 4. 禁止響應(yīng)ICMP路由通告報文 5. 防止ICMP重定向報文的攻擊 6. 不支持IGMP協(xié)議 7、禁用DCOM： 十三、配置 IIS 服務(wù)： 1、不使用默認的Web站點，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分

33、開。 2、刪除IIS默認創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。 3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 4、刪除不必要的IIS擴展名映射。 右鍵單擊“默認Web站點屬性主目錄配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm 5、更改IIS日志的路徑 右鍵單擊“默認Web站點屬性-網(wǎng)站-在啟用日志記錄下點擊屬性 6、如果使用的是2000可以使用iislockdown來保護IIS，在2003運行的IE6.0的版本不需要。 7、使用U

34、rlScan 但如果你在服務(wù)器運行ASP.NET程序，并要進行調(diào)試你需打開要%WINDIR%System32InetsrvURLscan 文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節(jié)添加debug謂詞，注意此節(jié)是區(qū)分大小寫的。 如果你的網(wǎng)頁是.asp網(wǎng)頁你需要在DenyExtensions刪除.asp相關(guān)的內(nèi)容。 如果你的網(wǎng)頁使用了非ASCII代碼，你需要在Option節(jié)中將AllowHighBitCharacters的值設(shè)為1 在對URLScan.ini 文件做了更改后，你需要重啟IIS服務(wù)才能生效，快速方法運行中輸入iisreset 如果你在配置后出現(xiàn)什么問

35、題，你可以通過添加/刪除程序刪除UrlScan。 8、利用WIS (Web Injection Scanner)工具對整個網(wǎng)站進行SQL Injection 脆弱性掃描. 十四、配置Sql服務(wù)器 1、System Administrators 角色最好不要超過兩個 2、如果是在本機最好將身份驗證配置為Win登陸 3、不要使用Sa賬戶，為其配置一個超級復雜的密碼 4、刪除以下的擴展存儲過程格式為： use master sp_dropextendedproc '擴展存儲過程名' xp_cmdshell：是進入操作系統(tǒng)的最佳捷徑，刪除 訪問注冊表的存儲過程，刪除 Xp_regadd

36、multistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE自動存儲過程，不需要刪除 Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop 5、隱藏 SQL Server、更改默認的1433端口 右擊實例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實例，并改原默認

37、的1433端口。 十五、如果只做服務(wù)器，不進行其它操作，使用IPSec 1、管理工具本地安全策略右擊IP安全策略管理IP篩選器表和篩選器操作在管理IP篩選器表選項下點擊 添加名稱設(shè)為Web篩選器點擊添加在描述中輸入Web服務(wù)器將源地址設(shè)為任何IP地址將目標地址設(shè)為我的IP地址協(xié)議類型設(shè)為TcpIP協(xié)議端口第一項設(shè)為從任意端口，第二項到此端口80點擊完成點擊確定。 2、再在管理IP篩選器表選項下點擊 添加名稱設(shè)為所有入站篩選器點擊添加在描述中輸入所有入站篩選將源地址設(shè)為任何IP地址將目標地址設(shè)為我的IP地址協(xié)議類型設(shè)為任意點擊下一步完成點擊確定。 3、在管理篩選器操作選項下點擊添加下一步名稱中輸

38、入阻止下一步選擇阻止下一步完成關(guān)閉管理IP篩選器表和篩選器操作窗口 4、右擊IP安全策略創(chuàng)建IP安全策略下一步名稱輸入數(shù)據(jù)包篩選器下一步取消默認激活響應(yīng)原則下一步完成 5、在打開的新IP安全策略屬性窗口選擇添加下一步不指定隧道下一步所有網(wǎng)絡(luò)連接下一步在IP篩選器列表中選擇新建的Web篩選器下一步在篩選器操作中選擇許可下一步完成在IP篩選器列表中選擇新建的阻止篩選器下一步在篩選器操作中選擇阻止下一步完成確定 6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器，點擊指派，不需要重啟，IPSec就可生效. 十七、如何配置一臺堅固安全的win2003服務(wù)器1)確定你要用它來干什么，需要開什么服務(wù)，什

39、么是不必要的，沒用地就別裝(像Index什么的)，不必要的服務(wù)全都可以關(guān)掉。 在控制面版=>管理=>工具中，自己看著辦，如下服務(wù)是一定要禁止的： Remote Registry Service RunAs Service Task Scheduler Telnet Windows Time 其他不必要的服務(wù)可以設(shè)為手動方式。 SNMP Service和SNMP Trap Service最好也關(guān)掉，要用的話，把管理公共字改掉。 2)打補丁。 確定你打上了Win2k SP2; 3)IIS配置。 1，在IIS管理器中，去處所有不必要的擴展關(guān)聯(lián)(基本上除了ASP/ASA等幾個必要的和CGI

40、之類的外，其他都可以去掉) 有可能的話，可以安裝一個SecureIIS，還是有一定效果的。 2，校驗ftp權(quán)限，差不多就自己看著辦吧，不要被人家tag就可以了_* 4)MSSQL。 首先，記得一定要加一個難記得密碼，不然就什么都完了。 然后記得升級SQL 7.0 SP2和SQL 2k SP1. 5)Terminal Server。 打了SP2基本就沒太大問題，只要你的系統(tǒng)不是沒密碼. 高級部分： 1)類防火墻限制。 這需要我們打開MS的IPSEC服務(wù)，然后選擇 網(wǎng)絡(luò)設(shè)置=>網(wǎng)絡(luò)界面 屬性=> TCP/IP =>高級 =>選項 簡單一點的話，就用TCP/IP篩選，確定指開

41、放那些端口，比如80，1433等等(可惜開放ftp服務(wù)的話，經(jīng)常會亂開端口的，難以確定)； 要求高級的話，自己定義一個IPSEC策略，可以精確的過濾例如某種ICMP類型等等.可以做到水泄不通哦，不要到時候你自己也進不去了就好_* 2)NetBIOS設(shè)置。 歷史以來，netbios是僅次于IIS的winnt安全問題最多的服務(wù)，簡直就是后門打開。 至少做這樣一條設(shè)置：注冊表編輯 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1 可以禁止IPC$空用戶連接，防止信息泄漏和其他更嚴重的安全問題。 3)Termina

42、l Server加強。 注冊表編輯：HKEY_LOCAL_ MACHINESOFTWAREMicrosoft WindowsNTCurrentVersionWinlogonDont Display Last User Name=1 可以讓別人在ts中看不到你上次登錄的用戶名，有安全了一點點(記住，別人獲取你的信息越少，你就越安全) 4)系統(tǒng)文件目錄權(quán)限檢查。 基本的策略，可以在文件屬性中修改，避免有everyone完全控制的目錄，大部分文件最好禁止everyone寫，甚至讀。 對于系統(tǒng)的重要文件和目錄，例如system32等等，可以用Win2k Resouece Kit中的一個工具xacls詳細的加強訪問控制。 5)預防信息監(jiān)測和DOS 攻擊必要的話，打開RSAS或者自己添加一個IPSEC安全策略，過濾掉ICMP Echo和Redrict類型，這樣別人ping你就不會有反映，而如果ping不通的話，可能別人就此罷手了_* 而且缺省配置下，很多的漏洞掃描器ping不通就不掃了，西西。(當然啦，如果你有更強的防火墻，哪就更好) 一定程度的DoS預防： 在注冊表HKLMS