Windows Server 2008 WEB服务器安全初级设置篇

aa13142023

　　
1、新做系统一定要先打上已知补丁，以后也要及时关注微软的漏洞报告。略。
2、所有盘符根目录只给system和Administrator的权限，其他的删除。3、将所有磁盘格式转换为NTFS格式。命令：convert c:/fs:ntfs       c:代表C盘，其他盘类推。WIN08 r2 C盘一定是ntfs格式的，不然不能安装系统 4、开启Windows Web Server 2008 R2自带的高级防火墙。默认已经开启。5、安装必要的杀毒软件如mcafee，安装一款ARP防火墙，安天ARP好像不错。略。6、设置屏幕屏保护。7、关闭光盘和磁盘的自动播放功能。8、删除系统默认共享。命令：net share c$ /del  这种方式下次启动后还是会出现，不彻底。也可以做成一个批处理文件，然后设置开机自动执动这个批处理。但是还是推荐下面的方法，直修改注册表的方法。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面新建AutoShareServer  ,值为0 。。重启一下，测试。已经永久生效了。9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码，你说这个密码谁能破。。。。也只有自己了。...   重命名管理员用户组Administrators。10、创建一个陷阱用户Administrator，权限最低。 上面二步重命名最好放在安装IIS和SQL之前做好，那我这里就不演示了。 11、本地策略——>审核策略审核策略更改 成功 失败审核登录事件 成功 失败审核对象访问 失败审核过程跟踪 无审核审核目录服务访问 失败审核特权使用 失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败 12、本地策略——>用户权限分配关闭系统：只有Administrators 组、其它的全部删除。 管理模板 > 系统 显示“关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。 13、本地策略——>安全选项交互式登陆：不显示最后的用户名 启用网络访问：不允许SAM 帐户和共享的匿名枚举 启用网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用网络访问：可远程访问的注册表路径 全部删除网络访问：可远程访问的注册表路径和子路径 全部删除14、禁止dump file 的产生。系统属性>高级>启动和故障恢复把 写入调试信息 改成“无”15、禁用不必要的服务。TCP/IP NetBIOS HelperServer  Distributed Link Tracking ClientPrint SpoolerRemote RegistryWorkstation 16、站点方件夹安全属性设置删除C:\ inetpub 目录。删不了，不研究了。把权限最低。。。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为：System 完全控制Administrator 完全控制Users 读IIS_Iusrs 读、写在IIS7 中删除不常用的映射 建立站点试一下。一定要选到程序所在的目录，这里是www.postcha.com目录，如果只选择到wwwroot目录的话，站点就变成子目录或虚拟目录安装了，比较麻烦。所以一定要选择站点文件所在的目录，填上主机头。因为我们是在虚拟机上测试，所以对hosts文件修改一下，模拟用域名访问。真实环境中，不需要修改hosts文件，直接解释域名到主机就行。目录权限不够，这个下个教程继续说明。至少，我们的页面已经正常了。 17、禁用IPV6。看操作。  OVER !   重启下服务器吧
　　

　　

　　

　　

　　

　　

　　另一版本：
　　Windows Server 2008 WEB服务器安全初级设置篇  在上一篇“实战windows server 2008 企业版WEB服务器环境的配置”中简要的讲了一下关于WIN2008系统的安装、IIS7的安装配置及PHP5、MYSQL5等的安装配置。那这一节主要来阐述一下关于windows server 2008 WEB服务器的安装设置。  以下配置仅供参考，如有问题，欢迎大家指正。  将服务器上所有的磁盘格式化为NTFS。在CMD下敲命令：convert c:/fs:ntfs  将C盘转为NTFS格式。其他盘类推。
　　1：所有盘根目录只给system和administrators的权限，其余全部删除  
　　2:：设置win2k8的屏幕保护，并选择在“恢复时显示登陆屏幕”  
　　3：关闭光盘和磁盘的自动播放功能，在“控制面板”中双击“自动播放”，在弹出框中取消“为所有媒体和设备使用自动播放”的选择，点保存。  
　　4：删除系统默认共享，不明白徽软为什么还要在win2008中默认开启它们？可以使用 net share 命令查看。  这些默认共享全部删除。  net share c$ /del  net share d$ /del  net share e$ /del  net share f$ /del  net share ipc$ /del  net share admin$ /del  也可以在“服务”中直接禁用“server”服务。  
　　5：重命名帐户Administrator和Guest。禁用Guest账号，并加一个超级复杂的密码，密码可以是复制一段文本进去。禁用SQLDebugger帐号。    重命名管理员用户组Administrators
　　6：创建一个陷阱用户   即创建一个名为“Administrator”的本地用户，把它的权限降最低，并且加上一个超过16位的超级复杂密码。这样，可以让哪些HACKER忙一段时间了。
　　7：本地安全策略设置    开始菜单—>管理工具—>本地安全策一、本地策略——>审核策略     审核策略更改   成功 失败      审核登录事件   成功 失败    审核对象访问      失败     审核过程跟踪   无审核    审核目录服务访问    失败    审核特权使用      失败    审核系统事件   成功 失败    审核账户登录事件 成功 失败  审核账户管理   成功 失败  二、本地策略——>用户权限分配    关闭系统：只有Administrators组、其它的全部删除。    通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除      在组策略中，计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用 三、本地策略——>安全选项    交互式登陆：不显示最后的用户名       启用    网络访问：不允许SAM帐户和共享的匿名枚举    启用    网络访问: 不允许存储网络身份验证的凭据或 .NET Passports   启用    网络访问：可匿名访问的共享         全部删除   网络访问：可匿名访问的命名管道          全部删除    网络访问：可远程访问的注册表路径      全部删除     网络访问：可远程访问的注册表路径和子路径  全部删除   
　　8：禁止dump file的产生 系统属性>高级>启动和故障恢复把 写入调试信息 改成“无”。  
　　9：禁用不必要的服务。 控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。  TCP/IP NetBIOS Helper Server  Distributed Link Tracking Client Microsoft Search Print Spooler Remote Registry Workstation  
　　10：只开启需要用的端口，关闭不必要的，以减少攻击面。 80：IIS7 21：FTP 3389：远程 3306：Mysql 1433：Mssql  以上是我常用的端口，用不到的端口一律不要开启。 11：下列系统程序都只给管理员权限，别的全部删除。 arp.exe attrib.exe cmd.exe format.com ftp.exe tftp.exe net.exe net1.exe netstat.exe ping.exe regedit.exe regsvr32.exe telnet.exe xcopy.exeat.exe  所有的*.cpl和*.msc文件也只给管理员权限。  
　　12：打开Windows 高级防火墙。设置一些规则，具体的规则我们在以后专门的防火墙设置里讲一下。
　　13：站点属性设置：  删除C:\ inetpub目录  更改站点路径，最好和系统盘分开。在安装IIS7时，目录浏览功能不用安装，因为此功能容易爆路径。安装角色时，以最小化角色运行服务器，即只安装你要用到的角色功能，如果你的服务器没有ASP的站点，那ASP角色就不需要安装，这样可以减少受攻击的面。  一般给站点目录权限为： System   完全控制 Administrator 完全控制 Users  读 IIS_Iusrs  读、写 在IIS7中删除不常用的映射
　　14：安装一款杀毒软件，推荐Mcafee，再配合Windows 防火墙，它们俩应该是一个不错的组合。应该是windows 2008里面的黄金搭挡了。  
　　15：经常关注徽软补丁更新情况，一些高危补丁要及时更新。    通过以上配置，服务器安全性比原来默认又提升了一级。  祝大家都能玩好windows server 2008系统。