WEB-服務(wù)器硬件配置計(jì)劃

PAGE第PAGE壹頁(yè)=PAGE1WEB服務(wù)器硬件配置方案入門級(jí)常規(guī)服務(wù)器硬配置方案:硬件名稱基本參數(shù)數(shù)量參考價(jià)CＰU奔騰E2160系列,ＬPGＡ封裝，雙核，工作功率６5W，核心電壓１．25V,主頻18０0MHＺ，總線頻率800MHZ，倍頻9，外頻２00ＭＨZ，12８M一級(jí)緩存，１M二級(jí)緩存，指令集MＭX/SSE/ＳSE2／SSE3/Sup-SSE3/EM64T1￥４60內(nèi)存KｉnｇstoｎＤＤRＩI6671G，采納PＢGＡ封，頻率６６7MHZ1￥1３5主板采納ＩｎteｌP９６5/ＩＣH8芯片組,集成RealｔekALC６62聲卡芯片,適用Cｏre２Extreme/Ｃorｅ２Ｑｕad/Ｃｏrｅ2Dｕｏ／奔騰4／賽揚(yáng)Ｄ/ＰeｎｔiumD系列處理器。前端總線頻率ＦＳB10６6MＨz1￥599硬盤臺(tái)式機(jī)硬盤容量:１60ＧB轉(zhuǎn)速/分:7２0０轉(zhuǎn)/分緩存（KＢ)：80０0KB接口類型：ＳerｉａlAＴＡ接口速率：ＳeｒialATA3001￥380機(jī)箱機(jī)箱類型：金河田颶風(fēng)ＩI機(jī)箱樣式：立式機(jī)箱結(jié)構(gòu)：MｉcｒｏATX/ATX３。5英寸倉(cāng)位：1個(gè)軟驅(qū)倉(cāng)位+6個(gè)硬盤倉(cāng)位光驅(qū)倉(cāng)位:4個(gè)產(chǎn)品電源:金河田355WＢ３C1￥2３0光驅(qū)選配,一般DＶD光驅(qū)1-散熱器熱器類型:CＰＵ散熱器散熱方式:風(fēng)冷風(fēng)扇轉(zhuǎn)數(shù)（RＰM)：２200軸承類型:合金軸承適用范圍:IntｅｌＬGA77５Conｒoe、PeｎtiｕmD、Penｔｉum4CeｌeronD全系列最大風(fēng)量（ＣＦＭ）:４3ＣFＭ１￥６0UPSＵPS電源類型:后備式ＵPS額定輸出容量:0。５kｖａ1￥200穩(wěn)壓器選配1—顯示器一般顯示器１—鼠標(biāo)鍵盤一般PS鍵盤和鼠標(biāo)1￥100備注：作為WEB服務(wù)器，首先要保證不間斷電源，機(jī)房要掌握好相對(duì)溫度和濕度。這里有額外配置的UＰS不間斷電源和穩(wěn)壓器，此服務(wù)器配置能勝基本的ＷＥB懇求服務(wù),如大量的數(shù)據(jù)交換，文件讀寫，可能會(huì)存在帶寬瓶頸。頂級(jí)服務(wù)器配置方案硬件名稱基本參數(shù)采納ＤELLPoｗeｒＥdｇe2900(XeｏnE53１０/2ＧB/１4６GB）配置ＣPＵＰｏwerEdgｅ29０0CPＵ頻率１600ＭHZ，標(biāo)配２個(gè)ＸｅoｎＥ5310處理器,8M緩存。內(nèi)存FＢ-ＤIMM,2ＧB，最大可配置48ＧB主板Inter５000Ｘ系列，ＦＳB總線頻率４06６ＭHZ,6個(gè)擴(kuò)展槽;集成ATＩES10０0掌握器，含１6ＭＢＳDRAM硬盤SAS結(jié)構(gòu)，146GＢ容量；標(biāo)配內(nèi)置硬盤托架支持多達(dá)8塊3.５＂ＳAS或ＳATA熱插拔硬盤；支持兩個(gè)半高（HH)驅(qū)動(dòng)器托架供應(yīng)磁帶或光驅(qū)設(shè)備(可選CD－ＲOM、可選DVD—ROM或一體化CD—RW/DVD-ROM）網(wǎng)卡雙嵌入式BｒoadcoｍNeｔＸtremeＩＩ５7０８千兆以太網(wǎng)卡機(jī)箱478．９×２26.6×6７４。3mｍ標(biāo)準(zhǔn)接口2個(gè)RＪ—45(支持內(nèi)置1GBNIC)后置、1個(gè)串口后置、6個(gè)通用串行總線(ＵSB）２.0端口(兩個(gè)前置、4個(gè)后置）、２個(gè)視頻（1個(gè)前置、１個(gè)后置)散熱器６個(gè)＋2個(gè)熱插拔冗余風(fēng)扇（6個(gè)標(biāo)配,外加每個(gè)電源1個(gè)風(fēng)扇）管理工具OpenMaｎaｇe、標(biāo)配主板管理掌握器,含ＩＭPI2．0支持、可選DＲＡＣ５／ｉ的先進(jìn)功能備注:系統(tǒng)支持WｉｎdowsＳervｅr2００３R２EntｅrpriｓeEdiｔion、WｉndowsSｅｒveｒ2００3R２WebＥdiｔｉoｎ、WinｄｏwsSｅrvｅr2００3R２x64EnterprｉｓeEditiｏn、ＷindowsServer２0０３R2ｘ64SｔaｎdardEdition、WｉｎdowsStｏrａｇeServｅr２0０3R2WorkgroupEdition工作環(huán)境：相對(duì)工作溫度１0℃-35℃，相對(duì)工作濕度20%—80％無(wú)冷凝，相對(duì)存儲(chǔ)溫度-40℃—65℃，相對(duì)濕度5%—95％無(wú)冷凝以上配置為統(tǒng)一硬件配置，為DELＬ系列服務(wù)器標(biāo)準(zhǔn)配置，參考價(jià)位￥１３000ＷＥB服務(wù)器軟件配置和平安配置方案一、系統(tǒng)的安裝

1、依據(jù)Ｗｉｎdoｗs２０03安裝光盤的提示安裝，默認(rèn)情況下2０03沒(méi)有把IIS6．0安裝在系統(tǒng)里面.

２、ＩIＳ６.0的安裝?開頭菜單-〉掌握面板—>添加或刪除程序—〉添加/刪除Windowｓ組件

應(yīng)用程序—-—AＳP.ＮET(可選）

|—-啟用網(wǎng)絡(luò)CＯM+訪問(wèn)(必選）?｜-—Iｎternｅt信息服務(wù)(IIS）——-Ｉnterｎeｔ信息服務(wù)管理器(必選)

｜——公用文件(必選）?｜——萬(wàn)維網(wǎng)服務(wù)———ActiveSerｖerpageｓ(必選）?｜——Inｔeｒｎet數(shù)據(jù)連接器（可選)?｜—-WebＤＡV發(fā)布（可選)?｜—-萬(wàn)維網(wǎng)服務(wù)（必選）?|——在服務(wù)器端的包含文件（可選）?然后點(diǎn)擊確定—〉下一步安裝。?3、系統(tǒng)補(bǔ)丁的更新?點(diǎn)擊開頭菜單—＞全部程序—>WiｎｄowsＵpdate?依據(jù)提示進(jìn)行補(bǔ)丁的安裝。

4、備份系統(tǒng)

用GＨＯSＴ備份系統(tǒng).?5、安裝常用的軟件?例如：殺毒軟件、解壓縮軟件等;安裝之后用GHOＳＴ再次備份系統(tǒng)。?二、系統(tǒng)權(quán)限的設(shè)置?1、磁盤權(quán)限

系統(tǒng)盤及全部磁盤只給Admｉnistratｏｒs組和SYSTEM的完全掌握權(quán)限

系統(tǒng)盤＼DocumeｎtsandSｅtｔings名目只給Ａｄｍiｎｉstratorｓ組和SYSＴEM的完全掌握權(quán)限?系統(tǒng)盤＼ＤocumeｎtｓａndSeｔｔｉｎｇｓ\AlｌＵsers名目只給Aｄminｉstratorｓ組和ＳYＳTＥM的完全掌握權(quán)限?系統(tǒng)盤＼Inｅｔpuｂ名目及下面全部名目、文件只給Aｄmｉnｉｓtｒatorｓ組和SＹSＴEＭ的完全掌握權(quán)限?系統(tǒng)盤＼Ｗinｄowｓ\Sｙsｔem32\cａcls．exe、cｍd。exe、ｎet.ｅxe、ｎet1.ｅxe文件只給Aｄminｉsｔｒａｔoｒs組和SYSTEM的完全掌握權(quán)限

２、本地平安策略設(shè)置?開頭菜單—＞管理工具—>本地平安策略?A、本地策略—->審核策略?審核策略更改成功失敗

審核登錄大事成功失敗

審核對(duì)象訪問(wèn)失敗

審核過(guò)程跟蹤無(wú)審核?審核名目服務(wù)訪問(wèn)失敗?審核特權(quán)使用失敗?審核系統(tǒng)大事成功失敗?審核賬戶登錄大事成功失敗?審核賬戶管理成功失敗?B、本地策略-—>用戶權(quán)限安排?關(guān)閉系統(tǒng)：只有Administrａt(yī)ors組、其它全部刪除。?通過(guò)終端服務(wù)拒絕登陸：加入Gｕeｓｔs、Ｕser組?通過(guò)終端服務(wù)允許登陸：只加入Aｄministrａt(yī)ｏrｓ組,其他全部刪除?C、本地策略——＞平安選項(xiàng)?交互式登陸：不顯示上次的用戶名啟用?網(wǎng)絡(luò)訪問(wèn)：不允許ＳＡＭ帳戶和共享的匿名枚舉啟用?網(wǎng)絡(luò)訪問(wèn):不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證啟用?網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享全部刪除

網(wǎng)絡(luò)訪問(wèn):可匿名訪問(wèn)的命全部刪除?網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑全部刪除?網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑全部刪除?帳戶：重命名來(lái)賓帳戶重命名一個(gè)帳戶?帳戶：重命名系統(tǒng)管理員帳戶重命名一個(gè)帳戶?3、禁用不必要的服務(wù)

開頭菜單—>管理工具—>服務(wù)?PrintSpooｌｅr?ReｍoteRegｉstrｙ?ＴＣＰ/ＩＰNeｔＢＩOSHelper?Servｅr

以上是在ＷｉndｏｗsＳｅｒｖｅr2003系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒(méi)格外需要的話不要啟動(dòng)。?４、啟用防火墻?桌面-〉網(wǎng)上鄰居—>（右鍵）屬性—〉本地連接—〉（右鍵）屬性—＞高級(jí)—>（選中）Ｉｎtｅrnet連接防火墻-〉設(shè)置?把服務(wù)器上面要用到的服務(wù)端口選中?例如:一臺(tái)ＷEB服務(wù)器，要供應(yīng)WEB（8０)、ＦTP（２１）服務(wù)及遠(yuǎn)程桌面管理（3389）

在“FTP服務(wù)器"、“ＷＥB服務(wù)器(ＨTTP）”、“遠(yuǎn)程桌面”前面打上對(duì)號(hào)?如果你要供應(yīng)服務(wù)的端口不在里面，你也可以點(diǎn)擊“添加”銨鈕來(lái)添加，簡(jiǎn)略參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。

然后點(diǎn)擊確定.注意：如果是遠(yuǎn)程管理這臺(tái)服務(wù)器，請(qǐng)先確定遠(yuǎn)程管理的端口是否選中或添加。三、Windoｗs2００3平安配置■．確保全部磁盤分區(qū)為NTFS分區(qū)■.操作系統(tǒng)、Wｅb主名目、日志分別安裝在不同的分區(qū)■．不要安裝不需要的協(xié)議,比如IPＸ/SＰX，NeｔＢＩOS？■。不要安裝其它任何操作系統(tǒng)■。安裝全部補(bǔ)?。ㄓ萌鹦瞧桨猜┒磼呙柘螺d）■．關(guān)閉全部不需要的服務(wù)＊Alertｅr(disａbｌｅ)＊ＣlｉpBoｏkＳerver（ｄiｓable)＊CompｕterBroｗｓeｒ（dｉsable)＊ＤHCPCｌieｎt(ｄｉsable)＊DｉｒｅctorｙRｅｐｌｉｃaｔｏｒ（diｓａｂｌe)*FＴPpｕｂlishingｓｅrvｉce(disaｂｌe)*ＬiｃeｎｓｅLoggingＳｅrviｃe（ｄiｓable）*Mｅsseｎger（disabｌe)＊Netlｏgｏn（disablｅ）＊ＮetwoｒkＤDＥ（disabｌｅ）*ＮetｗorｋDDEＤSDM(diｓable)＊ＮｅｔworｋＭoｎiｔｏr（dｉsable）＊PｌｕgandPｌａy(ｄisａbleafｔeraｌlhardｗａｒｅｃonｆｉgｕratｉoｎ）＊RｅmoteAcｃessServｅｒ（dｉsablｅ)＊RemotｅＰroceｄｕreＣalｌ(RPC)locaｔer(dｉｓａble)*Schedｕle（dｉｓablｅ)＊Ｓｅｒver（ｄｉsａble）＊SｉmpｌeＳｅｒｖｉｃｅｓ(ｄisabｌe)＊Spｏｏler（ｄisａbｌe）＊TＣP/IＰＮｅtbioｓHｅｌｐeｒ（disａｂlｅ)＊ＴelｅphoｎｅServiｃe(dｉsablｅ）■。帳號(hào)和密碼策略1)保證禁止guｅst帳號(hào)2)將aｄmiｎistrａt(yī)oｒ改名為比較難猜的帳號(hào)３)密碼唯一性：記錄上次的６個(gè)密碼4)最短密碼期限:2５)密碼最長(zhǎng)期限：426）最短密碼長(zhǎng)度：87）密碼簡(jiǎn)潔化(pａssｆilｔ.dll）：?jiǎn)⒂?）用戶必須登錄方能更改密碼:啟用9)帳號(hào)失敗登錄鎖定的時(shí)限：610）鎖定后重新啟用的時(shí)間間隔:720分鐘■。保護(hù)文件和名目將C：\winｎt,C:\winnt＼ｃoｎfiｇ,C:\winnｔ\syｓｔem3２,Ｃ：\winnｔ＼ｓｙstem等名目的訪問(wèn)權(quán)限做限制，限制eｖeryone的寫權(quán)限，限制ｕseｒs組的讀寫權(quán)限■.注冊(cè)表一些條目的修改1）去除lｏgon對(duì)話框中的sｈｕtdown按鈕將HKEY＿ＬＯCAL_MACＨINＥ＼ＳOＦTWARＥ＼Microsoｆt\ＷｉｎdｏwsNT\CｕrrentＶerｓion\Ｗiｎloｇon\中SｈutdoｗnWitｈｏｕtLogonＲEＧ_ＳＺ值設(shè)為02）去除logon信息的cashing功能將HKEY＿LOCＡL_ＭAＣＨINＥ\ＳOFＴWＡRE\Microsoｆt\WindowsNT\CurrｅntVersｉｏn＼Winlogon\中CａchｅdLｏgoｎsＣｏuｎtREＧ_SZ值設(shè)為04)限制ＬＳA匿名訪問(wèn)將ＨKEY＿LOＣAL＿M(jìn)ACHIＮE＼SYＳTＥＭ\CurrenｔConｔrolSｅt\Ｃonｔｒｏl＼LSＡ中RestriCanｏnyｍoｕsREG_ＤWＯRD值設(shè)為1５）去除全部網(wǎng)絡(luò)共享將HKＥY_LOＣAL＿M(jìn)AＣＨINＥ\SＹSTEM\CｕrreｎtContｒｏｌSｅt\Sｅrviｃes\LａnＭａnＳerver\Pａrameｔeｒs\中ＡuｔoSｈaｒeSeｒvｅｒREG_DＷOＲＤ值設(shè)為０四、IＩＳ的平安配置■．關(guān)閉并刪除默認(rèn)站點(diǎn)：默認(rèn)FTＰ站點(diǎn)默認(rèn)Ｗeb站點(diǎn)管理Wｅb站點(diǎn)■.建立自己的站點(diǎn)，與系統(tǒng)不在一個(gè)分區(qū)，如D:＼wwwrooｔ3．建立Ｅ：\Loｇfilｅs名目,以后建立站點(diǎn)時(shí)的日志文件均位于此名目,確保此名目上的訪問(wèn)掌握權(quán)限是:Aｄmｉnｉｓtratｏｒs（完全掌握）Sysｔｅｍ（完全掌握)■．刪除ＩIS的部分名目：ＩＩSHｅlpC：\winnt\help＼iiｓｈelpIIＳAdmiｎＣ:＼sysｔｅm３２\inｅtsｒv\iisaｄminＭＳADCC:\PｒoｇraｍＦiｌｅs\CommonＦｉｌｅs\Ｓystｅｍ\ｍsadc\刪除C:＼＼ｉnｅｔｐｕｂ■.刪除不必要的IＩS映射和擴(kuò)展:IIＳ被預(yù)先配置為支持常用的文件名擴(kuò)展如.aｓｐ和．shtm文件。IIS接收到這些類型的文件懇求時(shí),該調(diào)用由ＤＬＬ處理.如果您不使用其中的某些擴(kuò)展或功能,則應(yīng)刪除該映射,步驟如下：選擇計(jì)算機(jī)名，點(diǎn)鼠標(biāo)右鍵，選擇屬性:然后選擇編輯然后選擇主名目,點(diǎn)擊配置選擇擴(kuò)展名＼。ｈｔw＼，＼。ｈtr\,＼.idc＼,\。ｉda＼,＼.idq＼和\．prinｔｅｒ\，點(diǎn)擊刪除如果不使用serverｓideｉncｌｕdｅ，則刪除\.shtm\\．stm＼和＼.sｈtmｌ＼■．禁用父路徑：“父路徑”選項(xiàng)允許您在對(duì)諸如ＭapＰath函數(shù)調(diào)用中使用“．。”.在默認(rèn)情況下,該選項(xiàng)處于啟用狀態(tài),應(yīng)該禁用它。禁用該選項(xiàng)的步驟如下：右鍵單擊該Ｗeb站點(diǎn)的根，然后從上下文菜單中選擇“屬性”。單擊“主名目"選項(xiàng)卡。單擊“配置”。單擊“應(yīng)用程序選項(xiàng)”選項(xiàng)卡。取消選擇“啟用父路徑”復(fù)選框。■。在虛擬名目上設(shè)置訪問(wèn)掌握權(quán)限主頁(yè)使用的文件依據(jù)文件類型應(yīng)使用不同的訪問(wèn)掌握列表：CＧＩ(.ｅxe，。dｌl，。cmd,．pｌ）Eｖeryｏｎe（X)Administratorｓ（完全掌握）Systeｍ（完全掌握）腳本文件（.asp)Ｅｖeryone(X）Ａdminisｔrａt(yī)ｏrｓ（完全掌握）Ｓyｓｔeｍ(完全掌握)include文件(．iｎｃ，.shtm，.shｔmｌ）Eｖeryｏne（Ｘ）Admiｎisｔraｔｏrs（完全掌握)System(完全掌握）靜態(tài)內(nèi)容（。txｔ,．ｇiｆ,．ｊpg，。htｍl)Eｖeryone(R)Adｍiｎistｒators(完全掌握)Sｙｓteｍ（完全掌握)在創(chuàng)建Ｗeb站點(diǎn)時(shí),沒(méi)有必要在每個(gè)文件上設(shè)置訪問(wèn)掌握權(quán)限，應(yīng)該為每個(gè)文件類型創(chuàng)建一個(gè)新名目，然后在每個(gè)名目上設(shè)置訪問(wèn)掌握權(quán)限、允許訪問(wèn)掌握權(quán)限傳給各個(gè)文件。例如,名目結(jié)構(gòu)可為以下形式：Ｄ:\ｗwｗrooｔ＼mysｅrｖeｒ\sｔatiｃ（.htmｌ)Ｄ：\wｗwroot\ｍysｅrｖer\inｃｌuｄe(.inｃ）Ｄ:＼wwwｒoｏt\ｍysｅｒveｒ＼script（．a(chǎn)ｓｐ)D：\wwwｒoｏt\mｙsｅrｖeｒ\ｅｘeｃｕtａbｌe(.ｄlｌ）D:＼ｗwwｒoot＼myserver＼iｍaｇｅs（.ｇｉｆ,.jpｅｇ）■．啟用日志記錄確定服務(wù)器是否被攻擊時(shí)，日志記錄是極其重要的。應(yīng)使用W3C擴(kuò)展日志記錄格式，步驟如下：打開Iｎternｅt服務(wù)管理器：右鍵單擊站點(diǎn),然后從上下文菜單中選擇“屬性”。單擊“Weｂ站點(diǎn)"選項(xiàng)卡。選中“啟用日志記錄”復(fù)選框。從“活動(dòng)日志格式”下拉列表中選擇“Ｗ3C擴(kuò)展日志文件格式”。單擊“屬性”。單擊“擴(kuò)展屬性”選項(xiàng)卡，然后設(shè)置以下屬性：＊客戶IP地址*用戶名*方法＊UＲI資源*HTＴP狀態(tài)*Wｉｎ３２狀態(tài)*用戶代理*服務(wù)器ＩP地址＊服務(wù)器端口五、刪除WiｎｄｏwｓSｅrver２０03默認(rèn)共享和禁用IPC連接IＰC＄（InteｒnｅtProceｓｓＣoｎnecｔｉon)是共享“命名管道"的資源,它是為了讓進(jìn)程間通信而開放的命名管道,通過(guò)供應(yīng)可信任的用戶名和口令，連接雙方計(jì)算機(jī)即可以建立平安的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。它是WinｄowsNT/２０００/ＸP/２0０3特有的功能,但它有一個(gè)特點(diǎn)，即在同一時(shí)間內(nèi)，兩個(gè)IP之間只允許建立一個(gè)連接。NT/2000/XP/2００3在供應(yīng)了ipｃ$功能的同時(shí)，在初次安裝系統(tǒng)時(shí)還打開了默認(rèn)共享，即全部的規(guī)律共享(c$，d$,e＄……)和系統(tǒng)名目winnt或wｉndｏws(ａdｍiｎ$)共享。全部的這些，微軟的初衷都是為了便利管理員的管理，但也為簡(jiǎn)稱為ＩPC入侵者有意或無(wú)意的供應(yīng)了便利條件，導(dǎo)致了系統(tǒng)平安性能的降低。在建立ＩPＣ的連接中不需要任何黑客工具，在命令行里鍵入相應(yīng)的命令就可以了,不過(guò)有個(gè)前提條件，那就是你需要知道遠(yuǎn)程主機(jī)的用戶名和密碼。打開CMD后輸入如下命令即可進(jìn)行連接：netuｓe＼ipipc$passｗoｒｄ/useｒ:uｓeｒｎｑme。我們可以通過(guò)修改注冊(cè)表來(lái)禁用ＩＰC連接。打開注冊(cè)表編輯器。找到如下組建HKＥY_LOCAL＿ＭACＨINESＹSＴＥMCuｒrentCoｎｔroｌSｅtCｏntrolLsa中的restriｃtanｏnｙmｏｕs子鍵，將其值改為1即可禁用ＩPC連接六、清空遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑大家都知道，Ｗindoｗs20０3操作系統(tǒng)供應(yīng)了注冊(cè)表的遠(yuǎn)程訪問(wèn)功能，只有將遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑設(shè)置為空,這樣才能有效的防止黑客利用掃描器通過(guò)遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息.?打開組策略編輯器，依次展開“計(jì)算機(jī)配置→Ｗindows設(shè)置→平安設(shè)置→本地策略→平安選項(xiàng)”,在右側(cè)窗口中找到“網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑”,然后在打開的窗口中，將可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑內(nèi)容全部設(shè)置為空即可(如圖7)。?七、關(guān)閉不必要的端口對(duì)于個(gè)人用戶來(lái)說(shuō)安裝中默認(rèn)的有些端口確實(shí)是沒(méi)有什么必要的，關(guān)掉端口也就是關(guān)閉無(wú)用的服務(wù)。13９端口是NetＢIOS協(xié)議所使用的端口,在安裝了ＴCP/ＩP協(xié)議的同時(shí),NｅtBIOS也會(huì)被作為默認(rèn)設(shè)置安裝到系統(tǒng)中.１39端口的開放意味著硬盤可能會(huì)在網(wǎng)絡(luò)中共享；網(wǎng)上黑客也可通過(guò)NetBＩOS知道你的電腦中的一切！在以前的Ｗiｎｄｏws版本中,只要關(guān)注裝Micrｏsoｆｔ網(wǎng)絡(luò)的文件和打印共享協(xié)議,就可關(guān)閉1３9端口。但在WiｎｄｏwsＳerｖer2003中，只這樣做是不行的。如果想徹底關(guān)閉13９端口,簡(jiǎn)略步驟如下:鼠標(biāo)右鍵單擊“網(wǎng)絡(luò)鄰居”，選擇“屬性”，進(jìn)入“網(wǎng)絡(luò)和撥號(hào)連接”,再用鼠標(biāo)右鍵單擊“本地連接”，選擇“屬性”,打開“本地連接屬性”頁(yè)(如圖８），然后去掉“Mｉcrosｏft網(wǎng)絡(luò)的文件和打印共享”前面的“√”(如圖9），接下來(lái)選中“Inｔernet協(xié)議（ＴＣP/IＰ)”,單擊“屬性”→“高級(jí)”→“ＷＩNS"，把“禁用TCＰ／IP上的NetBIOS”選中，即任務(wù)完成（如圖１0）!對(duì)于個(gè)人用戶來(lái)說(shuō)，可以在各項(xiàng)服務(wù)屬性設(shè)置中設(shè)為“禁用"，以免下次重啟服務(wù)也重新啟動(dòng),端口也開放了。假如你的電腦中還裝了IIＳ，你最好重新設(shè)置一下端口過(guò)濾。步驟如下：選擇網(wǎng)卡屬性，然后雙擊“Inｔernet協(xié)議（TCP/IＰ）”,在消滅的窗口中單擊“高級(jí)”按鈕，會(huì)進(jìn)入“高級(jí)ＴＣP/IP設(shè)置"窗口，接下來(lái)選擇“選項(xiàng)"標(biāo)簽下的“TＣP/ＩＰ篩選”項(xiàng),點(diǎn)“屬性”按鈕，會(huì)來(lái)到“TCＰ/ＩＰ篩選”的窗口,在該窗口的“啟用ＴCP/ＩP篩選(全部適配器)”前面打上“√"，然后依據(jù)需要配置就可以了.如果你只打算掃瞄網(wǎng)頁(yè)，則只開放TCP端口80即可，所以可以在“TCＰ端口”上方選擇“只允許"，然后單擊“添加"按鈕，輸入８0再單擊“確定”即可八、杜絕非法訪問(wèn)應(yīng)用程序WｉndoｗｓＳeｒｖｅr２003是一種服務(wù)器操作系統(tǒng)，為了防止登陸到其中的用戶,任意啟動(dòng)服務(wù)器中的應(yīng)用程序，給服務(wù)器的正常運(yùn)行帶來(lái)不必要的麻煩，我們很有必要依據(jù)不同用戶的訪問(wèn)權(quán)限，來(lái)限制。他們?nèi)フ{(diào)用應(yīng)用程序.實(shí)際上我們只要使用組策略編輯器作進(jìn)一步的設(shè)置,即可實(shí)現(xiàn)這一目的，簡(jiǎn)略步驟如下:打開“組策略編輯器”的方法為：依次點(diǎn)擊“開頭→運(yùn)行”，在“運(yùn)行”對(duì)話框中鍵入“gpedit。msc”命令并回車，即可打開“組策略編輯器”窗口。然后依次打開“組策略掌握臺(tái)→用戶配置→管理模板→系統(tǒng)”中的“只運(yùn)行許可的Winｄows應(yīng)用程序”并啟用此策略.然后點(diǎn)擊下面的“允許的應(yīng)用程序列表”邊的“顯示"按鈕,彈出一個(gè)“顯示內(nèi)容”對(duì)話框，在此單擊“添加”按鈕來(lái)添加允許運(yùn)行的應(yīng)用程序即可九、設(shè)置和管理賬戶1、系統(tǒng)管理員賬戶最好少建,更改默認(rèn)的管理員帳戶名(Admｉniｓtｒａt(yī)oｒ)和描述,密碼最好采納數(shù)字加大小寫字母加數(shù)字的上檔鍵組合,長(zhǎng)度最好不少于14位。2、新建一個(gè)名為Adminisｔｒａt(yī)or的陷阱帳號(hào)，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼3、將Gueｓt賬戶禁用并更改名稱和描述,然后輸入一個(gè)簡(jiǎn)潔的密碼，當(dāng)然現(xiàn)在也有一個(gè)ＤelＧuesｔ的工具，也許你也可以利用它來(lái)刪除Ｇuｅst賬戶，但我沒(méi)有試過(guò)。4、在運(yùn)行中輸入gpedｉt.msc回車，打開組策略編輯器,選擇計(jì)算機(jī)配置－Windows設(shè)置—平安設(shè)置－賬戶策略－賬戶鎖定策略，將賬戶設(shè)為“三次登陸無(wú)效”，“鎖定時(shí)時(shí)間間隔６0分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”.5、在平安設(shè)置-本地策略-平安選項(xiàng)中將“不顯示上次的用戶名”設(shè)為啟用6、在平安設(shè)置—本地策略－用戶權(quán)利安排中將“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)"中只保留Iｎterneｔ來(lái)賓賬戶、啟動(dòng)IＩS進(jìn)程賬戶。如果你使用了Asｐ.ｎet還要保留Aspｎｅt賬戶。7、創(chuàng)建一個(gè)User賬戶，運(yùn)行系統(tǒng)，如果要運(yùn)行特權(quán)命令使用Ｒｕｎas命令。十、網(wǎng)絡(luò)服務(wù)平安管理1、禁止C$、D$、ADＭIN$一類的缺省共享2、解除NetBｉos與ＴCP/ＩP協(xié)議的綁定３、關(guān)閉不需要的服務(wù),以下為建議選項(xiàng)CｏmｐuteｒＢrｏwser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新,禁用DistributedFileSysｔeｍ：局域網(wǎng)管理共享文件，不需要禁用Dｉｓｔｒibuｔｅｄlinｋｔraｃkｉｎgclｉent：用于局域網(wǎng)更新連接信息，不需要禁用Ｅｒroｒreportingseｒvｉｃe：禁止發(fā)送錯(cuò)誤報(bào)告ＭicroｓｏftＳeｒcｈ：供應(yīng)快速的單詞搜尋,不需要可禁用ＮTLMＳeｃurｉｔｙsupportprｏvide:telnet服務(wù)和MicrｏsoｆtSｅrch用的，不需要禁用ＰrinｔSｐooler：如果沒(méi)有打印機(jī)可禁用RｅｍｏteRｅgistry：禁止遠(yuǎn)程修改注冊(cè)表ＲemｏteDｅｓkｔopＨelpSessioｎMａｎａgｅr：禁止遠(yuǎn)程協(xié)助十一、打開相應(yīng)的審核策略在運(yùn)行中輸入gｐｅdｉt.ｍsｃ回車，打開組策略編輯器,選擇計(jì)算機(jī)配置—Windows設(shè)置－平安設(shè)置—審核策略在創(chuàng)建審核項(xiàng)目時(shí)需要注意的是如果審核的項(xiàng)目太多，生成的大事也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的大事也越難當(dāng)然如果審核的太少也會(huì)影響你發(fā)現(xiàn)嚴(yán)重的大事，你需要依據(jù)情況在這二者之間做出選擇。推舉的要審核的項(xiàng)目是：登錄大事成功失敗賬戶登錄大事成功失敗系統(tǒng)大事成功失敗策略更改成功失敗對(duì)象訪問(wèn)失敗名目服務(wù)訪問(wèn)失敗特權(quán)使用失敗十二、其它平安相關(guān)設(shè)置１、隱藏重要文件/名目2、啟動(dòng)系統(tǒng)自帶的Ｉnteｒnet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。3、防止ＳＹＮ洪水攻擊4．禁止響應(yīng)IＣMP路由通告報(bào)文5．防止ICMP重定向報(bào)文的攻擊６。不支持IGＭＰ協(xié)議7、禁用DＣOM:十三、配置ＩIS服務(wù)：１、不使用默認(rèn)的Weｂ站點(diǎn),如果使用也要將將ＩIS名目與系統(tǒng)磁盤分開。２、刪除IIＳ默認(rèn)創(chuàng)建的Ｉneｔｐｕb名目（在安裝系統(tǒng)的盤上）.３、刪除系統(tǒng)盤下的虛擬名目，如:＿ｖtｉ＿bin、ＩIＳＳamplｅｓ、Sｃripｔs、IIShｅｌｐ、ＩIＳＡdmin、ＩＩＳｈｅｌｐ、ＭSAＤC.4、刪除不必要的ＩＩＳ擴(kuò)展名映射。右鍵單擊“默認(rèn)Wｅb站點(diǎn)→屬性→主名目→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射。主要為。ｓｈtmｌ,．ｓhtm，。ｓtm5、更改ＩIS日志的路徑右鍵單擊“默認(rèn)Wｅb站點(diǎn)→屬性-網(wǎng)站－在啟用日志記錄下點(diǎn)擊屬性6、如果使用的是2000可以使用iiｓlｏckdowｎ來(lái)保護(hù)IIS，在20０３運(yùn)行的IE６。０的版本不需要.7、使用ＵrlScan但如果你在服務(wù)器運(yùn)行ASＰ.NET程序，并要進(jìn)行調(diào)試你需打開要％ＷINDＩＲ%＼Ｓyｓtem３2＼Inｅtsrv\URLｓcaｎ文件夾中的URLScａn。iｎi文件,然后在UsｅrAlloｗＶｅrbs節(jié)添加ｄeｂｕg謂詞，注意此節(jié)是區(qū)分大小寫的。如果你的網(wǎng)頁(yè)是。ａsp網(wǎng)頁(yè)你需要在ＤenyＥxteｎｓions刪除．a(chǎn)sp相關(guān)的內(nèi)容.如果你的網(wǎng)頁(yè)使用了非ＡSＣII代碼,你需要在Oｐｔiｏｎ節(jié)中將AlloｗＨighＢｉｔCｈａrａｃｔeｒs的值設(shè)為１在對(duì)ＵRLScaｎ。ｉni文件做了更改后,你需要重啟IIS服務(wù)才能生效,快速方法運(yùn)行中輸入iｉsreｓｅt如果你在配置后消滅什么問(wèn)題，你可以通過(guò)添加/刪除程序刪除UrｌScａｎ。8、利用ＷＩＳ（WｅbInｊｅcｔｉoｎScanner)工具對(duì)整個(gè)網(wǎng)站進(jìn)行ＳQLＩｎｊecｔｉｏn脆弱性掃描。十四、配置Sｑl服務(wù)器1、SystemＡdmｉnistraｔors角色最好不要超過(guò)兩個(gè)2、如果是在本機(jī)最好將身份驗(yàn)證配置為Wｉn登陸３、不要使用Sａ賬戶,為其配置一個(gè)超級(jí)簡(jiǎn)潔的密碼4、刪除以下的擴(kuò)展存儲(chǔ)過(guò)程格式為:usemａｓteｒsp＿dｒoｐｅxtendeｄｐroｃ＇擴(kuò)展存儲(chǔ)過(guò)程名'xｐ_cmｄsｈelｌ:是進(jìn)入操作系統(tǒng)的最佳捷徑,刪除訪問(wèn)注冊(cè)表的存儲(chǔ)過(guò)程，刪除Xp＿reｇａdｄmｕltistｒingＸp_reｇdeｌetｅkｅｙXｐ_rｅgdeｌeｔevalueXp_ｒegｅnｕｍvａluesＸp＿regrｅaｄＸp＿regwriｔeXp_ｒｅgrｅmoｖemultｉｓｔringOＬE自動(dòng)存儲(chǔ)過(guò)程,不需要?jiǎng)h除Sｐ_OＡＣｒｅaｔeSp＿OADｅsｔrｏySp＿OＡＧｅtＥrrｏrIｎｆｏSｐ_OAＧeｔＰｒｏpｅrtyＳp_OAＭetｈodSp_OAＳeｔPropｅｒtｙSp＿ＯAStop5、隱藏ＳＱLServｅr、更改默認(rèn)的1433端口右擊實(shí)例選屬性－常規(guī)-網(wǎng)絡(luò)配置中選擇ＴCＰ/IＰ協(xié)議的屬性,選擇隱藏ＳQLＳerｖer實(shí)例，并改原默認(rèn)的1433端口。十五、如果只做服務(wù)器,不進(jìn)行其它操作，使用IPSeｃ1、管理工具—本地平安策略—右擊IP平安策略—管理ＩP篩選器表和篩選器操作—在管理ＩP篩選器表選項(xiàng)下點(diǎn)擊添加-名稱設(shè)為Web篩選器—點(diǎn)擊添加-在描述中輸入Ｗeb服務(wù)器—將源地址設(shè)為任何IP地址—-將目標(biāo)地址設(shè)為我的IP地址——協(xié)議類型設(shè)為Ｔcｐ--ＩP協(xié)議端口第一項(xiàng)設(shè)為從任意端口,其次項(xiàng)到此端口８0——點(diǎn)擊完成-—點(diǎn)擊確定.２、再在管理IP篩選器表選項(xiàng)下點(diǎn)擊添加-名稱設(shè)為全部入站篩選器—點(diǎn)擊添加—在描述中輸入全部入站篩選—將源地址設(shè)為任何ＩＰ地址-—將目標(biāo)地址設(shè)為我的IP地址—-協(xié)議類型設(shè)為任意——點(diǎn)擊下一步——完成—-點(diǎn)擊確定。３、在管理篩選器操作選項(xiàng)下點(diǎn)擊添加——下一步——名稱中輸入阻止——下一步--選擇阻止-—下一步--完成——關(guān)閉管理IP篩選器表和篩選器操作窗口４、右擊IP平安策略-—?jiǎng)?chuàng)建IP平安策略——下一步——名稱輸入數(shù)據(jù)包篩選器——下一步-—取消默認(rèn)激活響應(yīng)原則-—下一步—-完成5、在打開的新IP平安策略屬性窗口選擇添加--下一步-—不指定隧道--下一步—-全部網(wǎng)絡(luò)連接——下一步——在IＰ篩選器列表中選擇新建的Ｗeb篩選器-—下一步--在篩選器操作中選擇許可——下一步—-完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器操作中選擇阻止—-下一步——完成-—確定6、在IＰ平安策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器,點(diǎn)擊指派，不需要重啟，ＩPSec就可生效.十七、如何配置一臺(tái)堅(jiān)固平安的wｉn200３服務(wù)器１）確定你要用它來(lái)干什么，需要開什么服務(wù)，什么是不必要的，沒(méi)用地就別裝（像Inｄex什么的），不必要的服務(wù)全都可以關(guān)掉。在掌握面版=＞管理=〉工具中，自己看著辦，如下服務(wù)是肯定要禁止的:RemｏteReｇｉstrySｅｒvｉｃｅRunＡsServiceＴaskSｃｈeｄuｌerTelnetWｉｎｄowｓTime其他不必要的服務(wù)可以設(shè)為手動(dòng)方式。SNＭPSｅrviｃe和SNMPTraｐSｅrvice最好也關(guān)掉，要用的話，把管理公共字改掉。2）打補(bǔ)丁。確定你打上了Win２kSP２；３）IIＳ配置.1,在IIS管理器中，去處全部不必要的擴(kuò)展關(guān)聯(lián)（基本上除了AＳP/ASA等幾個(gè)必要的和CGＩ之類的外，其他都可以去掉）有可能的話，可以安裝一個(gè)SeｃureＩＩS,還是有肯定效果的.2,校驗(yàn)ftp權(quán)限,差不多就自己看著辦吧，不要被人家tａg就可以了～_*４）ＭＳSＱL。首先，記得肯定要加一個(gè)難記得密碼,不然就什么都完了。然后記得升級(jí)SQL7。0SP2和ＳQＬ2ｋSP1。５）TerｍiｎａｌServeｒ。打了ＳP2基本就沒(méi)太大問(wèn)題,只要你的系統(tǒng)不是沒(méi)密碼。。。．.．。。．.高級(jí)部分:１）類防火墻限制.這需要我們打開ＭS的IPSＥC服務(wù)，然后選擇網(wǎng)絡(luò)設(shè)置=〉網(wǎng)絡(luò)界面屬性＝>TCP/IＰ=〉高級(jí)＝>選項(xiàng)簡(jiǎn)潔一點(diǎn)的話，就用TCＰ/IP篩選，確定指開放那些端口，比如８0，１43３等等（惋惜開放ｆｔｐ服務(wù)的話,常常會(huì)亂開端口的，難以確定)；要求高級(jí)的話，自己定義一個(gè)IPSＥC策略,可以精確的過(guò)濾例如某種ICMP類型等等.．。可以做到水泄不通哦，不要到時(shí)候你自己也進(jìn)不去了就好~_*2）NetＢIＯＳ設(shè)置.歷史以來(lái),neｔbios是僅次于IＩS的wｉｎｎｔ平安問(wèn)題最多的服務(wù),簡(jiǎn)直就是后門打開。至少做這樣一條設(shè)置:注冊(cè)表編輯Ｌｏcal_Ｍachinｅ\Ｓysｔeｍ\ＣｕrrentCoｎtrolSet\Coｎｔｒｏｌ\LSA－RestrictAnｏnｙmｏｕs=1可以禁止IＰＣ$空用戶連接，防止信息泄漏和其他更嚴(yán)重的平安問(wèn)題.3)TerｍｉnalSｅrvｅｒ加強(qiáng)。注冊(cè)表編輯：ＨKEY_LOCAL_ＭＡＣHINEＳOFＴＷAREMicrｏｓｏft\WｉｎｄoｗsNT\CｕrｒenｔVｅｒsｉon＼Ｗinlｏgoｎ\Ｄon‘ｔDisplａyLastＵserNaｍe=１可以讓別人在ｔｓ中看不到你上次登錄的用戶名，有平安了一點(diǎn)點(diǎn)（記住，別人獵取你的信息越少，你就越平安)4）系統(tǒng)文件名目權(quán)限檢查?；镜牟呗?，可以在文件屬性中修改,避開有ｅverｙone完全掌握的名目，大部分文件最好禁止everyone寫，甚至讀。對(duì)于系統(tǒng)的重要文件和名目，例如syｓtem３2等等,可以用Ｗｉn2kReｓoｕeｃｅKit中的一個(gè)工具ｘacls簡(jiǎn)略的加強(qiáng)訪問(wèn)掌握.5)預(yù)防信息監(jiān)測(cè)和ＤOＳ攻擊必要的話，打開RSＡＳ或者自己添加一個(gè)IＰＳEC平安策略,過(guò)濾掉ＩＣＭPEcho和Reｄriｃt類型，這樣別人ｐiｎg你就不會(huì)有反映，而如果ｐｉnｇ不通的話，可能別人