溫州在線 > 科技 > 互聯網 > 網站建設 > 站長入門 > 正文

Win2003服務器高安全配置(冰盾防火墻設置方法)

2011-05-22 13:28?來源未知

　　服務器高安全配置方法和冰盾防火墻設置方法。Windows只要安全細節做得好，入侵成功的幾率是很低的。好了，廢話不多說了，下面進入正文，談談我對web服務器安全防護的經驗和方案。

　　這個安全防護方案正是我博客網站采用的防護方案，還有更高的防護方案以后再說（我提供一種思路，比如：一個外網IP開放VPN和NAT端口轉發，然后路由器里面的一臺計算機連接VPN，把80端口轉發到內網，內網又有一個MySQL內網服務器）
　　方案如下：系統平臺：Win2003sp2企業版，打上所有微軟發布的安全更新。主要硬件：Intel雙核CPU,512M內存

　　優化設置：

　　關閉默認共享$admin,$c等,代碼如下:

net share c$ /delete
net share admin$ /delete
echo .. delshare.reg .......
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo .. delshare.reg .....
regedit /s c:\delshare.reg
echo .. delshare.reg ....
del c:\delshare.reg

　　新建文本文檔另存為.bat文件運行.

　　盡量不安裝任何應用軟件（如：迅雷，QQ等）安裝好殺毒軟件以及防火墻。

　　安裝winrar，關閉多余系統服務項（如自帶的防火墻，計劃任務，打印機等。注意：請根據服務器實際情況來關閉，如果不懂系統后臺服務不建議去修改。可以參考http://baike.baidu.com/view/685551.htm）

　　開機自啟的注冊表鍵值除輸入法外一般都可以刪除。
　　系統安全設置

　　磁盤都使用NTFS格式，如果是FAT32，請轉換。命令格式如：convert c:/fs:ntfs（命令默認是C盤，如果是別的分區，請修改盤符）對根目錄的權限值保留administrator、system完全權限，如圖所示：

　　Web根目錄只保留administrator、system、以及用來啟動該web的IIS用戶完全訪問權限。如圖所示：

　　CMD.EXE,NET.EXE,NET1.EXE,以及回收站目錄只保留administrator和system的完全權限，如圖所示：

　　刪除安裝IIS后生成的intepub目錄。目錄安全權限設置完畢。

　　PHP安全設置

　　由于此文說的是安全，跳過PHP安裝步驟。編輯PHP配置文件，用文本編輯器打開php.ini。做如下修改：
safe_mode = On
disable_functions = passthru, exec, shell_exec, system, fopen, mkdir, rmdir, chmod, unlink, dir, fopen, fread, fclose, fwrite, file_exists, closedir, is_dir, readdir, opendir, fileperms, copy, unlink, delfile, popen, COM

　　PHP使用network service這個用戶組啟動的，所以在PHP的安裝目錄我們需要給他權限，如圖所示：