我在电信局做网管,原来管理过三十多台服务器,从多年积累的经验,写出以下详细的Windows2003服务系统的安全方案,我应用以下方案,安全运行了二年,无黑客有成功入侵的记录,也有黑客入侵成功的在案,但最终还是没有拿到肉鸡的最高管理员身份,只是可以浏览跳转到服务器上所有客户的网站
服务器安全设置>>IIS6
0的安装—开始菜单>—控制面板>—添加或删除>添加/删除Windows组件———应用程序ASP
NET(可选)|——启用网络COM+访问(必选)|——Internet信息服务(IIS)———Internet信息服务管理器(必选)|——公用文件(必选)|—————万维网服务ActiveServerpages(必选)|——Internet数据连接器(可选)|——WebDAV发布(可选)|——万维网服务(必选)|——在服务器端的包含文件(可选)>>””在网络连接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"
>>“”在本地连接打开Windows2003自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)>>IIS(Internet信息服务器管理器)在"主目录"选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭“”执行权限推荐选择纯脚本>>建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志
(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置
