Web Ftp Mail服務(wù)器的日常管理與維護

1、Web Ftp Mail服務(wù)器的日常管理與維護一、設(shè)置和管理賬戶 1、系統(tǒng)管理員賬戶最好少建，更改默認的管理員帳戶名（Administrator）和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14位。 2、新建一個名為Administrator的陷阱帳號，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼。3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個復(fù)雜的密碼，然后禁用。 4、開始-程序-管理工具-本地安全策略，選擇計算機配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無效”，“鎖定時間為

2、30分鐘”，“復(fù)位鎖定計數(shù)設(shè)為30分鐘”。5、在安全設(shè)置-本地策略-安全選項中將“不顯示上次的用戶名”設(shè)為啟用 。6. 本地策略-安全選項-對匿名連接的額外限制.選擇(不允許枚舉 SAM 帳號和共享) 二、網(wǎng)絡(luò)服務(wù)安全管理 1、禁止C$、D$、ADMIN$一類的缺省共享打開注冊表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer值設(shè)為0. 注冊表不了解.不要隨便

3、更改.2、 解除NetBios與TCP/IP協(xié)議的綁定 右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS 3、關(guān)閉不需要的服務(wù)，以下為建議選項 開始-所有程序-管理工具-服務(wù) Computer Browser:維護網(wǎng)絡(luò)計算機更新，禁用  Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用  Distributed linktracking clien

4、t：用于局域網(wǎng)更新連接信息，不需要禁用  Error reporting service：禁止發(fā)送錯誤報告  Microsoft Serch：提供快速的單詞搜索，不需要可禁用  NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用  PrintSpooler：如果沒有打印機可禁用  Remote Registry：禁止遠程修改注冊表  Remote D

5、esktop Help Session Manager：禁止遠程協(xié)助 Messenger:信使服務(wù)(windows2000) Task Scheduler: 允許程序在指定時間運行(不用計劃任務(wù)就禁用掉) TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服務(wù)以及 NetBIOS 名稱解析的支持注：新上架的服務(wù)器已經(jīng)做過其他安全設(shè)置只開以下端口，需要開其他端口可以在。右擊網(wǎng)上鄰居-屬性-Internet

6、協(xié)議（TCP/IP）屬性-高級-選項-TCP/IP篩選屬性-TCP端口添加你想要開的端口.  默認開啟的端口列表： FTP:20.21 mail:25.110 Web:80 pcanywhere:5631 遠程桌面：3389 (3389不要關(guān)閉，否則將無法遠程連接) 三、系統(tǒng)安全管理 1.對于系統(tǒng)的NTFS磁盤權(quán)限設(shè)置,C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置，這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以

7、服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。2. Windows目錄要加上給users的默認權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運行。3. 另外在c:/Documents and Settings/這里相當(dāng)重要，后面的目錄里的權(quán)限根本不會繼承從前的設(shè)置，如果僅僅只是設(shè)置了C盤給administrators權(quán)限，而在All Users/Application Data目錄下會 出現(xiàn)everyone用戶有完全控制權(quán)限，這樣入侵這可以跳轉(zhuǎn)到這個目錄，寫入腳本或只文件，再結(jié)合其他漏洞來提升權(quán)限.4. net.

8、exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe這些文件都設(shè)置只允許administrators.system訪問.guests禁止訪問 四、打開相應(yīng)的審核策略 開始-程序-管理工具-本地安全策略-安全設(shè)置-本地策略-審核策略注:windows2003已經(jīng)開啟部分.windows2000沒有開啟.可以根據(jù)實際情況來設(shè)置.推薦的要審核的項目是： 登錄事件 成功 失敗 賬戶登錄事件 成功 失敗 系統(tǒng)事件 

9、成功 失敗 策略更改 成功 失敗 對象訪問 失敗 目錄服務(wù)訪問 失敗 特權(quán)使用 失敗  五、IIS的安裝與配置 1.IIS6.0安裝過程在控制面板里依次選擇“添加或刪除程序”的“添加/刪除Windows組件”；雙擊“應(yīng)用程序服務(wù)器”，再雙擊“Internet信息服務(wù)(IIS)”，選中“萬維網(wǎng)服務(wù)”（注：此選項下還可進一步作選項篩選，請根據(jù)自己需要選用，如下圖所示），點確定即安裝完成。(一個方便的方法:選中ASP.NET其他的組件會自動選上) 2.IIS6.

10、0的配置WEB服務(wù)默認隨系統(tǒng)啟動，IIS6.0最初安裝完成是只支持靜態(tài)內(nèi)容的（即不能正常顯示基于ASP的網(wǎng)頁內(nèi)容），因此首先要做的就是打開其動態(tài)內(nèi)容支持功能。依次選擇“開始”“程序”“管理工具”“inter信息服務(wù)管理器”，在打開的IIS管理窗口左面點“web服務(wù)擴展”；將鼠標(biāo)所在的項“ASP.NET v.1.1.4322”以及“Active Server Pages”項啟用（點允許）即可。 右擊網(wǎng)站-新建-網(wǎng)站.按向?qū)Р僮鬏斎刖W(wǎng)站描述：這里可以隨便填.一般為了方便查找.填寫網(wǎng)站的域名網(wǎng)站IP地址：服務(wù)器只有一個IP地址這里可以選(全部未分配),如果選了

11、IP.在更換服務(wù)器IP時.這里的IP也要進行更換.所以為方便.這里也不選.網(wǎng)站TCP端口(默認值:80)(T)：:默認為80.有特殊需要也可以更改為其他沒有用的端口(如81).但訪問時要在域名端口號:81此網(wǎng)站的主機頭（默認：無）：服務(wù)器做虛擬主機或者服務(wù)器上有多個站點時。主機頭填寫該站點的域名。只有一個站點可以不填（注：主機頭是唯一的。不可以和其他主機頭重復(fù)）路徑：單擊瀏覽。找到網(wǎng)站程序所放的目錄。允許下列權(quán)限：默認權(quán)限即可。這樣一個站點就初步建好了。添加主機頭：右擊剛建的站點（）屬性文檔選項卡添加添加上默認的首頁文件名：默認的首面文件通常有：index.htm.Default.htm.in

12、dex.asp.Default.asp.Default.php.Default.aspx 網(wǎng)站選項卡新建站點的一個基本設(shè)置在這里可能更改。 選擇高級：可以給網(wǎng)站添加多個域名。IP地址：默認端口：80主機頭值：需要添加的域名(如：) 注：添加的域名不可重復(fù)。更改IIS日志的路徑 右鍵單擊“默認Web站點屬性-網(wǎng)站-在啟用日志記錄下點擊屬性 建議:IIS日志默認是放在C:WINDOWSsystem32LogFiles下.服務(wù)器運行一段時間后.日志會特別大.造成C盤空間不足.建議把路徑改在其他盤符2、性能選項卡：對于做虛擬主機想限制各個站點帶寬的。這

13、項很有用。3、主目錄選項卡： 本地路徑-瀏覽：網(wǎng)站程序的路徑。配置選項選項卡： 會話超時：session的存活時間啟用父路徑：windows默認沒有勾選這個選項。在asp程序中使用“./”，請請復(fù)選框選中4、目錄安全性選卡 如果你的網(wǎng)站訪問需要用戶名和密碼?？梢詸z查一下，是否啟用了匿名訪問，并檢查一下上面的用戶名：如上圖就是：IUSR_EDONG-FU5JINJ65 這個用戶對網(wǎng)站程序有沒有訪問的權(quán)限。5、IIS設(shè)置進行備份有多種方法可以用來完成此項工作。在Internet信息服務(wù)管理器控制臺（IIS插件）中所設(shè)置的屬性和值都被儲存在Metabase.b

14、in文件中，缺省情況下，這個文件位于“C:winntsystem32inetsrv”目錄中。在IIS 5.0中，你可以從內(nèi)置的IIS插件中來備份元數(shù)據(jù)。如果需要進行此工作，請選擇桌面上的計算機圖標(biāo)然后單擊右健。然后再選擇 “備份/恢復(fù)配置”。然后你就可以選擇備份現(xiàn)有元數(shù)據(jù)設(shè)置或者恢復(fù)以前的版本。與此相同的選項在MetaEdit 2.2中也可找到。 當(dāng)你以這種方式保存了元數(shù)據(jù)時，你的備份將以.md0文件的格式儲存在C:winntsystem32instrvmetaback文件夾中。當(dāng)你執(zhí)行備份時，文件將使用你所指定的名稱，如Pre-Lockdown.md0

15、。如果你使用相同的文件名創(chuàng)建了多個備份，他們將使用數(shù)字逐漸遞增的擴展名，如Backup.md0，Backup.md1等等。 在你的元數(shù)據(jù)嚴重損壞的情況下，你將不能啟動IIS。此時，你也不能從IIS插件或metaedit中執(zhí)行恢復(fù)操作。如果真的發(fā)生了類似情況，你就可以通過從備份文件夾中選用最合適的.md0（.md1等等）元數(shù)據(jù)備份文件來替換Metabase.bin。如果你的備份文件沒有錯誤，IIS將會立刻啟動。 制作元數(shù)據(jù)的備份還有其它兩個意義。你可以使用xcopy，scopy或其它復(fù)制程序來簡單地復(fù)制Metabase.bin文件。你應(yīng)該先停止Internet服務(wù)，以保證你的

16、元數(shù)據(jù)是最新的并且不在使用狀態(tài)中。最后，我們還提供了兩個腳本-metaback.vbs和metarest.vbs-它們位于Inetpub/IISSamples/sdk/admin（如果你在IIS 5.0上安裝了IIS SDK）文件夾中或在IIS Resource Kit/Utility/ADSI Admin Scripts文件夾（如果你安裝了IIS 4.0 Resource Kit）中。這些.vbs腳本使用了一個ADSI命令，它是專門為創(chuàng)建元數(shù)據(jù)備份而提供的。6、利用WIS (Web Injection Scanner)工具對整個網(wǎng)站進行SQL Injection 脆弱性掃描.7、如果需要加裝支持，的安裝目錄網(wǎng)站匿名用戶一定要有讀的權(quán)限。8、為了防止跨站瀏覽，建議每個網(wǎng)站，使用不同的來賓賬號進行訪問。設(shè)置方法：A、右擊我