機(jī)房服務(wù)器硬件配置方案

1、機(jī)房服務(wù)器硬件配置方案一、 入門級(jí)常規(guī)服務(wù)器硬配置方案：硬件名稱基本參數(shù)數(shù)量參考價(jià)CPU奔騰E2160系列，LPGA封裝，雙核，工作功率65W，核心電壓1.25V,主頻1800MHZ，總線頻率800MHZ，倍頻9，外頻200MHZ，128M一級(jí)緩存，1M二級(jí)緩存，指令集 MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T1￥460內(nèi)存Kingston DDRII 667 1G,采用PBGA封，頻率667MHZ1￥135主板采用Intel P965/ICH8芯片組，集成Realtek ALC 662聲卡芯片，適用Core2 Extreme/Core 2 Quad/Core 2 Du

2、o/奔騰4/賽揚(yáng)D/PentiumD系列處理器。前端總線頻率FSB 1066MHz1￥599硬盤臺(tái)式機(jī) 硬盤容量:160GB 轉(zhuǎn)速/分:7200轉(zhuǎn)/分 緩存（KB）:8000KB 接口類型:Serial ATA 接口速率:Serial ATA 3001￥380機(jī)箱機(jī)箱類型:金河田颶風(fēng)II 機(jī)箱樣式:立式 機(jī)箱結(jié)構(gòu):Micro ATX/ATX 3.5英寸倉(cāng)位:1個(gè)軟驅(qū)倉(cāng)位+6個(gè)硬盤倉(cāng)位 光驅(qū)倉(cāng)位:4個(gè) 產(chǎn)品電源:金河田355WB 3C1￥230光驅(qū)選配，普通DVD光驅(qū)1-散熱器熱器類型:CPU散熱器 散熱方式:風(fēng)冷 風(fēng)扇轉(zhuǎn)數(shù)（RPM）:2200 軸承類型:合金軸承 適用范圍:Intel LGA7

3、75 Conroe、PentiumD、Pentium4 Celeron D全系列 最大風(fēng)量(CFM):43CFM1￥60UPSUPS電源類型:后備式UPS 額定輸出容量:0.5kva1￥200穩(wěn)壓器選配1-顯示器普通顯示器1-鼠標(biāo)鍵盤普通PS鍵盤和鼠標(biāo)1￥100備注：作為WEB服務(wù)器，首先要保證不間斷電源，機(jī)房要控制好相對(duì)溫度和濕度。這里有額外配置的UPS不間斷電源和穩(wěn)壓器，此服務(wù)器配置能勝基本的WEB請(qǐng)求服務(wù)，如大量的數(shù)據(jù)交換，文件讀寫，可能會(huì)存在帶寬瓶頸。二、 頂級(jí)服務(wù)器配置方案硬件名稱基本參數(shù)采用DELL PowerEdge 2900(Xeon E5310/2GB/146GB) 配置CP

4、UPowerEdge 2900 CPU頻率1600MHZ，標(biāo)配2個(gè)Xeon E5310處理器，8M緩存。內(nèi)存FB-DIMM，2GB，最大可配置48GB主板Inter 5000X系列，F(xiàn)SB總線頻率4066MHZ，6個(gè)擴(kuò)展槽；集成ATI ES1000控制器,含16MB SDRAM硬盤SAS結(jié)構(gòu)，146GB容量；標(biāo)配內(nèi)置硬盤托架支持多達(dá)8塊3.5"SAS或SATA熱插拔硬盤；支持兩個(gè)半高(HH)驅(qū)動(dòng)器托架提供磁帶或光驅(qū)設(shè)備(可選CD-ROM、可選DVD-ROM或一體化CD-RW/DVD-ROM）網(wǎng)卡雙嵌入式Broadcom NetXtreme II 5708千兆以太網(wǎng)卡機(jī)箱478.9&#

5、215;226.6×674.3mm標(biāo)準(zhǔn)接口2個(gè)RJ-45(支持內(nèi)置1GB NIC)后置、1個(gè)串口后置、6個(gè)通用串行總線(USB) 2.0端口(兩個(gè)前置、4個(gè)后置)、2個(gè)視頻(1個(gè)前置、1個(gè)后置)散熱器6個(gè)+2個(gè)熱插拔冗余風(fēng)扇(6個(gè)標(biāo)配,外加每個(gè)電源1個(gè)風(fēng)扇)管理工具OpenManage、標(biāo)配主板管理控制器,含IMPI 2.0支持、可選DRAC 5/i的先進(jìn)功能備注：1， 系統(tǒng)支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64

6、Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition2， 工作環(huán)境：相對(duì)工作溫度10-35，相對(duì)工作濕度20%-80% 無(wú)冷凝，相對(duì)存儲(chǔ)溫度-40-65，相對(duì)濕度5%-95% 無(wú)冷凝3， 以上配置為統(tǒng)一硬件配置，為DELL系列服務(wù)器標(biāo)準(zhǔn)配置，參考價(jià)位￥13000WEB 服務(wù)器軟件配置和安全配置方案一、系統(tǒng)的安裝 、按照Windows2003安裝光盤的提示安裝，默認(rèn)情況下2003沒(méi)有把IIS6.0安裝在系統(tǒng)里面。、IIS6.0的

7、安裝開始菜單>控制面板>添加或刪除程序>添加/刪除Windows組件應(yīng)用程序 ASP.NET（可選）|啟用網(wǎng)絡(luò) COM+ 訪問(wèn)（必選）|Internet 信息服務(wù)(IIS)Internet 信息服務(wù)管理器（必選） |公用文件（必選） |萬(wàn)維網(wǎng)服務(wù)Active Server pages（必選） |Internet 數(shù)據(jù)連接器（可選） |WebDAV 發(fā)布（可選） |萬(wàn)維網(wǎng)服務(wù)（必選） |在服務(wù)器端的包含文件（可選）然后點(diǎn)擊確定>下一步安裝。、系統(tǒng)補(bǔ)丁的更新點(diǎn)擊開始菜單>所有程序>Windows Update按照提示進(jìn)行補(bǔ)丁的安裝。、備份系統(tǒng)用GHOST備份系統(tǒng)

8、。、安裝常用的軟件例如：殺毒軟件、解壓縮軟件等；安裝之后用GHOST再次備份系統(tǒng)。二、系統(tǒng)權(quán)限的設(shè)置、磁盤權(quán)限系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤Window

9、sSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限、本地安全策略設(shè)置開始菜單>管理工具>本地安全策略A、本地策略>審核策略 審核策略更改成功失敗審核登錄事件成功失敗審核對(duì)象訪問(wèn)失敗審核過(guò)程跟蹤無(wú)審核審核目錄服務(wù)訪問(wèn)失敗審核特權(quán)使用失敗審核系統(tǒng)事件成功失敗審核賬戶登錄事件成功失敗審核賬戶管理成功失敗B、本地策略>用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。通過(guò)終端服務(wù)拒絕登陸：加入Guests、User組通過(guò)終端服務(wù)允許登陸：只加入A

10、dministrators組，其他全部刪除C、本地策略>安全選項(xiàng)交互式登陸：不顯示上次的用戶名啟用網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問(wèn)：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證啟用網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享全部刪除網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命全部刪除網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑全部刪除 網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑全部刪除 帳戶：重命名來(lái)賓帳戶重命名一個(gè)帳戶 帳戶：重命名系統(tǒng)管理員帳戶重命名一個(gè)帳戶、禁用不必要的服務(wù)開始菜單>管理工具>服務(wù)Print Spooler Remote RegistryTCP/IP NetBIOS HelperServer 以上

11、是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒(méi)特別需要的話不要啟動(dòng)。、啟用防火墻桌面>網(wǎng)上鄰居>（右鍵）屬性>本地連接>（右鍵）屬性>高級(jí)>（選中）Internet 連接防火墻>設(shè)置把服務(wù)器上面要用到的服務(wù)端口選中例如：一臺(tái)WEB服務(wù)器，要提供WEB（80）、）服務(wù)及遠(yuǎn)程桌面管理（3389）在“FTP 服務(wù)器”、“WEB服務(wù)器（HTTP）”、“遠(yuǎn)程桌面”前面打上對(duì)號(hào)如果你要提供服務(wù)的端口不在里面，你也可以點(diǎn)擊“添加”銨鈕來(lái)添加，具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。然后點(diǎn)擊確定。注意：如果是遠(yuǎn)程管理這臺(tái)服務(wù)

12、器，請(qǐng)先確定遠(yuǎn)程管理的端口是否選中或添加。 三、 Windows 2003安全配置 確保所有磁盤分區(qū)為NTFS分區(qū) 操作系統(tǒng)、Web主目錄、日志分別安裝在不同的分區(qū) 不要安裝不需要的協(xié)議，比如IPX/SPX, NetBIOS? 不要安裝其它任何操作系統(tǒng) 安裝所有補(bǔ)?。ㄓ萌鹦前踩┒磼呙柘螺d） 關(guān)閉所有不需要的服務(wù)* Alerter (disable) * ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* service (di

13、sable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* S

14、chedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* Telephone Service (disable). 帳號(hào)和密碼策略1） 保證禁止guest帳號(hào)2） 將administrator改名為比較難猜的帳號(hào)3） 密碼唯一性：記錄上次的 6 個(gè)密碼4） 最短密碼期限：25） 密碼最長(zhǎng)期限：426） 最短密碼長(zhǎng)度：87） 密碼復(fù)雜化(passfilt.dll)：?jiǎn)⒂?） 用戶必須登錄方能更改密碼：?jiǎn)⒂?） 帳號(hào)失敗登錄鎖

15、定的時(shí)限：610）鎖定后重新啟用的時(shí)間間隔：720分鐘保護(hù)文件和目錄將C:winnt, C:winntconfig, C:winntsystem32, C:winntsystem等目錄的訪問(wèn)權(quán)限做限制，限制everyone的寫權(quán)限，限制users組的讀寫權(quán)限注冊(cè)表一些條目的修改1） 去除logon對(duì)話框中的shutdown按鈕將HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中ShutdownWithoutLogon REG_SZ 值設(shè)為02） 去除logon信息的cashing功能將HKEY_LOCAL_

16、MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中CachedLogonsCount REG_SZ 值設(shè)為04）限制LSA匿名訪問(wèn)將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中RestriCanonymous REG_DWORD 值設(shè)為1 5） 去除所有網(wǎng)絡(luò)共享將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters中AutoShareServer REG_DWORD 值設(shè)為0四、I

17、IS的安全配置 關(guān)閉并刪除默認(rèn)站點(diǎn)： 默認(rèn)FTP站點(diǎn)默認(rèn)Web站點(diǎn)管理Web站點(diǎn) 建立自己的站點(diǎn)，與系統(tǒng)不在一個(gè)分區(qū)，如D: 建立 E:Logfiles 目錄，以后建立站點(diǎn)時(shí)的日志文件均位于此目錄，確保此目錄上的訪問(wèn)控制權(quán)限是： Administrators（完全控制）System（完全控制） 刪除IIS的部分目錄： IISHelp C:winnthelpiishelp IISAdmin C:system32inetsrviisadmin MSADC C:Program FilesCommon FilesSystemmsadc刪除 C:inetpub . 刪除不必要的IIS映射和擴(kuò)展： IIS

18、 被預(yù)先配置為支持常用的文件名擴(kuò)展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請(qǐng)求時(shí)，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴(kuò)展或功能，則應(yīng)刪除該映射，步驟如下： 選擇計(jì)算機(jī)名，點(diǎn)鼠標(biāo)右鍵，選擇屬性： 然后選擇編輯然后選擇主目錄， 點(diǎn)擊配置選擇擴(kuò)展名 .htw,.htr,.idc,.ida,.idq和.printer，點(diǎn)擊刪除如果不使用server side include，則刪除.shtm .stm 和 .shtml. 禁用父路徑 :“父路徑”選項(xiàng)允許您在對(duì)諸如 MapPath 函數(shù)調(diào)用中使用“.”。在默認(rèn)情況下，該選項(xiàng)處于啟用狀態(tài)，應(yīng)該禁用它。 禁用該選項(xiàng)的步驟

19、如下：右鍵單擊該 Web 站點(diǎn)的根，然后從上下文菜單中選擇“屬性”。 單擊“主目錄”選項(xiàng)卡。 單擊“配置”。 單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡。 取消選擇“啟用父路徑”復(fù)選框。 . 在虛擬目錄上設(shè)置訪問(wèn)控制權(quán)限 主頁(yè)使用的文件按照文件類型應(yīng)使用不同的訪問(wèn)控制列表： CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators（完全控制）System（完全控制）腳本文件 (.asp) Everyone (X) Administrators（完全控制） System（完全控制） include 文件 (.inc, .shtm, .shtml) Every

20、one (X) Administrators（完全控制）System（完全控制） 靜態(tài)內(nèi)容 (.txt, .gif, .jpg, .html) Everyone (R) Administrators（完全控制） System（完全控制） 在創(chuàng)建Web站點(diǎn)時(shí)，沒(méi)有必要在每個(gè)文件上設(shè)置訪問(wèn)控制權(quán)限，應(yīng)該為每個(gè)文件類型創(chuàng)建一個(gè)新目錄，然后在每個(gè)目錄上設(shè)置訪問(wèn)控制權(quán)限、允許訪問(wèn)控制權(quán)限傳給各個(gè)文件。例如，目錄結(jié)構(gòu)可為以下形式： D:myserverstatic (.html) D:myserverinclude (.inc) D:myserver script (.asp) D:myserver ex

21、ecutable (.dll)D:myserverimages (.gif, .jpeg). 啟用日志記錄 確定服務(wù)器是否被攻擊時(shí)，日志記錄是極其重要的。應(yīng)使用 W3C 擴(kuò)展日志記錄格式，步驟如下： 打開 Internet 服務(wù)管理器：右鍵單擊站點(diǎn)，然后從上下文菜單中選擇“屬性”。 單擊“Web 站點(diǎn)”選項(xiàng)卡。 選中“啟用日志記錄”復(fù)選框。從“活動(dòng)日志格式”下拉列表中選擇“W3C 擴(kuò)展日志文件格式”。 單擊“屬性”。單擊“擴(kuò)展屬性”選項(xiàng)卡，然后設(shè)置以下屬性： * 客戶 IP 地址 * 用戶名 * 方法 * URI 資源 * HTTP 狀態(tài) * Win32 狀態(tài) * 用戶代理 * 服務(wù)器 IP

22、地址 * 服務(wù)器端口五、刪除Windows Server 2003默認(rèn)共享 和禁用IPC連接 IPC$(Internet Process Connection)是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開放的命名管道，通過(guò)提供可信任的用戶名和口令，連接雙方計(jì)算機(jī)即可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。它是Windows NT/2000/XP/2003特有的功能，但它有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè)IP之間只允許建立一個(gè)連接。NT/2000/XP/2003在提供了ipc$功能的同時(shí)，在初次安裝系統(tǒng)時(shí)還打開了默認(rèn)共享，即所有的邏輯共享(c$,d$,e$)

23、和系統(tǒng)目錄winnt或windows(admin$)共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但也為簡(jiǎn)稱為IPC入侵者有意或無(wú)意的提供了方便條件，導(dǎo)致了系統(tǒng)安全性能的降低。在建立IPC的連接中不需要任何黑客工具，在命令行里鍵入相應(yīng)的命令就可以了，不過(guò)有個(gè)前提條件，那就是你需要知道遠(yuǎn)程主機(jī)的用戶名和密碼。打開CMD后輸入如下命令即可進(jìn)行連接：net useipipc$ password /user:usernqme。我們可以通過(guò)修改注冊(cè)表來(lái)禁用IPC連接。打開注冊(cè)表編輯器。找到如下組建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLs

24、a中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接 六、清空遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑 大家都知道，Windows 2003操作系統(tǒng)提供了注冊(cè)表的遠(yuǎn)程訪問(wèn)功能，只有將遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑設(shè)置為空，這樣才能有效的防止黑客利用掃描器通過(guò)遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息.打開組策略編輯器，依次展開“計(jì)算機(jī)配置Windows 設(shè)置安全設(shè)置本地策略安全選項(xiàng)”，在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑”，然后在打開的窗口中，將可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑內(nèi)容全部設(shè)置為空即可（如圖7）。 七、關(guān)閉不必要的端口 對(duì)于個(gè)人用戶來(lái)說(shuō)安裝中默認(rèn)的有些端口確實(shí)是沒(méi)有什么必要

25、的，關(guān)掉端口也就是關(guān)閉無(wú)用的服務(wù)。139端口是NetBIOS協(xié)議所使用的端口，在安裝了TCP/IP 協(xié)議的同時(shí)，NetBIOS 也會(huì)被作為默認(rèn)設(shè)置安裝到系統(tǒng)中。139端口的開放意味著硬盤可能會(huì)在網(wǎng)絡(luò)中共享；網(wǎng)上黑客也可通過(guò)NetBIOS知道你的電腦中的一切！在以前的Windows版本中，只要不安裝Microsoft網(wǎng)絡(luò)的文件和打印共享協(xié)議，就可關(guān)閉139端口。但在Windows Server 2003中，只這樣做是不行的。如果想徹底關(guān)閉139端口，具體步驟如下： 鼠標(biāo)右鍵單擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，進(jìn)入“網(wǎng)絡(luò)和撥號(hào)連接”，再用鼠標(biāo)右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接 屬性”頁(yè)

26、（如圖8）， 然后去掉“Microsoft網(wǎng)絡(luò)的文件和打印共享”前面的“”（如圖9）， 接下來(lái)選中“Internet協(xié)議(TCP/IP)”，單擊“屬性”“高級(jí)”“WINS”，把“禁用TCP/IP上的NetBIOS”選中，即任務(wù)完成(如圖10)！ 對(duì)于個(gè)人用戶來(lái)說(shuō)，可以在各項(xiàng)服務(wù)屬性設(shè)置中設(shè)為“禁用”，以免下次重啟服務(wù)也重新啟動(dòng)，端口也開放了。 假如你的電腦中還裝了IIS，你最好重新設(shè)置一下端口過(guò)濾。步驟如下：選擇網(wǎng)卡屬性，然后雙擊“Internet協(xié)議(TCP/IP)”，在出現(xiàn)的窗口中單擊“高級(jí)”按鈕，會(huì)進(jìn)入“高級(jí)TCP/IP設(shè)置”窗口，接下來(lái)選擇“選項(xiàng)”標(biāo)簽下的“TCP/IP 篩選”項(xiàng)，點(diǎn)“

27、屬性”按鈕，會(huì)來(lái)到“TCP/IP 篩選”的窗口，在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“”，然后根據(jù)需要配置就可以了。如果你只打算瀏覽網(wǎng)頁(yè)，則只開放TCP端口80即可，所以可以在“TCP端口”上方選擇“只允許”，然后單擊“添加”按鈕，輸入80再單擊“確定”即可 八、杜絕非法訪問(wèn)應(yīng)用程序 Windows Server 2003是一種服務(wù)器操作系統(tǒng)，為了防止登陸到其中的用戶，隨意啟動(dòng)服務(wù)器中的應(yīng)用程序，給服務(wù)器的正常運(yùn)行帶來(lái)不必要的麻煩，我們很有必要根據(jù)不同用戶的訪問(wèn)權(quán)限，來(lái)限制。 他們?nèi)フ{(diào)用應(yīng)用程序。實(shí)際上我們只要使用組策略編輯器作進(jìn)一步的設(shè)置，即可實(shí)現(xiàn)這一目的，具體步驟如下：

28、 打開“組策略編輯器”的方法為：依次點(diǎn)擊“開始運(yùn)行”，在“運(yùn)行”對(duì)話框中鍵入“gpedit.msc”命令并回車，即可打開“組策略編輯器”窗口。然后依次打開“組策略控制臺(tái)用戶配置管理模板系統(tǒng)”中的“只運(yùn)行許可的應(yīng)用程序”并啟用此策略.然后點(diǎn)擊下面的“允許的應(yīng)用程序列表”邊的“顯示”按鈕，彈出一個(gè)“顯示內(nèi)容”對(duì)話框，在此單擊“添加”按鈕來(lái)添加允許運(yùn)行的應(yīng)用程序即可九、設(shè)置和管理賬戶 1、系統(tǒng)管理員賬戶最好少建，更改默認(rèn)的管理員帳戶名(Administrator)和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長(zhǎng)度最好不少于14位。 2、新建一個(gè)名為Administrator的陷阱帳號(hào)，為其

29、設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼 3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個(gè)復(fù)雜的密碼，當(dāng)然現(xiàn)在也有一個(gè)DelGuest的工具，也許你也可以利用它來(lái)刪除Guest賬戶，但我沒(méi)有試過(guò)。 4、在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無(wú)效”，“鎖定時(shí)時(shí)間間隔60分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。 5、在安全設(shè)置-本地策略-安全選項(xiàng)中將“不顯示上次的用戶名”設(shè)為啟用 6、在安全設(shè)置-本地策略-用戶權(quán)利分配中將“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”中只保留Internet來(lái)賓

30、賬戶、啟動(dòng)IIS進(jìn)程賬戶。如果你使用了A還要保留Aspnet賬戶。 7、創(chuàng)建一個(gè)User賬戶，運(yùn)行系統(tǒng)，如果要運(yùn)行特權(quán)命令使用Runas命令。 十、網(wǎng)絡(luò)服務(wù)安全管理 1、禁止C$、D$、ADMIN$一類的缺省共享 2、 解除NetBios與TCP/IP協(xié)議的綁定 3、關(guān)閉不需要的服務(wù)，以下為建議選項(xiàng) Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新，禁用 Distributed : 局域網(wǎng)管理共享文件，不需要禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用 Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告 Micros

31、oft Serch：提供快速的單詞搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用 PrintSpooler：如果沒(méi)有打印機(jī)可禁用 Remote Registry：禁止遠(yuǎn)程修改注冊(cè)表 Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助 十一、打開相應(yīng)的審核策略 在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項(xiàng)目時(shí)需要注意的是如果審核的項(xiàng)目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果

32、審核的太少也會(huì)影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情況在這二者之間做出選擇。 推薦的要審核的項(xiàng)目是： 登錄事件 成功失敗 賬戶登錄事件成功 失敗 系統(tǒng)事件 成功失敗 策略更改 成功失敗 對(duì)象訪問(wèn) 失敗 目錄服務(wù)訪問(wèn)失敗 特權(quán)使用 失敗 十二、其它安全相關(guān)設(shè)置 1、隱藏重要文件/目錄 2、啟動(dòng)系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。 3、防止SYN洪水攻擊 4. 禁止響應(yīng)ICMP路由通告報(bào)文 5. 防止ICMP重定向報(bào)文的攻擊 6. 不支持IGMP協(xié)議 7、禁用DCOM： 十三、配置 IIS 服務(wù)： 1、不使用默認(rèn)的Web站點(diǎn)，如果使用也要將 將IIS目錄與系統(tǒng)磁盤分

33、開。 2、刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄（在安裝系統(tǒng)的盤上）。 3、刪除系統(tǒng)盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 4、刪除不必要的IIS擴(kuò)展名映射。 右鍵單擊“默認(rèn)Web站點(diǎn)屬性主目錄配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為.shtml, .shtm, .stm 5、更改IIS日志的路徑 右鍵單擊“默認(rèn)Web站點(diǎn)屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性 6、如果使用的是2000可以使用iislockdown來(lái)保護(hù)IIS，在2003運(yùn)行的IE6.0的版本不需要。 7、使用U

34、rlScan 但如果你在服務(wù)器運(yùn)行ASP.NET程序，并要進(jìn)行調(diào)試你需打開要%WINDIR%System32InetsrvURLscan 文件夾中的URLScan.ini 文件，然后在UserAllowVerbs節(jié)添加debug謂詞，注意此節(jié)是區(qū)分大小寫的。 如果你的網(wǎng)頁(yè)是.asp網(wǎng)頁(yè)你需要在DenyExtensions刪除.asp相關(guān)的內(nèi)容。 如果你的網(wǎng)頁(yè)使用了非ASCII代碼，你需要在Option節(jié)中將AllowHighBitCharacters的值設(shè)為1 在對(duì)URLScan.ini 文件做了更改后，你需要重啟IIS服務(wù)才能生效，快速方法運(yùn)行中輸入iisreset 如果你在配置后出現(xiàn)什么問(wèn)

35、題，你可以通過(guò)添加/刪除程序刪除UrlScan。 8、利用WIS (Web Injection Scanner)工具對(duì)整個(gè)網(wǎng)站進(jìn)行SQL Injection 脆弱性掃描. 十四、配置Sql服務(wù)器 1、System Administrators 角色最好不要超過(guò)兩個(gè) 2、如果是在本機(jī)最好將身份驗(yàn)證配置為Win登陸 3、不要使用Sa賬戶，為其配置一個(gè)超級(jí)復(fù)雜的密碼 4、刪除以下的擴(kuò)展存儲(chǔ)過(guò)程格式為： use master sp_dropextendedproc '擴(kuò)展存儲(chǔ)過(guò)程名' xp_cmdshell：是進(jìn)入操作系統(tǒng)的最佳捷徑，刪除 訪問(wèn)注冊(cè)表的存儲(chǔ)過(guò)程，刪除 Xp_regadd

36、multistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE自動(dòng)存儲(chǔ)過(guò)程，不需要?jiǎng)h除 Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop 5、隱藏 SQL Server、更改默認(rèn)的1433端口 右擊實(shí)例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實(shí)例，并改原默認(rèn)

37、的1433端口。 十五、如果只做服務(wù)器，不進(jìn)行其它操作，使用IPSec 1、管理工具本地安全策略右擊IP安全策略管理IP篩選器表和篩選器操作在管理IP篩選器表選項(xiàng)下點(diǎn)擊 添加名稱設(shè)為Web篩選器點(diǎn)擊添加在描述中輸入Web服務(wù)器將源地址設(shè)為任何IP地址將目標(biāo)地址設(shè)為我的IP地址協(xié)議類型設(shè)為TcpIP協(xié)議端口第一項(xiàng)設(shè)為從任意端口，第二項(xiàng)到此端口80點(diǎn)擊完成點(diǎn)擊確定。 2、再在管理IP篩選器表選項(xiàng)下點(diǎn)擊 添加名稱設(shè)為所有入站篩選器點(diǎn)擊添加在描述中輸入所有入站篩選將源地址設(shè)為任何IP地址將目標(biāo)地址設(shè)為我的IP地址協(xié)議類型設(shè)為任意點(diǎn)擊下一步完成點(diǎn)擊確定。 3、在管理篩選器操作選項(xiàng)下點(diǎn)擊添加下一步名稱中輸

38、入阻止下一步選擇阻止下一步完成關(guān)閉管理IP篩選器表和篩選器操作窗口 4、右擊IP安全策略創(chuàng)建IP安全策略下一步名稱輸入數(shù)據(jù)包篩選器下一步取消默認(rèn)激活響應(yīng)原則下一步完成 5、在打開的新IP安全策略屬性窗口選擇添加下一步不指定隧道下一步所有網(wǎng)絡(luò)連接下一步在IP篩選器列表中選擇新建的Web篩選器下一步在篩選器操作中選擇許可下一步完成在IP篩選器列表中選擇新建的阻止篩選器下一步在篩選器操作中選擇阻止下一步完成確定 6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器，點(diǎn)擊指派，不需要重啟，IPSec就可生效. 十七、如何配置一臺(tái)堅(jiān)固安全的win2003服務(wù)器1)確定你要用它來(lái)干什么，需要開什么服務(wù)，什

39、么是不必要的，沒(méi)用地就別裝(像Index什么的)，不必要的服務(wù)全都可以關(guān)掉。 在控制面版=>管理=>工具中，自己看著辦，如下服務(wù)是一定要禁止的： Remote Registry Service RunAs Service Task Scheduler Telnet Windows Time 其他不必要的服務(wù)可以設(shè)為手動(dòng)方式。 SNMP Service和SNMP Trap Service最好也關(guān)掉，要用的話，把管理公共字改掉。 2)打補(bǔ)丁。 確定你打上了Win2k SP2; 3)IIS配置。 1，在IIS管理器中，去處所有不必要的擴(kuò)展關(guān)聯(lián)(基本上除了ASP/ASA等幾個(gè)必要的和CGI

40、之類的外，其他都可以去掉) 有可能的話，可以安裝一個(gè)SecureIIS，還是有一定效果的。 2，校驗(yàn)ftp權(quán)限，差不多就自己看著辦吧，不要被人家tag就可以了_* 4)MSSQL。 首先，記得一定要加一個(gè)難記得密碼，不然就什么都完了。 然后記得升級(jí)SQL 7.0 SP2和SQL 2k SP1. 5)Terminal Server。 打了SP2基本就沒(méi)太大問(wèn)題，只要你的系統(tǒng)不是沒(méi)密碼. 高級(jí)部分： 1)類防火墻限制。 這需要我們打開MS的IPSEC服務(wù)，然后選擇 網(wǎng)絡(luò)設(shè)置=>網(wǎng)絡(luò)界面 屬性=> TCP/IP =>高級(jí) =>選項(xiàng) 簡(jiǎn)單一點(diǎn)的話，就用TCP/IP篩選，確定指開

41、放那些端口，比如80，1433等等(可惜開放ftp服務(wù)的話，經(jīng)常會(huì)亂開端口的，難以確定)； 要求高級(jí)的話，自己定義一個(gè)IPSEC策略，可以精確的過(guò)濾例如某種ICMP類型等等.可以做到水泄不通哦，不要到時(shí)候你自己也進(jìn)不去了就好_* 2)NetBIOS設(shè)置。 歷史以來(lái)，netbios是僅次于IIS的winnt安全問(wèn)題最多的服務(wù)，簡(jiǎn)直就是后門打開。 至少做這樣一條設(shè)置：注冊(cè)表編輯 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1 可以禁止IPC$空用戶連接，防止信息泄漏和其他更嚴(yán)重的安全問(wèn)題。 3)Termina

42、l Server加強(qiáng)。 注冊(cè)表編輯：HKEY_LOCAL_ MACHINESOFTWAREMicrosoft WindowsNTCurrentVersionWinlogonDont Display Last User Name=1 可以讓別人在ts中看不到你上次登錄的用戶名，有安全了一點(diǎn)點(diǎn)(記住，別人獲取你的信息越少，你就越安全) 4)系統(tǒng)文件目錄權(quán)限檢查。 基本的策略，可以在文件屬性中修改，避免有everyone完全控制的目錄，大部分文件最好禁止everyone寫，甚至讀。 對(duì)于系統(tǒng)的重要文件和目錄，例如system32等等，可以用Win2k Resouece Kit中的一個(gè)工具xacls詳細(xì)的加強(qiáng)訪問(wèn)控制。 5)預(yù)防信息監(jiān)測(cè)和DOS 攻擊必要的話，打開RSAS或者自己添加一個(gè)IPSEC安全策略，過(guò)濾掉ICMP Echo和Redrict類型，這樣別人ping你就不會(huì)有反映，而如果ping不通的話，可能別人就此罷手了_* 而且缺省配置下，很多的漏洞掃描器ping不通就不掃了，西西。(當(dāng)然啦，如果你有更強(qiáng)的防火墻，哪就更好) 一定程度的DoS預(yù)防： 在注冊(cè)表HKLMS