Win2003 Server的安全性較之Win2K確實有（yǒu）了很（hěn）大的提（tí）高，但是用Win2003 Server作為服務器（qì）是否（fǒu）就（jiù）真的安（ān）全了？如何才能打造（zào）一個安全的個人Web服務器？下麵我們簡（jiǎn）單介紹（shào）一下

　　一、Windows Server2003的安裝

　　1、安裝係統（tǒng）最少兩需要個分區（qū），分區（qū）格式都（dōu）采用（yòng）NTFS格式

　　2、在斷開網（wǎng）絡的情況安裝好2003係統

　　3、安裝IIS，僅安（ān）裝必（bì）要的 IIS 組件（禁用（yòng）不（bú）需要的如FTP 和 SMTP 服務（wù））。默（mò）認情況下，IIS服務沒有安裝，在添加/刪除Win組（zǔ）件中選擇（zé）“應（yīng）用程序服務器”，然後點擊（jī）“詳細信息”，雙（shuāng）擊Internet信息服務（wù）(iis)，勾選以下（xià）選（xuǎn）項：

　　Internet 信息（xī）服（fú）務管理器；

　　公（gōng）用文件；

　　後台智能（néng）傳輸服務 (BITS) 服（fú）務器（qì）擴展；

　　萬維網服務（wù）。

　　如果你使（shǐ）用 FrontPage 擴展的 Web 站點再勾選：FrontPage 2002 Server Extensions

　　4、安裝MSSQL及其它所需要的軟件然後進行（háng）Update。

　　5、使用Microsoft 提供的 MBSA（Microsoft Baseline Security Analyzer） 工具分（fèn）析計算（suàn）機的安全（quán）配置（zhì），並標識缺少的修補程序和更（gèng）新。下載（zǎi）地（dì）址：見頁末的鏈接


　　二、設置和（hé）管理賬戶

　　1、係統管理員賬戶最好少建，更（gèng）改默認的管理員（yuán）帳戶名（Administrator）和描述（shù），密碼最好采用（yòng）數字（zì）加大小寫字母加數字（zì）的（de）上檔鍵組（zǔ）合（hé），長度最好不少（shǎo）於14位。

　　2、新（xīn）建一個名（míng）為Administrator的陷阱帳號，為（wéi）其設置最（zuì）小的權限，然後隨便輸入組（zǔ）合的最好不（bú）低於20位的密碼

　　3、將Guest賬戶（hù）禁用並更改名稱（chēng）和描（miáo）述，然後輸入一個複雜的密碼，當然（rán）現在也（yě）有（yǒu）一個DelGuest的（de）工具，也許你也可以利用（yòng）它來刪除Guest賬戶，但我沒有試過。

　　4、在運行（háng）中輸入gpedit.msc回車，打開組策略編輯器（qì），選擇計算機配（pèi）置-Windows設置（zhì）-安全設（shè）置（zhì）-賬戶策略-賬戶鎖（suǒ）定策（cè）略（luè），將賬戶設（shè）為“三次登（dēng）陸（lù）無效”，“鎖定時間為30分鍾（zhōng）”，“複（fù）位鎖定計數設為30分（fèn）鍾”。

　　5、在安全設置（zhì）-本（běn）地策略（luè）-安全選項中將“不顯示上次的用戶名”設（shè）為啟用（yòng）

　　6、在安全設置-本地策略-用戶權利分配（pèi）中將“從（cóng）網絡訪問此計（jì）算機”中隻保留Internet來賓（bīn）賬戶、啟（qǐ）動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。

　　7、創（chuàng）建一個User賬戶，運行係統，如果要運行特權命令使用Runas命令。


　　三、網絡服（fú）務安全管理

　　1、禁止C$、D$、ADMIN$一類的缺省共享

　　打開注（zhù）冊（cè）表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右邊的窗口中新建Dword值，名稱設為（wéi）AutoShareServer值設為0

　　2、 解除（chú）NetBioses與（yǔ）TCP/IP協（xié）議的（de）綁定

　　右擊網上鄰居-屬性-右（yòu）擊本地連（lián）接-屬性-雙擊Internet協（xié）議-高級-Wins-禁用TCP/IP上的NETBioses

　　3、關閉不需要的服務，以（yǐ）下（xià）為建議選項

　　Computer Browser:維護網絡計算機更新，禁用

　　Distributed File System: 局域網管理共享文件，不需要禁用

　　Distributed linktracking client：用於局域網更新連接信息，不需要（yào）禁用

　　Error reporting service：禁止發送錯誤報告

　　Microsoft Serch：提供快速的單詞搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服（fú）務和Microsoft Serch用的，不（bú）需要禁用

　　PrintSpooler：如果沒有（yǒu）打印機（jī）可禁用

　　Remote Registry：禁止遠程修改注冊表

　　Remote Desktop Help Session Manager：禁（jìn）止遠程協助


　　四、打開相應的（de）審（shěn）核策略

　　在運（yùn）行中輸入gpedit.msc回車，打（dǎ）開組策略編（biān）輯（jí）器，選擇（zé）計算機配置-Windows設置-安全設（shè）置-審核策略在創建審核（hé）項目時（shí）需（xū）要注（zhù）意的是如果審核的項目太多，生成的事件（jiàn）也就越（yuè）多，那麽要想發（fā）現（xiàn）嚴重（chóng）的（de）事件（jiàn）也越難當然如果（guǒ）審核的太（tài）少也會影響你發現（xiàn）嚴（yán）重的事件，你需要（yào）根據情況在這二者（zhě）之間做出（chū）選擇。

　　推薦的要審（shěn）核的項目是（shì）：

　　登（dēng）錄（lù）事件   成功 失敗（bài）

　　賬戶登錄事件 成功 失（shī）敗（bài）

　　係統事件   成功（gōng） 失敗

　　策略（luè）更改   成功 失敗

　　對象訪問   失敗

　　目錄服務訪問 失敗（bài）

　　特權使用   失敗


　　五（wǔ）、其它安全相關設置

　　1、隱藏重（chóng）要文（wén）件/目錄

　　可以修（xiū）改注（zhù）冊（cè）表實現完全隱藏（cáng）：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數值由1改為0

　　2、啟動係（xì）統自帶的Internet連接防火牆，在設置服務選（xuǎn）項中勾選Web服務器。

　　3、防止SYN洪水攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新（xīn）建DWORD值，名為SynAttackProtect，值為（wéi）2

　　4. 禁止響應ICMP路（lù）由通告（gào）報文（wén）

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名為PerformRouterDiscovery 值為（wéi）0

　　5. 防止ICMP重定向報文的攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　將EnableICMPRedirects 值設為0

　　6. 不支持IGMP協議

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為IGMPLevel 值為0

　　7、禁用DCOM：

　　運行中（zhōng）輸（shū）入 Dcomcnfg.exe。 回車， 單擊“控製台根節點”下的“組件服（fú）務”。 打開“計算機”子文件夾。

　　對於本（běn）地計（jì）算機，請以（yǐ）右鍵（jiàn）單（dān）擊（jī）“我的電腦”，然後選擇“屬性”。選擇“默認屬性”選（xuǎn）項卡。

　　清除“在這台（tái）計算機（jī）上啟用分布式 COM”複選框。

　　注：3-6項內容我采用的是Server2000設置，沒有測（cè）試過對（duì）2003是否（fǒu）起作用（yòng）。但有一點可以肯定（dìng）我用了一段的時間沒有發現其它副麵的影（yǐng）響。


　　六、配（pèi）置（zhì） IIS 服務：

　　1、不使（shǐ）用（yòng）默認的（de）Web站點，如果使用也要將 將IIS目錄（lù）與係統磁盤分（fèn）開。

　　2、刪除（chú）IIS默（mò）認創（chuàng）建的Inetpub目錄（在（zài）安裝係統（tǒng）的盤上（shàng））。

　　3、刪除係統盤下的虛擬（nǐ）目錄，如（rú）：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、刪除不必要的IIS擴展名（míng）映（yìng）射。

　　右鍵（jiàn）單（dān）擊“默（mò）認Web站點→屬性→主目錄（lù）→配置”，打開應用程序窗（chuāng）口，去掉不必要的應用（yòng）程序映射（shè）。主要為.shtml, .shtm, .stm

　　5、更改IIS日誌的路（lù）徑

　　右（yòu）鍵單擊“默（mò）認Web站（zhàn）點（diǎn）→屬性-網站-在啟用日（rì）誌（zhì）記錄下點擊屬性

　　6、如果（guǒ）使用（yòng）的是2000可以使用iislockdown來（lái）保（bǎo）護IIS，在2003運（yùn）行的IE6.0的版本（běn）不需（xū）要。

　　7、使用UrlScan

　　UrlScan是一個（gè）ISAPI篩選器（qì），它對傳入的HTTP數據包進行分析並（bìng）可（kě）以拒（jù）絕任何可疑的通信量。目前（qián）最（zuì）新的版本是2.5，如果是2000Server需要先（xiān）安裝1.0或（huò）2.0的版（bǎn）本（běn）。下載地址見頁未的（de）鏈接

　　如果沒有特殊的要求（qiú）采用UrlScan默（mò）認配（pèi）置就可以了。

　　但如果你在（zài）服務器運行ASP.NET程（chéng）序，並要進（jìn）行調（diào）試（shì）你需打開（kāi）要%WINDIR%\System32\Inetsrv\URLscan

　　文件夾中的URLScan.ini 文件，然（rán）後在（zài）UserAllowVerbs節（jiē）添加debug謂詞，注意此節是區分大（dà）小寫的。

　　如果你的網頁（yè）是.asp網頁你需要在DenyExtensions刪除.asp相關的內（nèi）容。

　　如果（guǒ）你的網頁（yè）使用了非ASCII代碼，你需要在Option節中（zhōng）將AllowHighBitCharacters的值設為1

　　在對URLScan.ini 文件（jiàn）做了更改後，你需要（yào）重（chóng）啟IIS服務才能生（shēng）效，快速方法運行中（zhōng）輸入iisreset

　　如果（guǒ）你（nǐ）在（zài）配置後出現什（shí）麽問（wèn）題，你可以通（tōng）過添加/刪除程序（xù）刪除UrlScan。

　　8、利用（yòng）WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.

　　下載地址：[http://www.fanvb.net/websample/othersample.aspx]VB.NET愛（ài）好者[/url]


　　七（qī）、配置Sql服務器

　　1、System Administrators 角色最好不要超過兩個（gè）

　　2、如果是在本機最好將身份驗證配置為Win登陸

　　3、不要使用Sa賬戶，為其配（pèi）置一個超（chāo）級複雜的密（mì）碼

　　4、刪除以下的擴展存儲（chǔ）過程（chéng）格式（shì）為：
　　use master
　　sp_dropextendedproc '擴展（zhǎn）存儲過程名（míng）'

　　xp_cmdshell：是（shì）進（jìn）入（rù）操作係統的最佳捷徑（jìng），刪除