windows2003的安全策略应该怎么设置

windows2003的安全策略应该怎么设置,第1张

在“开始”菜单中运行“gpedit.msc”。

1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。

2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:

·账号关闭持续时间(确定至少5-10分钟)

·账号关闭极限(确定最多允许5至10次非法登录)

·随后重新启动关闭的账号(确定至少10-15分钟以后)

3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:

·检查账号管理

·检查登录事件

·检查策略改变

·检查权限使用

·检查系统事件

理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。

4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:

·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)

·账号:重新命名客户账号(确定一个新名字)

·交互式登录:不要显示最后一个用户的名字(设置为启用)

·交互式登录:不需要最后一个用户的名字(设置为关闭)

·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。

如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)

·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西

·网络接入:不允许SAM账号和共享目录(设置为“启用”)

·网络接入:将“允许每一个人申请匿名用户”设置为关闭

·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”

·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”

·关机:“清除虚拟内存的页面文件”设置为“启用”

如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。

不少玩家朋友已经体验到了windows 2003的无穷魅力,作为Windows XP的服务器版本,Windows 2003以其.NET的全新架构、更高的集成度、丰富的功能以及易用性成为新一代服务器操作系统。而对于个人玩家而言,优秀的稳定性和出色的多媒体性能,同样也是学习兼娱乐的最佳选择。那么,在使用如此优秀的操作系统时,有何注意事项呢?

Windows Server 2003分为4个版本:标准版、企业版、Datacenter 版和 Web版,对硬件系统的最小要求为:

最小CPU速度 133MHz,推荐CPU速度 550MHz

最小内存要求 128M,推荐最小内存 256M

安装所需要硬盘空间 1.5GB

经过几天的使用,对Windows Server 2003有了一些了解,下面是几个需要注意的地方:

Windows Server 2003必须要有128M以上的内存条才能够安装,像Intel 845GL那样集成了显卡的主板,只插128M内存条是不能安装Windows Server 2003的,安装程序会自动中断。

Windows Server 2003的安装同windows 2000/XP基本上一样,光盘启动后,可以对硬盘分区和格式化,然后是选择安装的路径,用户只需要输入简单的信息,安装程序很傻瓜化。

现在专用的For Windows server 2003的驱动程序还没有,我们可以用For Windows2000/XP的驱动程序来安装。

刚安装完以后,需要更改Windows Server 2003的设置,才可以打开IE上网和使用directx,具体的方法看下面的说明。

在关机和重启Windows Server 2003的时候,必须要输入原因,系统才会关机。

下面是具体的说明:

禁用Manager Your Server对话框

首先要做的事情就是禁用Manager Your Server对话框,如果不希望它每次在你启动系统后来烦你吧。只要点击选中“Don’t display this page at logon”复选框就可以了。以后你也可以通过Control Panel ->Administrative Tools ->Manage Your Server 访问到。

创建一个新帐户 在Windows Server 2003中是没有欢迎屏幕的,所以第一次启动的时候你不会被要求设置一个新的帐户。新建帐户是很容易的,依次点击Start ->Run,然后输入lusrmgr.msc并按回车。会出现Local Users and Groups窗口,之后在左侧面板的Users上点击鼠标右键,并选择New User,并按照图中的示例填写相关的信息(Full Name和Description是可选的),然后选中相关的复选框,并点击Create。也可以在控制面版的计算机管理里面添加。

设置权限你新建的帐号已经可以使用了,但是在我们用它登录之前,你可能想给你的帐户“Administrator”权限。如果想这样做,在新建的帐户名称上点击鼠标右键,并点击Properties,打开Member of选项卡,点击Add...->Advanced ->Find Now,然后双击列表顶端的Administrators。点击OK关闭窗口。现在你可以注销Administrator然后用新建的帐户登录了。

禁用IE的增强行安全设置

第一次打开IE是不能浏览网页的,原因在于Windows Server 2003的一个新的安全特性,就是在默认情况下设置了IE的安全性为高,因此你讲不能浏览任何站点(除非你把该站点添加到安全站点中)。可以用下面的方法来解决:

运行IE,你可以看见IE提示说Explorer Enhanced Security设置已经被启用,并且还显示了一个对话框,选中对话框中的“In the future, do not show this message”。

现在,依次打开Tools ->Internet Options,打开Security选项卡,在“Security Level for this zone”中把Internet区域的安全性调整到Medium。之后你会看到一个对话框询问是否真的要修改安全等级,点击Yes。

通常工作站中设置为Medium就可以了,因此这个也是适合大部分人的。OK,现在上网还有问题吗?

安装Sun的JAVA虚拟机

Windows Server 2003中没有包含微软的JAVA虚拟机,而微软也不再提供JAVA虚拟机的下载,虽然还有很多地方可以下载到微软的JAVA虚拟机,不过还是不建议安装,因为:微软的JAVA虚拟机已经停止升级了,如果以后发现了什么新的安全漏洞也不会有任何的补丁程序。

禁用关机原因调查(Shutdown Event Tracker)

因为Windows Server 2003是一个“服务器”,因此知道它为什么要关闭和重启动是很重要的,所以在手动重启和关机的时候,系统会要求输入原因。也可以禁用这一特性。需要配置Group Policy Object Editor,在运行中输入gpedit.msc然后按回车,你应该可以看见图中的组策略编辑器。依次打开Computer Configuration ->Administrative Templates ->System,然后在右侧的面板中双击Display Shutdown Event Tracker这一策略。接着会出现图中的窗口,选择Disable然后点击OK。 现在关闭 Group Policy Object Editor窗口。以后你关机的时候就可以看到传统的窗口。

图形加速

为了保证最佳可用性和最高性能,默认情况下Windows Server 2003中的硬件图形加速和DirectX是被禁用的。如果你需要用到directx加速的程序你也可以按照下面的说明打开它们。

启用硬件图形加速

现在我们准备启用你的硬件图形加速。在桌面的空白处点击鼠标右键,依次点击Properties ->Settings 选项卡 ->Advanced ->Troubleshoot 选项卡,然后把硬件图形加速的滑块拖动到 Full。点击OK退出。之后屏幕可能会变黑几秒钟。

启用directx

接着准备启用directx图形加速。在运行中输入dxdiag然后按回车,你会看到一个对话框询问你是否允许dxdiag访问Internet以检查有效的WHQL证书,点击Yes。

打开Display选项卡,然后点击其中的三个按钮启用DirectDraw,Direct3D和 AGP Texture Acceleration。

音频加速

现在我们已经启用了图形加速和directx加速,同样我们还要启用音频加速。

如果你用的是Windows Server 2003 Standard Edition,Windows Audio服务默认已经打开了,你可以跳过这一步。其他版本的用户可以继续看下去。

在运行中输入Services.msc然后按回车,会出现Services 窗口,找到Windows

Audio服务,双击打开,把启动类型设置为Automatic,点击Apply,然后点击Start启动该服务。

最后我们还要使用directx诊断工具,在运行中输入dxdiag并回车,打开Sound选项卡,把Hardware Sound Acceleration Level的滑块拖动到Full。好了,现在音频也已经全部设置好了。还有一点需要注意,如果是SB Live!声卡,你应该安装2003年3月10日发布的For Win2k/XP的LiveDrvUni-Pack。

设置主题Themes

主题在哪里?在下面我们将设置在Windows Server 2003中使用主题。

首先我们需要回到服务设置对话框启用Themes服务,在运行中输入Services.msc并按回车,找到并双击Themes这个服务,设置启动类型为Automatic,点击Apply后点Start打开这个服务。现在你已经可以使用windows xp中的Luna Blue,Silver和Olive Green三种主题。

如果你还想使用更多的主题,首先需要破解你的UXTheme.dll文件。

启用其他服务启用操作系统内建的IMAPI CD刻录服务

如果你想使用操作系统内建的IMAPI CD刻录服务,需要进行如下的操作:(但如果你想加快Nero Burring ROM的启动速度就不要起用这个服务)

在运行中输入Services.msc然后回车,找到并双击IMAPI CD-Burning COM Service服务,设置启动类型为Automatic,点击Apply后点击Start然后点击OK。

重启动系统后就可以在Send-To菜单中看到刻录CD的选项。

启用Windows Image Acquisition (为使用摄像头,扫描仪等设备) 如果你有摄像机,摄像头或者扫描仪等设备,进行如下操作:

在运行中输入Services.msc并回车,找到并双击Windows Image Acquisition (WIA)服务,设置启动类型为Automatic点击Apply后点击Start然后点击OK。之后就可以给你的摄像机和扫描仪安装驱动程序了。

安装directx 9.0a

在Windows Server 2003中安装DirectX 9.0a就跟以往在其他Windows中安装任何版本的DirectX一样,如果你还没有启用图形加速和directx加速,请在安装前先启用它们。

文件夹选项

默认情况下,所有的隐藏文件和文件夹都是显示的,你可以隐藏它们,这样资源管理器中就不会显示太多的隐藏文件。

打开任何一个文件夹,然后在Tools ->Folder Options ->View 选项卡下选中Do not show hidden files and folders,然后点击OK。

Windows Media Player 9

Windows Media Player 9默认已经安装好了。依次打开Start ->Programs ->Accessories ->Entertainment ->Windows Media Player。按照提示选择所有需要的复选框,然后就可以使用了。

你也可以这样把Media Player 9放置到任务栏:在任务栏上点击鼠标右键 ,然后在 Toolbars 菜单下选中Windows Media Player.

可用的杀毒软件

Symantec Norton Antivirus Corporate 8.x (请注意,家用版的2002/2003 不能在 Windows Server 2003上安装)

可用的防火墙

Zone Alarm 3.7.159

Norton Personal Firewall 2003

Windows Server 2003可以看作是代替windows 2000 Server家族的下一代服务器操作系统,是在 windows 2000经过考验的可靠性、可伸缩性和可管理性的基础上构建的,为加强联网应用程序、网络和 XML Web服务的功能(从工作组到数据中心)提供了一个高效的结构平台。

【拓展内容】

Win2003 Server手动设置攻略

1、禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现

在IE工具选项中自定义设置IE的安全级别。在”安全“(Security)选项卡上拉动滚动条把Internet区域安全设置为”中“(Medium)或“中低”。自定义设置中将有关的选择“提示”修改为选择“禁止”或“启用“;

2、禁用关机*跟踪,即禁止关机时出现的关机理由选择项:

如果是中文版,则:开始 ->运行 ->gpedit.msc->计算机配置 ->管理模板 ->系统 ->显示关机*跟踪 ->禁用。

如果是英文版,则:开始 ->运行 ->gpedit.msc ->Computer configuration ->Administrative Templates ->System ->Display shutdown event tracker ->设置为 Disable;

3、启用硬件和DirectX加速

★硬件加速:桌面点击右键--属性(Properties) ->设置(Settings )--高级( Advanced )--疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保存退出。这期间可能出现一瞬的黑屏是完全正常。

★DirectX加速:打开“开始”(Start) ->“运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration);

4、启用声卡:

系统安装后,声卡是禁止状态,所以要在 控制面板 ->声音 ->启用,重启之后再设置它在任务栏显示。

现在我们还要启用音频加速。在运行中输入services.msc然后按回车,会出现services 窗口,找到windows audio服务,双击打开,把启动类型设置为automatic,点击apply,然后点击start启动该服务。

最后我们还要使用directx诊断工具,在运行中输入dxdiag并回车,打开sound选项卡,把hardware sound acceleration level的滑块拖动到full(见第三条);

Windows 2003使用技巧荟萃

一、我的时代 玩转win 2003

秘笈、宝典之类的dd通常只在武侠小说里露面,故事里的主角往往无意间练得绝世武功从此扬名立万。如今,想熟练使用软、硬件产品,多看大家整理出的使用技巧绝对是一条有效的捷径。在这之中,尤其又以windows操作系统的技巧类文章出现次数最为频繁。

去年5月22日,微软发布最新的windows server 2003(以下简称Windows 2003)操作系统。不少玩家朋友已经体验到了它无穷魅力,作为Windows XP的服务器版本,windows 2003以其.net的全新架构、更高的集成度、丰富的功能以及易用性成为新一代服务器操作系统。而对于个人玩家而言,优秀的稳定性和出色的多媒体性能,同样也是学习兼娱乐的最佳选择。我们在网上搜集了部分关于windows 2003的优化方法。不敢独享,希望能够对正在使用的朋友们有所帮助。大家也可以在文章评论里相互探讨,共同来玩转windows 2003。

几种取消Windows 2003关机提示的方法

1、编辑组策略

打开“开始-“运行,在“打开一栏中输入“gpedit.msc命令打开组策略编辑器,依次展开“计算机配置→“管理模板→“系统,双击右侧窗口出现的“显示‘关闭事件跟踪程序’,将“未配置改为“已禁用即可。

2、修改注册表

打开“开始→“运行,在“运行一栏中输入“Regedit命令打开注册表编辑器,依次打开HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT,新建一个项,将其取名为“Reliability,而后在右侧窗口中再新建一个DWORD值,取名为“ShutdownReasonOn,将它的值设为0就可以了。

3、电源巧设置

进行电源设置最为简便,只要依次打开“开始“控制面板“电源选项,在出现“电脑选项属性点选“高级选项卡,将“在按下计算机电源按钮时设置为“关机,然后按“确定完成。当您需要关机时,只要直接揿下电脑主机上的电源开关或键盘上的Power键(需主板支持)就可直接完成关机动作了。

BIOS设置让Windows 7运行速度快一倍

和以前使用Windows XP一样,很多用户都在设法提高Windows 7的系统运行速速,比较常见的方法大多是对系统服务进行优化,去掉一些可有可无的系统服务,还有就是优化资源管理器菜单等。除此之外,还有一些“不常见的偏方”,据说也可以让Windows 7的运行速度快上一倍。

如果你想尝试本文分享的方法,让你的Windows 7系统运行速度快起来,首先,你要保证你的主板支持AHCI。

如果你的'主板支持AHCI,那么请在安装Windows 7前进入Bios设置,在Advanced选项中将SATA controller Mode中默认的IDE调整为AHCI。

请大家注意,不同的主板的Bios可能不同,设置时,请大家找到对应的项。

AHCI,全称是Serial ATA Advanced Host Controller Interface(串行ATA高级主控接口),是在Intel的指导下,由多家公司联合研发的接口标准。在AHCI中,Intel引入了NCQ(Native Command Queue)功能和热插拔技术。支持NCQ技术的硬盘在接到读写指令后,会根据指令对访问地址进行重新排序,减少读取时间,使数据传输更为高效。

设置Vista缓存位置 释放系统盘空间

使用Windows Vista一段时间以后,我们会发现系统盘空间越来越紧张,这个时候应该怎么办呢?

原因分析: 由于VISTA系统中脱机文件的缓存就保存在系统盘,所以经常被脱机文件搞得系统盘空间紧张。

解决方法: 只要改变脱机文件的缓存位置该问题便迎刃而解。

具体操作

VISTA系统中脱机文件缓存的默认保存位置是:“c:\windows\csc,改变其默认保存位置的方法如下:

1、在管理员权限的命令提示行窗口中运行下列命令:

REG ADD "HKLM\System\CurrentControlSet\Services\CSC\Parameters" /v MigrationParameters /t REG_DWord /d 1 /f

2、使用本地管理员帐户运行下列命令:(按照实际情况替换其中的分区盘符)

c:\windows\system32\migwiz\migwiz.exe

3、在Windows轻松传送向导中,依次选择下列选项:

(1)、单击启动新的传输。

(2)、单击我的旧计算机。

(3)、单击使用CD、DVD或其他可移动介质。

(4)、单击外接硬盘或网络位置。

(5)、输入你希望Savedata.mig保存的位置,然后单击下一步。

(6)、单击高级选项。

(7)、在选择要传送的用户帐户、文件和设置页面上,进行下列操作:

i. 反选所有选中的复选框。

ii.在系统和程序设置(所有用户)选项下,展开Windows设置,展开网络和Internet,然后选择脱机文件。

iii. 为本页上列出的每个用户重复这一操作。

(8)、单击下一步开始传输。

4、在注册表的 HKLM\System\CurrentControlSet\Services\CSC\Parameters 键下新建一个名为 CacheLocation 的字符串值,然后将其数值设置为你希望缓存保存位置对应的NT格式名(NT format name)。例如, 如果你希望缓存保存在d:\csc目录下,就输入\??\d:\csc。

创建d:\csc目录(或者其他你指定的目录)。

5、重启动计算机,运行以下命令:

c:\windows\system32\migwiz\migwiz.exe ,然后,在向导中依次进行下列操作:

(1)、单击继续正在进行的传输。

(2)、单击否,我已将文件和设置复制到CD、DVD或其他可移动介质中。

(3)、单击在外接硬盘或网络位置上。

(4)、输入之前第三步创建的.mig文件的路径。

(5)、将旧计算机和新计算机上的用户帐户一一对应。

(6)、单击下一步,然后单击传输。

6、注销,重新登录,然后确认你是否可以正确访问脱机文件。

7、删除老的缓存.在管理员权限的命令提示行窗口中运行以下命令:

takeown /r /f c:\windows\csc

rd /s c:\windows\csc

正确设置让Windows Vista防火墙发挥作用

一、采用两种界面来满足不同需求Vista防火墙有两种独立的图形配置界面: 一是基本的配置界面,可以通过“安全中心和“控制面板来访问二是高级配置界面,用户在创建自定义的MMC后,可作为插件来访问。

这可以防止新手用户无意中的改变而导致连接中断,又为高级用户对防火墙设置进行更细化地定制以及控制出站和入站流量提供了一种方法。用户还可以在netsh advfirewall上下文中使用命令,从命令行对Vista防火墙进行配置也可以编写脚本,针对一组计算机自动对防火墙进行配置还可以通过组策略来控制Vista防火墙的设置。 二、默认设置下的安全Vista中的 Windows防火墙在默认状态下采用安全配置,同时仍支持最佳易用性。默认状态下,大多数入站流量被阻挡,出站连接被允许。Vista防火墙可与 Vista的Windows服务加固这项新功能协同工作,所以如果防火墙检测到被Windows服务加固网络规则禁止的行为,它就会阻挡该行为。防火墙还完全支持纯IPv6的网络环境。 三、基本配置选项利用基本配置界面,用户可以启动或者关闭防火墙,或者设置防火墙完全阻挡所有程序还可以允许有例外情况存在(可以指定不阻挡哪些程序、服务或者端口),并且指定每种例外情况的范围(是否适用于来自所有计算机的流量,包括互联网上的计算机、局域网/子网上的计算机,或者是你指定了IP地址或者子网的计算机)还可以指定希望防火墙保护哪些连接,并且配置安全日志和ICMP设置。 四、ICMP消息阻挡默认状态下,入站ICMP回应请求可以通过防火墙,而其他所有ICMP信息被阻挡在外。这是因为,Ping工具定期用来发送回应请求消息,用于故障诊断。不过,黑客也可以发送回应请求消息来锁定目标主机。用户可以通过基本配置界面上的“高级选项卡,阻挡回应请求消息。 五、多个防火墙配置文件附带高级安全MMC插件的Vista防火墙可以让用户在计算机上创建多个防火墙配置文件,那样就可以针对不同环境使用不同的防火墙配置。这对便携式计算机来说特别有用。譬如说,当用户连接到公共无线热点时,可能需要比连接到家庭网络时更安全的配置。用户最多可以创建三个防火墙配置文件: 一个用于连接到Windows域、一个用于连接到专用网络,另一个用于连接到公共网络。 六、IPSec功能通过高级配置界面,用户可以定制IPSec设置,指定用于加密和完整性的安全方法、确定密钥的生命周期按时间计算还是按会话计算,并且选择所需的Diffie-Hellman密钥交换算法。默认状态下,IPSec连接的数据加密功能是禁用的,但可以启用它,并且选择哪些算法用于数据加密和完整性。 七、安全规则通过向导程序,用户可以逐步创建安全规则,从而控制单台计算机或者一组计算机之间如何及何时建立安全连接也可以根据域成员或者安全状况等标准来限制连接,但允许指定的计算机可以不符合连接验证要求还可以创建规则,要求两台特定的计算机(服务器到服务器)连接时需要验证,或者使用隧道规则对网关之间的连接进行验证。 八、自定义的验证规则在创建自定义的验证规则时,要指定单台计算机或者一组计算机(通过IP地址或者地址范围)成为连接端点。用户可以请求或者要求对入站连接、出站连接或者两者进行验证。 九、入站和出站规则用户可以创建入站和出站规则,从而阻挡或者允许特定程序或者端口进行连接可以使用预先设置的规则,也可以创建自定义规则,“新建规则向导可以帮用户逐步完成创建规则的步骤;用户可以将规则应用于一组程序、端口或者服务,也可以将规则应用于所有程序或者某个特定程序;可以阻挡某个软件进行所有连接、允许所有连接,或者只允许安全连接,并要求使用加密来保护通过该连接发送的数据的安全性可以为入站和出站流量配置源IP地址及目的地IP地址,同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。 十、基于活动目录的规则用户可以创建规则来阻挡或者允许基于活动目录用户、计算机或者组账户的连接,只要连接通过带有Kerberos v5(包含活动目录账户信息)的IPSec来保护安全。用户还可以使用具有高级安全功能的Windows防火墙,执行网络访问保护(NAP)策略。Windows Meeting Space(WMS)是Windows Vista内置的一个新程序,它便于最多10个协作者共享桌面、文件和演示文档,并通过网络传送个人消息给对方。

1、开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问失败

审核过程跟踪 无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

B、本地策略——>用户权限分配

关闭系统:只有Administrators组、其它全部删除。

通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

C、本地策略——>安全选项

交互式登陆:不显示上次的用户名 启用

网络访问:不允许SAM帐户和共享的匿名枚举  启用

网络访问:不允许为网络身份验证储存凭证 启用

网络访问:可匿名访问的共享 全部删除

网络访问:可匿名访问的命全部删除

网络访问:可远程访问的注册表路径全部删除

网络访问:可远程访问的注册表路径和子路径全部删除

帐户:重命名来宾帐户重命名一个帐户

帐户:重命名系统管理员帐户 重命名一个帐户

2、IIS站点设置:

2.1、将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。

2.2、启用父级路径

2.3、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp, aspx html htm 等必要映射即可)

2.4、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件

2.5、Web站点权限设定(建议)

读 允许

写 不允许

脚本源访问 不允许

目录浏览 建议关闭

日志访问 建议关闭

索引资源 建议关闭

执行 推荐选择 “纯脚本”

2.6、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。

2.7、程序安全:

1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限

2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。

3) 防止ASP主页.inc文件泄露问题

4) 防止UE等编辑器生成some.asp.bak文件泄露问题。

6、IIS权限设置的思路

·要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。

·在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

·设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。

再复制以下文件把扩展名改为.cmd 双击运行

Windows Server2003系统安全设置

NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,

TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE tftp.exe

把以上命令文件通通只给Administrators 和SYSTEM为完全控制权限

附更改3389端口(dword:00000d3d为十六进制)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

"PortNumber"=dword:00000d3d

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

"PortNumber"=dword:00000d3d


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/143564.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-03-19
下一篇2023-03-19

发表评论

登录后才能评论

评论列表(0条)

    保存