|
WINDOWS服务器配置单
详细的配置说明
已装
已检
1
将服务器分成三个盘,C盘装系统(小),D盘装备份及运行的程序和IIS日志(中),E盘存放网站内容(大)。
□
□
2
安装Windows2003系统
□
□
3
更改计算机名,根据服务器的域名来定计算机名,如这台服务器的域名是s513.now.net.cn,就可以把计算机名改成S513NOWNETCN,更改方法:“我的电脑”-->“属性” --> “计算机名” -->点击“更改” -->写入计算机名,工作组为“WORKGROUP” -->重启
□
□
4
给服务器打上最新的补丁,使用Windows Update,打关键的补丁。
□
□
5
安装终端服务,“控制面板”-->“添加或删除程序” --> “添加/删除Windows组件” --> “终端服务器”
□
□
6
(重点)设置IP Sec筛选?(3389端口安全措施):如果IP Sec服务器未开启,请在“服务”-->IPSEC Services自动、启动
具体见附文一
□
□
7
(重点)设置路由筛选器(其它端口安全措施):如果路由筛选器未开户,请在“服务”-->Routing and Remote Access自动、启动
打开路由管理器,右键选择“配置并启用路由和远程访问”-->“下一步”-->自定义配置,下一步-->LAN路由,下一步-->完成-->“是”,开启服务。
展开,IP路由选择-->常规-->双击“本地链接”-->“入站筛选器”-->新建:
协议:TCP,目标端口:135,其它不用管
要封的端口有:135,139,443,445,25
使用命令行netstat –an可以查看端口
□
□
8
策略 设置
策略更改 成功
登录事件 成功 失败
对象访问 成功
过程追踪 成功
目录服务访问 成功
特权使用 无审核
系统事件 成功 失败
帐号登录事件 成功 失败
帐号管理 成功
开启帐户策略
复位帐户锁定计数器 30分钟
帐户锁定时间 30分钟
帐户锁定阈值 60次
□
□
9
□
□
10
禁用基于 TCP/IP 的 NetBIOS
□
□
11
注册表的修改
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WScript.Network
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WScript.Network.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WScript.Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WScript.Shell.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Shell.Application.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Shell.Application
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 72C24DD5-D70A-438B-8A42-98424B88AFB8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 093FF999-1EA0-4079-9525-9614C3504B74}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{ 13709620-C279-11CE-A49E-444553540000}
对以上的注册表键值要重命名
□
□
12
注册表的权限修改(重要)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WINNT
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{8b20cd60-0f29-11cf-abc4-02608c9e7553}
这两个键的权限要进行修改,修改只剩下administrators和system有权限。
□
□
13
一些重要文件的权限修改(重要)
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\net.exe
C:\WINDOWS\system32\inetsrv\adsiis.dll (重要)
安全选项只剩下Administrators和System
□
□
14
一些涉及安全的文件夹权限(重要)
C:\Program Files
C:\Documents and Settings
安全选项只剩下Administrators和System
□
□
下面的是Web服务器的配置了,这些不用急着弄啦。
15
IP Sec 的筛选见文章最后一段,但这个我还没写完,如果服务器上了,配好上面的之后打电话给我,我来配吧。
□
□
16
(重点)安装IIS,“控制面板” --> “添加或删除程序” --> “添加/删除Windows组件” -->
√应用程序服务器|
√ASP.NET
√Internet信息服务(IIS)
√Internet信息服务管理器
√SMTP Service
√公用文件
√万维网服务
√Active Server Page
√万维网服务
√文件传输协议(FTP)服务
√启用网络COM+访问
√应用程序服务器控制台
□
□
17
创建用户管理组:
iisuser组(存放IIS的匿名访问组):
IUSER_COMPUTERNAME,IWAM_COMPUTERNAME,
NT AUTHORITY\NETWORK SERVICE
webuser组(存放FTP用户组):
Ftpuser
□
□
18
E盘开启磁盘配额
□
□
19
E盘的用户权限配置
Administrators完全控制
iisuser 只有子文件夹及文件 修改
Network Service 只有该文件夹 读取属性
D盘的用户权限配置
Administrators完全控制
System完全控制
C盘的用户权限配置
Administrators完全控制
C:\Inetpub\mailroot everyone修改
C:\Inetpub\ftproot文件夹everyone读取及运行,不然FTP登录不了
如果安装了php需要把PHP的安装文件夹给everyone读执权限
如果安装了cgi需要把cgi的安装文件夹给everyone读执权限
□
□
20
配置IIS步骤1:FTP
a. 连接限制为100,连接超时为120秒
b. 启用日志记录,属性:日志文件目录D:\LogFiles
c. 安全帐户:去掉“允许匿名连接”的钩
□
□
21
配置IIS步骤2:应用程序池
a. 回收工作进程时间:120~240分钟
b. 去掉核心请求队列限制的钩
c. 打上空闲超时的钩,20
d. web园:1
e. 启用Ping:30
f. 去掉快速失败保护的钩
g. 建立一个新的AppManager应用程序池
□
□
22
配置IIS步骤3:网站
a. 连接超时10~20秒,保持HTTP连接
b. 启用日志记录
c. 日志属性:日志文件目录:D:\LogFiles
d. 文件命名和创建使用当地时间
e.
□
□
23
配置IIS步骤4:网站-->性能
a. 宽带限制:1024
b. 网站连接根据空间类型定:30~200
c. 基本型:30~50 增加型:50~80 商务型:100~150 专用型:200~250
□
□
24
配置IIS步骤5:网站-->主目录-->配置
a. 映射:去掉无用的映射:cdx,cer,idc等等
b. 启用父路径,ASP脚本超时为15秒
c. 缓存:磁盘缓存目录:D:\ ASP Compiled Templates 给这个目录的权限是IIS_WPG 完全控制
□
□
25
配置IIS步骤6:网站-->文档
index.aspx;index.asp;index.htm;index.html;
default.aspx;default.asp;default.htm;default.html
index.cgi;default.cgi;
如果有php的话index.php;default.php
□
□
26
配置IIS步骤7:网站-->目录安全性-->身份验证和访问控制-->编辑-->去掉“集成Windows身份验证”的钩
□
□
27
配置IIS步骤8:Web服务扩展:
只允许Active Server Page及ASP.net,其它禁止
如果配置了php加一个php允许
□
□
28
配置IIS步骤9:默认SMTP虚拟服务器
a. 限制连接数:5,连接超时1分钟
b. 限制每个连接的邮件数1,限制每个邮件的收件人数为100
c. 第一次重试300,第二次重试300,每三次重试300,后续重试3000,延迟通知12小时,过期超时2天
d. 出站连接:限制连接数为5,超时为1;限制每个域的连接数为1。
□
□
29
添加计划任务(暂无)
使用IP Sec筛选来封3389端口
现在没来得及写,如果已经搬了服务器上去,打电话给我我马上连过去配置,但先做好前面的安全工作先。
一.创建IP筛选器和筛选器操作
1."开始"->"程序"->"管理工具"->"本地安全策略".微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的.
2.右击"Ip安全策略,在本地机器",选择"管理 IP 筛选器表和筛选器操作",启动管理 IP 筛选器表和筛选器操作对话框.我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.
3.在"管理 IP 筛选器表"中,按"添加"按钮建立新的IP筛选器:
1)在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"deny 3389",描述随便填写.单击右侧的"添加..."按钮,启动IP筛选器向导.
2)跳过欢迎对话框,下一步.
3)在IP通信源页面,源地方选"任何IP地址",因为我们要阻止传入的访问.下一步.
4)在IP通信目标页面,目标地址选"我的IP地址".下一步.
5)在IP协议类型页面,选择"TCP".下一步.
6)在IP协议端口页面,选择"到此端口"并设置为"3389",其它不变.下一步.
7)完成.关闭IP筛选器列表对话框.会发现tcp3389IP筛选器出现在IP筛选器列表中.
3.在"管理 IP 筛选器表"中,按"添加"按钮建立新的IP筛选器:
1)在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"allow 3389",描述随便填写.单击右侧的"添加..."按钮,启动IP筛选器向导.
2)跳过欢迎对话框,下一步.
3)在IP通信源页面,源地方选"一个特定的IP地址",写入61.145.229.66,因为我们要允许传入的访问.下一步.
4)在IP通信目标页面,目标地址选"我的IP地址".下一步.
5)在IP协议类型页面,选择"TCP".下一步.
6)在IP协议端口页面,选择"到此端口"并设置为"3389",其它不变.下一步.
7)完成.关闭IP筛选器列表对话框.会发现tcp3389IP筛选器出现在IP筛选器列表中.
8)需要要完成的IP有61.145.229.67;61.145.229.68;61.145.112.128;218.16.121.14
4.选择"管理筛选器操作"标签,创建一个拒绝操作:
1)单击"添加"按钮,启动"筛选器操作向导",跳过欢迎页面,下一步.
2)在筛选器操作名称页面,填写名称,这儿填写"deny".下一步.
3)在筛选器操作常规选项页面,将行为设置为"阻止".下一步.
4)完成.
5.关闭"管理 IP 筛选器表和筛选器操作"对话框.
二.创建IP安全策略
1.右击"Ip安全策略,在本地机器",选择"创建IP安全策略",启动IP安全策略向导.跳过欢迎页面,下一步.
2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝对tcp3389端口的访问",描述可以随便填写.下一步.
3.在安全通信要求页面,不选择"激活默认响应规则".下一步.
4.在完成页面,选择"编辑属性".完成.
5.在"拒绝对tcp3389端口的访问属性"对话框中进行设置.首先设置规则:
1)单击下面的"添加..."按钮,启动安全规则向导.跳过欢迎页面,下一步.
2)在隧道终结点页面,选择默认的"此规则不指定隧道".下一步.
3)在网络类型页面,选择默认的"所有网络连接".下一步.
4)在身份验证方法页面,选择默认的"windows 2000默认值(Kerberos V5 协议)".下一步. (这一步2003没有)
5)在IP筛选器列表页面选择我们刚才建立的"tcp3389"筛选器.下一步.
6)在筛选器操作页面,选择我们刚才建立的"deny"操作.下一步.
7)在完成页面,不选择"编辑属性",确定.
6.关闭"拒绝对tcp3389端口的访问属性"对话框.
三.指派和应用IPsec安全策略
1.缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派.在本地安全策略MMC中,右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略,选择"指派".
??
??
??
??
WINDOWS服务器配置单
|
加好友 
发短信
家人主人
Post By:2006/6/21 15:36:27 [只看该作者]
