网站服务器Win2003系统网络安全设置全攻略

6、删除不必要的IIS扩展名映射。右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。我就保留一个.asp,其它全部删除。

7、建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control）。

8、Web站点权限设定（建议）

脚本源访问 不允许

读取 允许

写入 不允许

记录访问 建议关闭

索引资源 建议关闭

执行权限 推荐选择 “纯脚本”

通过“IP安全策略”屏蔽危险端口

加固服务器安全，不见得要部署大型的安全软件，充分利用服务器系统集成的一些工具往往可以起到事半功倍的效果。这些工具不需要企业投入额外的成本，而且与服务器系统无缝结合，安全性、稳定性更有保障。

·禁止ICMP协议——防止他人Ping你的服务器。

·需要屏蔽的危险端口：25,57,135,139,161,445,1433

具体访问：服务器安全IP安全策略,批处理屏蔽危险端口

关闭不需要的服务

以下为建议选项

Computer Browser

Server

Workstation

Remote Registry

Print Spooler

Help and Support

Wireless Configuration

关闭不需要服务，请慎重。网上很多关于关闭服务的文章都不要招搬，如果你有上面几个，屏蔽掉就可以了。

服务器要的是稳定，安全。而不是追求性能极限！淡定~~

卸载最不安全的组件

三大危险组件：WScript.Shell, Shell.application, WScript.Network，将下面代码保存为批处理文件，并执行

regsvr32 /u %SystemRoot%\System32\wshom.ocx

copy %SystemRoot%\System32\wshom.ocx c:\

regsvr32 /u %SystemRoot%\System32\wshext.dll

copy %SystemRoot%\System32\wshext.dll c:\

regsvr32 /u %SystemRoot%\System32\shell32.dll

copy %SystemRoot%\System32\shell32.dll c:\

del %SystemRoot%\System32\wshext.dll

del %SystemRoot%\System32\wshom.ocx

del %SystemRoot%\System32\shell32.dll

执行后，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它。执行上面的批处理后，会将文件备份到C盘根目录下，你可以将C盘的文件打包备份一个压缩文件放到其它目录，删掉C盘下的备份文件。

打开注册表：查找下面九项内容，将搜索到的内容删除

1、Shell.Application

2、Shell.Application.1

3、{13709620-C279-11CE-A49E-444553540000}

1、wscript.network

2、wscript.network.1

3、{093FF999-1EA0-4079-9525-9614C3504B74}

1、wscript.shell

2、wscript.shell.1

3、{73c24DD5-D70A-438B-8A42-98424B88AFB8}

网上有将组件改名的方法，如果需要可以去找找。我的方法是上面三个危险组件全部卸载，只保留FSO和XML

IIS WEB目录用户权限设定(重点)

假设，WEB目录在D盘下的WEBSERVER目录

1、新建一个用户，假设为用户名为：asp163 给他一个复杂密码，比如数字+英文+特殊符号组成20位密码(这个密码要保留，以后要用)

2、设置上面新建用户的权限，让他隶属于Guests组

3、右键点击“D盘”-“安全”选项卡，只保留以下组或用户名称：

Administrators 完全控制

SYSTEM 完全控制

asp163 完全拒绝←就是上面新建的用户，禁止D盘任何操作

4、进入“Internet 信息服务(IIS) 管理器”→“目录安全性”选项卡。在“身份验证和访问控制”栏点击“编辑”，浏览并选择刚才创建的用户名(asp163)，并填上密码，点击“确定”完成设置。

5、进入D盘，右键点击“WEBSERVER”目录→“属性”→“安全”选项卡→点“高级”→将“允许父项的继承权限传播到该对象和所有子对象。包括那些在明确定义的项目”前面的勾去掉，在弹出的对话框中有三个选项“复制”、“删除”、“取消”，选择“删除”

添加以下组或用户名

SYSTEM 安全权限

Users 读取和运行，列出文件夹目录，读取

asp163 完全控制←就是上面新建的用户

6、将其它盘，比如C盘，E盘等等，删除Everyone，添加Guests用户，权限设为“完全拒绝”。

7、对于系统盘，可以再做精细的权限设置。不过最好在虚拟机上测试，防止出现错误或意外。

站长要说的话：网站服务器的安全，最麻烦的莫过于系统盘权限设置和网站目录的权限设置。关于系统盘权限的设置，强烈建议不要照搬网上的教程不加思索的照搬。这里我提供两个方法：1、直接在服务器设置，每一步设置后，都要确认网站是否正常（最好是设置一个权限进行一次重启，以确保网站运行正常——我就测试过，设置某个目录权限后，一切正常，但重启后网站就不正常了。一般是涉及到某组件或ISAPI筛选器加载的DLL），如果不正常，则恢复上一步设置。实践中我就有一次这样的经历，设置完成后，网站访问不了，也不确定是哪一步设置出了问题，导致系统不得不还原。2、在虚拟机练习设置，确保系统盘的安全和网站的正常访问。关于系统盘权限设置可以访问本站其它相关文章，仅做参考。另外，关于网站目录权限设置，我认为网站目录权限设置要讲究安全与方便原则。本篇文章关于网站权限设置针对一两个网站是方便的，但如果有很多网站，我认为设置起来不太方便，我曾经看过一个朋友服务器，他是使用默认的IIS用户，目录中一个administror，一个system，另一个就是everyone，配置这个everyone权限同user的权限相同。这个方法比较方便，特别在多个网站的情况下，基本不需做过多设置。但是everyone是个敏感的东西，任何用户都可以访问，我认为这种情况比较冒险。所以我又回来我这个方法来，我考虑：增加一个用户组，将不同网站的不同帐户，都加入这个组，在配置权限中就根据这个组来设置权限。这样，以后增加网站，我只需设置帐户和将IIS的匿名访问帐户设置为该用户，并将该用户添加到这个组中，不就OK了吗？不过最近忙，也没时间来测试，以后确定在补充吧。

架设FTP服务器

本人不建议使用第三方FTP服务器软件，建议windows2003自带的FTP服务器，支持多用户，具体我会写一篇关于架设FTP服务器的方法。（链接以后加上）

安装并配置Mcafee

如果你是一名服务器管理者，我建议你必须熟练掌握Mcafee的配置及使用，配置的好网站安全架构，可以为你省下很多麻烦的事情。以后整理并提供本人服务器的Mcafee设置以及服务器安装mcafee涉及的一些小问题的解决方案。（链接以后增加）

测试服务器安全

1、通过一些工具扫描服务器，是否存在漏洞

2、通过阿江写的ASP探针检测服务器WEB方面的安全性。ASP探针演示ASP探针下载

3、通过一些工具检查WEB程序的安全性和防止SQL注入。

不得不说的话

服务器安全设置完成，并不代表你的服务器就决对的安全，你就可以高枕无忧了。服务器的安全是一个持久的事，你必须要经常查看系统和应用程序生成的日志并分析；要打上微软最新公布的重要安全补丁；要解决一些遗漏的危及安全的设置；要花时间研究你的程序是否安全；另外，不要在服务器上进行一些软件操作，除非你有200%的保证；远程登陆的客户机也要注意，否则你在复杂的密码，人家也是一清二楚。一切与你服务器直接交互的操作，都要注意。

由于这文章是多年前总结的内容，可能有些地方会出现纰漏，如果有问题，或者你对本文有什么疑问，或者有什么心得体会，欢迎与我交流。同时，我也会将最新的经验和心得，结合本篇文章加以总结。所以，你看到的内容，也可能在今后某天会有所变化。我希望我这些所谓的经验不要误人子弟。感谢你看到这里，谢谢。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!