Win2003 Server的安全性較（jiào）之Win2K確實有了很大的提高，但是用Win2003 Server作為服務器是否就真的（de）安全了？如何才能打造一個安全的個人Web服務（wù）器？下（xià）麵我們簡單介紹一下

　　一、Windows Server2003的安裝

　　1、安裝係統最少兩需要個（gè）分區，分區格（gé）式都采用NTFS格式

　　2、在斷開網（wǎng）絡的情況安裝好2003係統

　　3、安（ān）裝IIS，僅安裝必要的 IIS 組件（禁用不需要的（de）如FTP 和 SMTP 服務（wù））。默認情況下，IIS服務沒有安裝（zhuāng），在添加/刪除Win組件中選擇“應用程序服（fú）務器”，然後（hòu）點擊“詳細信息”，雙擊Internet信息服務(iis)，勾選（xuǎn）以下選（xuǎn）項：

　　Internet 信息服務管理器；

　　公用文件；

　　後台智能傳輸服務 (BITS) 服務器擴展；

　　萬維網服務。

　　如果你使（shǐ）用 FrontPage 擴展的 Web 站點再勾選：FrontPage 2002 Server Extensions

　　4、安裝MSSQL及其（qí）它所需要的軟件（jiàn）然後進行Update。

　　5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分（fèn）析計算機的安全配置，並（bìng）標識（shí）缺少的修補程序和更新（xīn）。下載地（dì）址（zhǐ）：見頁末的鏈接（jiē）


　　二（èr）、設置和管理賬戶

　　1、係統管理員（yuán）賬戶（hù）最好少建，更改默認的管理員帳戶名（Administrator）和描述（shù），密碼最好采用數（shù）字加大小寫字母加數字的上檔鍵（jiàn）組合（hé），長度最好不少於（yú）14位。

　　2、新（xīn）建一個名為Administrator的陷阱帳號，為其設置最小的權限，然後隨便輸入組合的最好不低（dī）於20位的密碼（mǎ）

　　3、將Guest賬戶禁用並更改（gǎi）名稱和描述，然後輸入一個複雜的密碼，當然現在也有一個DelGuest的工具，也許你（nǐ）也可以利用它來刪除Guest賬戶，但我沒有試過。

　　4、在運行中輸入gpedit.msc回車，打開組（zǔ）策略編輯（jí）器（qì），選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶（hù）鎖定策略，將賬戶設為“三（sān）次登陸無效”，“鎖定時間為30分鍾”，“複位鎖（suǒ）定計數設為（wéi）30分鍾”。

　　5、在安全設置-本地策略（luè）-安全（quán）選項中將“不顯（xiǎn）示上次的用戶名”設為（wéi）啟（qǐ）用

　　6、在安全設（shè）置-本地策略-用戶權利分配中將“從網絡（luò）訪問此（cǐ）計算機”中隻保（bǎo）留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保（bǎo）留（liú）Aspnet賬戶。

　　7、創建一個User賬（zhàng）戶，運（yùn）行係統，如果要運行（háng）特權命令使用（yòng）Runas命令。


　　三（sān）、網絡服務安全管理

　　1、禁止C$、D$、ADMIN$一類的缺省共享

　　打開注冊表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右邊的窗口中新建Dword值，名（míng）稱設為AutoShareServer值設為0

　　2、 解除（chú）NetBioses與TCP/IP協議的綁定

　　右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的NETBioses

　　3、關閉不需要的服（fú）務（wù），以（yǐ）下為建議選項

　　Computer Browser:維護網絡計算機更新，禁用

　　Distributed File System: 局域（yù）網管理（lǐ）共享文件，不需要禁用

　　Distributed linktracking client：用於局域網（wǎng）更新連接（jiē）信息，不需要（yào）禁用

　　Error reporting service：禁止發送錯誤報告

　　Microsoft Serch：提供快速的單（dān）詞搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不（bú）需要禁用

　　PrintSpooler：如果（guǒ）沒有打印機可禁用

　　Remote Registry：禁止遠程修改注冊表（biǎo）

　　Remote Desktop Help Session Manager：禁止遠程協助


　　四、打開相應的審核策（cè）略

　　在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-Windows設置-安全設置-審核策略在創建審核項（xiàng）目時需要注意（yì）的（de）是如果審核的項目太多，生成的事件也（yě）就越多，那麽要想（xiǎng）發現嚴重的事件（jiàn）也越難當然如果審（shěn）核的太少也會影響你發現嚴重的（de）事件（jiàn），你需要（yào）根據情況在這二者之（zhī）間做出選（xuǎn）擇。

　　推薦的要審核的項目是（shì）：

　　登（dēng）錄事件   成功 失敗

　　賬戶登錄事件 成功 失敗

　　係統事件（jiàn）   成功 失敗

　　策略更改   成功 失敗

　　對象訪問   失敗

　　目錄服務訪問 失敗

　　特權使用   失敗


　　五、其（qí）它安全（quán）相關（guān）設置

　　1、隱藏重要文件/目錄

　　可以修改注冊表（biǎo）實現完全隱藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修（xiū）改，把數值由1改（gǎi）為0

　　2、啟動係統自帶的Internet連接防火牆，在設（shè）置服務選項中勾選Web服務器。

　　3、防止SYN洪水攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為SynAttackProtect，值為2

　　4. 禁止（zhǐ）響應ICMP路由通（tōng）告報文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名為PerformRouterDiscovery 值（zhí）為0

　　5. 防止ICMP重定向報文的攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　將EnableICMPRedirects 值設為0

　　6. 不支持IGMP協議

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為IGMPLevel 值為0

　　7、禁用（yòng）DCOM：

　　運行中（zhōng）輸入 Dcomcnfg.exe。 回車， 單（dān）擊“控製台根節點”下的（de）“組件服務”。 打開“計算機”子文件夾。

　　對於本（běn）地計算機，請以右鍵單擊“我的電腦”，然後選擇“屬性”。選（xuǎn）擇“默認屬性”選項（xiàng）卡。

　　清除（chú）“在（zài）這台計算機上啟用分布式 COM”複（fù）選框。

　　注（zhù）：3-6項內容（róng）我采用（yòng）的是Server2000設置，沒有測試過對2003是否起作用。但有一點可以肯（kěn）定我用了一段的時間沒有發現其它副麵的影響。


　　六、配置 IIS 服務（wù）：

　　1、不使用默認的Web站點，如果使用也要（yào）將 將IIS目錄與（yǔ）係統磁盤分開。

　　2、刪除（chú）IIS默認創建的Inetpub目錄（lù）（在安裝係（xì）統的盤上）。

　　3、刪除（chú）係統（tǒng）盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、刪除不必要的IIS擴展名映射。

　　右鍵單擊“默認Web站點→屬性→主目錄（lù）→配置”，打開應用程序窗口，去掉不必（bì）要的應用程序映射。主要為.shtml, .shtm, .stm

　　5、更改IIS日誌的路徑（jìng）

　　右鍵單擊“默認Web站點→屬性-網站-在啟用（yòng）日誌記錄下點擊屬性

　　6、如果使用（yòng）的是2000可以使用（yòng）iislockdown來保護IIS，在2003運行的IE6.0的（de）版本不需要。

　　7、使用UrlScan

　　UrlScan是一個ISAPI篩選器，它對傳（chuán）入的HTTP數據包進行分析並（bìng）可以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需（xū）要先安裝1.0或2.0的版本。下載地址見頁（yè）未的鏈接

　　如果沒有特殊的要求采用UrlScan默認配置就可以了。

　　但如果你在服務器運行ASP.NET程序，並要進行調試你需打開要%WINDIR%\System32\Inetsrv\URLscan

　　文件夾中的URLScan.ini 文件，然後在UserAllowVerbs節添加debug謂詞，注意此節是區分大小寫的。

　　如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內（nèi）容。

　　如果（guǒ）你的網頁使用了非（fēi）ASCII代碼，你（nǐ）需要在Option節中將AllowHighBitCharacters的值設為1

　　在（zài）對URLScan.ini 文件做了更（gèng）改後，你需要重啟IIS服務才能生效，快速方法運行中輸入iisreset

　　如果你在配置後出現什麽問（wèn）題，你可（kě）以通過添加/刪除程序刪除UrlScan。

　　8、利用WIS (Web Injection Scanner)工具對整（zhěng）個（gè）網（wǎng）站進行SQL Injection 脆弱性掃描.

　　下載地址：[http://www.fanvb.net/websample/othersample.aspx]VB.NET愛好者[/url]


　　七、配置Sql服務器

　　1、System Administrators 角色最好不要超過兩個

　　2、如果是在本機最好將身份驗證配（pèi）置（zhì）為Win登陸

　　3、不要使用Sa賬戶，為其配置一個超級複（fù）雜的密碼

　　4、刪（shān）除以下的擴展存儲過程格式為：
　　use master
　　sp_dropextendedproc '擴展存儲過程名'

　　xp_cmdshell：是進入操作係統的最佳捷徑，刪除