网站建设技术
标准的虚拟主机Windows 2003 Internet服务器安全配置
时间:2009年12月12日 来源:互联网 作者:佚名 浏览:

下面我用的例子.将是一台标准的虚拟主机.

系统:windows2003

服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]

描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减WINDOWS本地安全策略 端口限制

A.对于我们的例子来说.需要开通以下端口

外->本地 80

外->本地 20

外->本地 21

外->本地 PASV所用到的一些端口

外->本地 25

外->本地 110

外->本地 3389

然后按照具体情况.打开SQL SERVER和MYSQL的端口

外->本地 1433

外->本地 3306

B.接着是开放从内部往外需要开放的端口

按照实际情况,如果无需邮件服务,则不要打开以下两条规则

本地->外 53 TCP,UDP

本地->外 25

按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口

本地->外 80

C.除了明确允许的一律阻止.这个是安全规则的关键.

外->本地 所有协议 阻止WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限

C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限

现在WebShell就无法在系统目录内写入文件了.

当然也可以使用更严格的权限.

在WINDOWS下分别目录设置权限.

可是比较复杂.效果也并不明显.windows用户

然后在IIS的响应的站点项内

把IIS执行的匿名用户.绑定成这个用户

并且把他指向的目录

权限变更为

administrators   全部权限

system   全部权限

单独建立的用户(或者IUSER)   选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权
限.windows目录建立和修改EXE.DLL文件等

我们在软件中加入对WEB目录的杀毒计划.

每天执行一次

并且打开实时监控.windows\system32\scrrun.dll

注销组件

使用regedit

将/HKEY_CLASSES_ROOT下的

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

键值改名或删除

将这些键值下CLSID中包含的字串

如{72C24DD5-D70A-438B-8A42-98424B88AFB8}

到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值

全部删除