一份很强的Windows2003作为WEB服务器的安全设置方案(2)

>> 优化IIS6应用程序池
　　 1、取消“在空闲此段时间后关闭工作进程（分钟）”
　　 2、勾选“回收工作进程（请求数目）”
　　 3、取消“快速失败保护”
>> 解决SERVER 2003不能上传大附件的问题
　　 在“服务”里关闭 iis admin service 服务。
　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
　　 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为20M即：20480000）
　　 存盘，然后重启 iis admin service 服务。
>> 解决SERVER 2003无法下载超过4M的附件问题
　　 在“服务”里关闭 iis admin service 服务。
　　 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
　　 找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即：20480000）
　　 存盘，然后重启 iis admin service 服务。
>> 超时问题
　　 解决大附件上传容易超时失败的问题
　　 在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，
　　 设置脚本超时时间为：300秒 (注意：不是Session超时时间)
　　 解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题
　　 适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置-->选项”，
　　 就可以进行设置了(Windows 2003默认为20分钟)

　　
5、WEB目录权限
　　作为虚拟主机.会有许多独立客户
　　比较保险的做法就是为每个客户,建立一个windows用户
　　然后在IIS的响应的站点项内把IIS执行的匿名用户.绑定成这个用户
　　并且把他指向的目录权限变更为:
　　administrators 全部权限
　　system 全部权限
　　单独建立的用户(或者IUSER) 选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.
　　如果服务器上站点不多.并且有论坛.我们可以把每个论坛的上传目录去掉此用户的执行权限.只有读写权限.这样入侵者即便绕过论坛文件类型检测上传了webshell也是无法运行的.

6、SQL2000 SERV-U FTP安全设置
　　 SQL安全方面
　　 1、System Administrators 角色最好不要超过两个
　　 2、如果是在本机最好将身份验证配置为Win登陆
　　 3、不要使用Sa账户，为其配置一个超级复杂的密码
　　 4、删除以下的扩展存储过程格式为:
　　 use master
　　 sp_dropextendedproc '扩展存储过程名'
　　 xp_cmdshell:是进入操作系统的最佳捷径，删除
　　 访问注册表的存储过程，删除
　　 Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues
　　 Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring
　　 OLE自动存储过程，不需要删除
　　 Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty
　　 Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop
　　 5、隐藏 SQL Server、更改默认的1433端口
　　 右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口
　　
    serv-u的几点常规安全需要设置下:
　　 选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。


7、 修改3389远程连接端口
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"portNumber"=dword:0000端口号
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"portNumber"=dword:0000端口号
设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号
修改完3389后记得在防火墙打开修改后的端口

8、本地策略：
>>   本地策略--->用户权限分配
　　 关闭系统：只有Administrators组、其它全部删除。
　　 通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除
>> 在安全设置里 本地策略-用户权利分配，通过终端服务拒绝登陆,加入
ASPNET
IUSR_
IWAM_
NETWORK SERVICE
(注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了)

>>本地安全策略->本地策略->审核策略
　　打开以下内容
　　审核策略更改        成功,失败
　　审核系统事件        成功,失败