您现在的位置:首页 >> 网站建设 >> 系统相关 >> 信息正文

服务器安装教程:Windows2000下IIS服务器安装及安全配置

2011-8-12 22:59:31 来源: 南天互联 作者:站长 录入:admin 访问:6516 次 被顶:2 次 字号:【
核心提示:Win2000 作为Microsoft最新一代网络操作系统,为用户提供了一个完整而强大的网络解决方案。其可操作性极强的安全权限、用户磁盘配额、Internet共享、支持即插即用、支持大容量硬盘、稳定的系统内核等功能,都是无盘网络的追求。 一...

    Win2000 作为Microsoft最新一代网络操作系统,为用户提供了一个完整而强大的网络解决方案。其可操作性极强的安全权限、用户磁盘配额、Internet共享、支持即插即用、支持大容量硬盘、稳定的系统内核等功能,都是无盘网络的追求。

    一、Windows 2000 四个版本的区别
Windows 2000 的四个版本分别是 Professional、Server、Advanced Server 和 Datacenter Server。


    其中 Professional 是桌面操作系统,它的前一个版本是 Windows NT 4.0 workstation 版本。适合移动家庭用户使用,可以用于升级 Windows 9x 和 NT 4。她以 NT 4 的技术为核心,采用标准化的安全技术,稳定性高,最大的优点是不会再像 Windows 98 那样频繁的出现非法程序的提示而死机。


    Windows 2000 Server 是服务器版本,它的前一个版本是 Windows NT4 .0 server 版。即可面向一些中小型的企业内部网络服务器,但它同样可以应付大型网络中的各种应用程序的需要。Server 在 NT 4 的基础上做了大量的改进,在各种功能方面有了更大的提高。
Advanced Server 是 Server 的企业版,它的前一个版本是 Windows NT 4.0 企业版。与 Server 版不同的是,Advanced Server 具有更为强大的特性和功能。它对 SMP(对称多处理器)的支持要比 Server 更好,支持的数目可以达到四路。


    Datacenter Server 是微软最近推出的一种 Windows 2000 的版本,它是目前为止最强大的服务器系统,可以支持 32 路 SMP 系统和 64GB 的物理内存。该系统可用于大型数据库、经济分析、科学计算以及工程模拟等方面,另外还可用于联机交易处理。
综上所述,这四种版本的用途各不同。如果是家用,还是选择 Professional 比较好;如果用于企业内部的服务器就应该选择 Server;但如果是用于 WEB 服务器,那么 Advanced Server 是最合适的;Datacenter Server 对于一般用户来说是用不着,因为它的定位是大型的数据处理。虽然这四个版本的用处不同,但普遍的一个特点就是对游戏的支持远远不如W IN9X。很多游戏在 Windows 2000 上的各个版本都无法正常运行,而且 Professional 的硬件驱动是这四个版本中最全的,其它的三个版本的驱动程序很少,再加之目前各硬件厂商 for Windows 2000 的驱动又不是很多,因此就造成了很多硬件无法在 Windows 2000 上运行的结果。

    二、Windows 2000 Advanced Server服务器的安装
本例中安装的Windows 2000 Advanced Server,是集成了sp4补丁的版本。
1、分区、格式化硬盘及第一阶段的安装
(1)在CMOS中设置CD-ROM引导优先。
  (2)用一张Windows 2000 Advanced Server安装盘引导启动系统。
  (3)如果你硬盘是通过RAID卡连接,一定要在安装界面出来后,下面有提示按F6的时候,按F6。
  (4)将40GB分一个6GB的主分区,最好为ntfs格式。(可根据情况自定分区容量,但最好不要少于1GB,其他分区可自己定义,从安全考虑一般都为ntfs格式。如果需要硬盘备份,则最好需要有个fat32格式硬盘。)
  (5)出现Windows 2000 Sevrver setup界面,在Windows 2000许可协议界面按F8同意,开始复制有关文件。
  (6)复制完文件后,重启系统。
2、输入用户及计算机相关信息
(1) 系统检测并安装设备,由于Windows 2000内置了大量的硬件驱动程序,因此很多外设无需驱动即可自动识别并驱动,给安装带来了很大的方便。
  (2)区域设置,按缺省值,选“下一步”。
  (3)输入姓名和单位。例:姓名:idc580 单位:idc580
  (4)出现“授权模式”界面有两种授权模式:“每服务器”和“每客户”。选择“每服务器”,同时连接数为“100”。
  (5) 输入计算机名和系统管理员密码。例:计算机名为:idc580密码可自己定义。
3、选取需安装的组件
在组件列表中根据需要添加和删除组件。(可根据情况作一些调整)现在使用默认选项。
4、网络相关设置
  (1)日期和时间设置。按缺省值设定。
  (2)网络设置。选择“典型设置”
  (3)输入工作组或计算机域。选择“不,计算机不使用网络上,……”输入域名,例:workgroup
  (4) 系统开始安装所选组件完毕后,系统重新启动。

    三、IIS 5.0 FOR Windows 2000 Advanced Server的安装和配置
IIS(Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。
准备篇 IIS的添加和运行
一、IIS的添加
   请进入“控制面板”,依次选“添加/删除程序→添加/删除Windows组件”,将“Internet信息服务(IIS)”前的小钩去掉(如有),重新勾选中后按提示操作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。

    二、IIS的运行
当IIS添加成功之后,再进入“开始→程序→管理工具→Internet服务管理器”以打开IIS管理器,对各个默认的服务点击右键查看其状态,对于有“已停止”字样的服务,均在其上单击右键,选“启动”来开启。

    第一篇:IIS之Web服务器
    一、建立第一个Web站点      
    比如web站点的IP地址想设为为192.168.0.1,自己的网页放在D:/Wy目录下,网页的首页文件名为Index.htm,现在想根据这些建立好自己的Web服务器。对于此Web站点,我们可以用现有的“默认Web站点”来做相应的修改后,就可以轻松实现。请先在“默认Web站点”上单击右键,选“属性”,以进入名为“默认Web站点属性”设置界面。    
    1.修改绑定的IP地址:转到“Web站点”窗口,再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“192.168.0.1”。  

    2.修改主目录:转到“主目录”窗口,再在“本地路径”输入(或用“浏览”按钮选择)好自己网页所在的“D:/Wy”目录。 

    3.添加首页文件名:转到“文档”窗口,再按“添加”按钮,根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。    

    4.添加虚拟目录:(没有设置)比如你的主目录在“D:/Wy”下,而你想输入“192.168.0.1/test”的格式就可调出“E:/All”中的网页文件,这里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键,选“新建→虚拟目录”,依次在“别名”处输入“test”,在“目录”处输入“E:/All”后再按提示操作即可添加成功。  

     5.效果的测试:打开IE浏览器,在地址栏输入“192.168.0.1”之后再按回车键,此时就能够调出你自己网页的首页,则说明设置成功!

    二、添加更多的Web站点     
    1.多个IP对应多个Web站点
    如果本机已绑定了多个IP地址,想利用不同的IP地址得出不同的Web页面,则只需在“默认Web站点”处单击右键,选“新建→站点”,然后根据提示在“说明”处输入任意用于说明它的内容(比如为“我的第二个Web站点”)、在“输入Web站点使用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可(如图1);当建立好此Web站点之后,再按上步的方法进行相应设置。

    2.一个IP地址对应多个Web站点     当按上步的方法建立好所有的Web站点后,对于做虚拟主机,可以通过给各Web站点设不同的端口号来实现,比如给一个Web站点设为80,一个设为81,一个设为82……(如图2),则对于端口号是80的Web站点,访问格式仍然直接是IP地址就可以了,而对于绑定其他端口号的Web站点,访问时必须在IP地址后面加上相应的端口号,也即使用如“
http://192.168.0.1:81”的完整格式访问,并不能像第一个默认的形式那样只是输入 “192.168.0.1”即可访问。

    很显然,改了端口号之后使用起来就麻烦些。如果你已在DNS服务器中将所有你需要的域名都已经映射到了此惟一的IP地址,则用设不同“主机头名”的方法,可以让你直接用域名来完成对不同Web站点的访问。比如你本机只有一个IP地址为192.168.0.1,你已经建立(或设置)好了两个Web站点,一个是“默认Web站点”,一个是“我的第二个Web站点”,现在你想输入“
www.idc580.com”可直接访问前者,输入“www.nicnt.com”可直接访问后者。其操作步骤如下:     
    (1)请确保已先在DNS服务器中将你这两个域名都已映射到了那个IP地址上;并确保所有的Web站点的端口号均保持为80这个默认值。     
    (2)再依次选“默认Web站点→右键→属性→Web站点”,单击“IP地址”右侧的“高级”按钮,在“此站点有多个标识下”双击已有的那个IP地址(或单击选中它后再按“编辑”按钮),然后在“主机头名”下输入“
www.idc580.com”再按“确定”按钮保存退出(如图3)。

    (3)接着按上步同样的方法为“我的第二个Web站点”设好新的主机头名为“
www.nicnt.com”即可。     
    (4)最后,打开你的IE浏览器,在地址栏输入不同的网址,就可以调出不同Web站点的内容了。     

    3.多个域名对应同个Web站点      你只需先将某个IP地址绑定到Web站点上,再在DNS服务器中,将所需域名全部映射向你的这个IP地址上,则你在浏览器中输入任何一个域名,都会直接得到所设置好的那个网站的内容。三、对IIS服务的远程管理     1.在“管理Web站点”上单击右键,选“属性”,再进入“Web站点”窗口,选择好“IP地址”。     2.转到“目录安全性”窗口,单击“IP地址及域名限制”下的“编辑”按钮,点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理;最后单击“确定”按钮。     3.则在任意计算机的浏览器中输入如“
http://192.168.0.1:3598”(3598为其端口号)的格式后,将会出现一个密码询问窗口,输入管理员帐号名(Administrator)和相应密码之后就可登录成功,现在就可以在浏览器中对IIS进行远程管理了!在这里可以管理的范围主要包括对Web站点和FTP站点进行的新建、修改、启动、停止和删除等操作。四、本部分常见问题解答  

   Q:在上文中所涉及到的网址中,有的加了“http://”,有的没加,这意味着什么呢?     A:没有加“http://”部分的网址,说明其可加可不加;而加了“http://”部分的,则说明它必不可少!对于带端口号的网址则必须加;否则可省略。     Q:对于上文中涉及到IP地址的网址,可否用比较“友好”的名称来代替呢?     A:可以!它除了能够用IIS服务器所在的计算机名来代替之外,还可在DNS服务器中新建域名和相应IP地址的映射表,就也可以用域名来进行访问了!     Q:我设置好了一个Web服务器,但是当我访问网页时,却出现密码提示窗口。这是为什么?     A:访问Web站点时,出现密码提示窗口,一般来说有以下原因,请逐个去进行检查:     1.所访问的网页文件本身加了密。比如“默认Web站点”原主目录“E:/Inetpub/wwwroot”下的首页文件“iisstart.asp”访问时就需要密码。  

   2.没有设置允许匿名访问或作了不应该的改动。如图4所示,首先应确保已勾选中了“匿名访问”这一项;并且其下“编辑”中“匿名用户帐号”中“用户名”一项应为“IUSR_NODISK”(其中“NODISK”为计算机名)的格式;另外,还需要已勾选中“允许IIS控制密码”一项。

    3.你的目标目录被限制了访问权限。此项仅当该目录位于NTFS格式分区中时才可能出现。请在其上单击右键,选“属性”,再进入“安全”窗口,看列表中是不是默认的允许“Everyone”组完全控制的状态,如不是,请改回(如图5)。

    第二篇 IIS之FTP服务器一、建立你的FTP站点     第一个FTP站点(即“默认FTP站点”)的设置方法和更多FTP站点的建立方法请参照前文Web服务器中相关操作执行。需要注意的是,如果你要用一个IP地址对应多个不同的FTP服务器,则只能用使用不同的端口号的方法来实现,而不支持“主机头名”的作法。     对于已建立好的FTP服务器,在浏览器中访问将使用如“
ftp://192.168.0.1”或是“ftp://192.168.0.1:22的格式”;除了匿名访问用户(Anonymous)外,IIS中的FTP将使用Windows 2000自带的用户库(可在“开始→程序→管理工具→计算机管理”中找到“用户”一项来进行用户库的管理)。二、本部分常见问题解答     Q:如何修改FTP服务器登录成功或退出时的系统提示信息?     A:在相应的FTP站点上单击右键,选“属性”,再转到“消息”窗口,在“欢迎”处输入登录成功之后的欢迎信息,在“退出”处输入用户退出时的欢送信息即可(如图6)。

    Q:为什么我的FTP服务器建立成功之后,除了管理员(Administrator)和匿名用户(Anonymous)之外,普通用户都不能在本机上登录;可在其他计算机上却能够正常使用。这是为什么?     A:因为默认的,普通用户不具有在本机登录的权限。如果要修改,请进入“开始→程序→管理工具→本地安全策略”中选择“左边框架→本地策略→用户权利指派”,再在右边框架中双击“在本地登录”项,然后将所需的普通用户添加到它的列表中去就行了。第三篇 IIS之SMTP服务器     如果你嫌互联网上的那些免费邮件发送邮件的速度过慢的话,你或许可以考虑用IIS来建立一个本地的SMTP服务器。不管你是直接连入互联网还是通过局域网接入,不管你是有静态的IP地址还是用动态的IP地址,都可以很轻松地建立成功!     建立IIS下的SMTP服务器的方法非常简单,只需在IIS管理器中让“默认SMTP虚拟服务器”处于已启动状态就行了;此外一般不用再做其他任何设置。     如果你想要用自己的SMTP服务器发信,只需将你E-mail客户端软件设置中“发送邮件服务器(SMTP)”项中填入“localhost”,则不管你的IP地址如何变化,它都能正常工作(如图7)。

当你使用自己的这个SMTP服务器发送E-mail时,不仅有不受制于人的自由感,更有闪电般的发信速度,是个人SMTP服务器的最佳选择!
    四、FTP Serv U 服务器的组建
  在所有的FTP服务器端软件中,Serv-U除了拥有其他同类软件所具备的几乎全部功能外,还支持断点续传、支持带宽限制、支持远程管理、支持远程打印、支持虚拟主机等;再加上良好的安全机制、友好的管理界面及稳定的性能,使它赢得了很高的赞誉,并被非常广泛地使用着。

    一、Serv-U的基本情况
    Serv-U汉化破解版 6.0.0.2。在本区教育网内部下载,点击这里下载。
    二、Serv-U的安装和卸载
    1.Serv-U的安装     直接双击下载所得到的susetup1.exe文件即可开始其安装工作。除了在出现使用协议那一步中,需要先勾选中I have read and accept the above license agreement(我已经阅读并接受以上协议)再按Next(下一步)按钮之外,其他均使用其默认选项即可。     当安装完成后,系统将自动进入Serv-U Administrator(以下简称"管理器")的窗口,同时出现Setup Wizard(安装向导),此时就可以根据这个向导开始建立你的第一个FTP服务器了。(如图1)

Serv-U的卸载     选"开始→程序→Serv-U FTP Server"下的Remove Serv-U(卸载),再根据需要按提示操作即可。

    三、建立第一个FTP服务器
    为了说明方便起见,笔者在这里假设你的本机IP地址是192.168.0.1,本机计算机名为WY,你想在自己的局域网中建立一个只允许匿名访问(Anonymous)的FTP服务器,匿名用户登录后进入的将是D:/wy目录。     在安装向导中,一般建议除了以下几个需要修改的地方之外,对于初学者来说,其他部分一律选其默认选项(直接按Next按钮)即可。     1.当进行到有Anonymous home directory(匿名用户的主目录)提示的一步时,单击其右侧的箱子图标选择好目标目录D:/wy后再按Next(下一步)按钮继续。(如图2)

    Create named account(建立名字账户)提示的一步时,选中No(不)一项后再按Next(下一步)按钮继续。     当配置完成后,即可以在管理器左边框架的Domains(域名)下看到有个Wizard Generated Domain项,其下的Users(用户)中就包含了一个名为Anonymous的账户,此账户登录后的虚拟根目录(主目录)即为D:/wy目录。(如图3)

此FTP服务器地址为192.168.0.1(或用此服务器的计算机名WY也可),默认端口号为21,只允许用匿名账号Anonymous登录。
-------
    Serv-U安装向导(Setup Wizard)主要内容详解
    1.IP address ,leave blank for dynamic or unknown IP(IP地址,如果是动态IP或不知道IP则保持为空):此项需要填入你欲为此FTP服务器绑定的IP地址。除非你的计算机有多个固定的IP地址,并且你只想其中一个被FTP服务器所使用时,才需要在此地输入那个相应的IP地址;否则一般建议,不管你是否有固定的IP地址,都请保留此项为空。
    2.Domain name(域名):此处填入你FTP服务器的域名。但域名是由DNS解析而不是由这里决定的,因此实际上你可以填入任意内容--比如像"我的第一个FTP服务器"这种对此FTP进行说明的文字。
    3.Install as system service(作为一个系统服务安装吗):此项对于操作系统是Windows NT/2000/XP的服务器有效。选择了Yes(是),则Serv-U的FTP服务就会被添加到系统服务中(在"管理工具"下的"服务"中可以查看到);选择了No(否),则不会做为系统服务存在。如果你的FTP服务器是常年运行的,则建议选Yes(是);如果只是需要时才运行,则建议选No(否)。
    4.Allow anonymous access(接受匿名登录吗):如果你想让此FTP服务器接受匿名登录,则此处必须选择Yes(是);否则选No(否)。
    5.Anonymous home directory(匿名用户的主目录):此处可设定匿名用户登录后其虚拟根目录在FTP服务器上的真实位置。
    6.Lock anonymous users in to their home directory(将匿名用户锁定到其主目录吗):如果选择Yes(是),则匿名用户只能访问其主目录及以下的目录树;如果选择No(否),则它还可以访问其主目录的同级或更高级的目录树。从安全角度考虑,一般建议选Yes(是)。
    7.Create named account(建立命名账户吗):这里询问是否直接建立普通用户(相对匿名用户而言)账号。
--------
四、常见基本操作
    在根据安装向导建立好你的第一个FTP服务器后,只能实现Serv-U赋予的默认功能和权限,要真正让这个服务器能被你自己随心所欲地控制,则还需要经过一些其他后续操作。     1.客户端的连接     在IE浏览器(Internet Explorer)中,客户端的访问格式为
ftp://192.168.0.1/,不需要输入用户名和密码;在DOS(或命令提示符)状态下,客户端的访问格式为ftp -A 192.168.0.1,也不需要输入用户名和密码;在专业的FTP客户端软件设置中,以CuteFTP Version 4.2中文版为例,在"站点管理器"的"FTP主机地址"处输入192.168.0.1,再选中"登录类型"下的"匿名连接"项即可,同样不需要输入用户名和密码。
-------
    说明
    1.在以上客户端的连接中,IP地址192.168.0.1也可以用计算机名WY来代替。
    2.除了在ftp -A 192.168.0.1中的"A"一定要大写外,其他处均不区分大小写。
    3.如果在DOS下用ftp 192.168.0.1的格式进行登录,则需要输入匿名登录的用户名Anonymous,此时密码为空(直接回车)或为其他任意值。
-------
    2.对FTP用户的管理     欲增加一个新用户(包括增加Anonymous用户),则在管理器的左边框架中选中Users(用户),然后单击右键,进入New User(新用户),依次根据提示为它设置好User Name(用户名)、Password(密码)、Home directory(主目录)等即可完成。     欲删除一个用户,则在此用户上单击右键,选Delete User(删除用户)即可。     欲复制一个用户,则在此用户上单击右键,选Copy User(复制用户),则会多出一个名字如Copy of xxx格式的新用户,它除了用户名和源用户不同外,其他部分--包括密码、主目录、目录权限等等--均与之完全一致。     欲暂时禁止一个用户的登录权限,只需先在左边框架中选中此用户,然后在右边框架中进入Account(账户)窗口,勾选中Disable account(禁止账户)即可。     3.对目录权限的管理     在管理器左边框架中选中用户名,再在右边框架中进入Dir Access(目录存取)窗口,然后在列表中选中相应目录后,就可以在窗口的右侧更改当前用户对其的访问权限了。(如图4)

说明
    1.Read(读):对文件进行"读"操作(复制、下载;不含查看)的权力。
    2.Write(写):对文件进行"写"操作(上传)的权力。
    3.Append(附加):对文件进行"写"操作和"附加"操作的权力。
    4.Delete(删除):对文件进行删除(上传、更名、删除、移动)操作的权力。
    5.Execute(执行):直接运行可执行文件的权力。
    6.List(列表):对文件和目录的查看权力。
    7.Create(建立):建立目录的权力。
    8.Remove(移动):对目录进行移动、删除和更名的权力。
    9.Inherit(继承):如勾选中此项则以上设置的属性将对当前Path(目录)及其下的整个目录树起作用;否则就只对其当前Path(目录)有效。
-------
    4.增加虚拟目录     比如匿名用户(Anonymous)的主目录为D:/wy,想要能通过
ftp://192.168.0.1/test的格式能访问到在E:/all/nodisk中的内容,则需要为它添加虚拟目录。操作步骤如下:     (1)在管理器左边框架中,选择Domains(域名)下的Settings(设置),再在右边框架中转到General(常用)窗口。     (2)单击Virtual path mappings(虚拟目录映射)下的Add(增加)按钮,之后根据提示在Physical path(物理路径)下选择E:/all/nodisk;在Map Physical path to(映射物理路径到)下选择D:/wy;在mapped path name(映射路径名)处输入test即可添加好此虚拟目录的映射记录。(如图5)

(3)最后在管理器的左边框架中选中Anonymous用户,再在右边框架中转到Dir Access(目录存取)窗口,按Add(添加)按钮将E:/all/nodisk目录增加到列表中去。五、常见问题     Q:我在Serv-U中建立好自己的FTP服务器之后,用匿名登录上去,发觉所处位置不是自己原设置的主目录;我在Serv-U中新建立的账户则根本不能登录。为什么?     A:出现这种问题,极可能是因为在安装Serv-U之前,你的计算机上还运行着其他FTP服务!最常见的是启动了IIS中的FTP服务,由于它已先行占用了21端口,因此后面装的Serv-U就不能正常运行了。     解决方法是到"开始→程序→管理工具→Intenret信息服务"中将里面所有的FTP站点都逐个去单击右键,选"停止";最后再在Serv-U的管理器中,选中左边窗口中的Local Server(本机服务器),再单击右边框架中的Stop Server(停止服务)按钮,然后重新单击Start Server(开启服务)按钮即可。     Q:我想暂停Serv-U的FTP服务,但当我退出管理器后,却发觉它的服务仍然在生效。这是为什么呢?     A:因为Serv-U的管理器和FTP服务两部分是相对分离的,关闭一部分,并不对另一部分产生影响。欲暂停FTP服务,需得在管理器中选中Local Server(本机服务器),再按Stop Server(停止服务)按钮。     Q:我的计算机是拨号上网,如何利用Serv-U建立一个互联网上的FTP服务器?     A:拨号上网每次所获得的IP地址均不同,因此,当按本文前面所述的方法安装和配置好你的Serv-U服务器之后,每次重新拨号成功之后,你都需要用winipcfg(用于Win9x下)或ipconfig /all(用于Windown NT/2000下)查看到当前的最新IP地址后,再将它告诉要访问你服务器的人即可。其他地方不需要再做任何修改。     Q:我在单位内部网上建立了一个Serv-U服务器,但是它只能用IP地址或计算机名进行访问,如何使它同时可用如
ftp://ftp.nicnt.com/形式的域名进行访问呢?     A:这需要在你的Windows 2000中建立IP地址和域名相对应的DNS记录。

  五、Windows 2000 Advanced Server 和iis的安全性和配置
1、Windows 2000 Advanced Server 的安全设置
(本节所讲的安全方面的设置,已经做成程序,可以自动实现下面的效果,在本区教育网内部下载,点击这里下载。)
  系统不安全,不要老埋怨软件的本身,多想想人为的因素吧!下面从管理员的角度来谈谈在管理过程中需要注意的几点:
1、关注最新漏洞,及时打上补丁和安装防火墙
管理员的职责是维护系统的安全,吸收最新的漏洞信息,及时打上相应的补丁,这是维护系统安全最简单也是最有效的方法。
比如:冲击波和震荡波补丁 ie安全性补丁等.
2、禁止建立空连接,拒人于门外
黑客们经常采用共享进行攻击,其实不是它的漏洞,只怪管理员的账户和密码太简单,留着不放心,还是禁止掉的好!
这主要是通过修改注册表来实现,主键及键值如下:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]
RestrictAnonymous = DWORD:00000001
3、禁止管理共享
除了上面的,还有这个呢!一起禁止吧![HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
AutoShareServer = DWORD:00000000
4、精巧设计密码,慎防入侵
呵呵,看了上面的第2点和第3点,有经验的朋友自然会常想到这一点了。不错,这是老生常谈的事情了,很多服务器被攻陷都是由于管理员密码过于简单而造成的。
对于密码的设置,我建议:①长度超过8位为宜。②大小写字母、数字、特殊符号的复杂组合,如:G1$2aLe^ ,避免“纯单词”或者“单词加数字”型的密码,如:gale、gale123等。
特别注意:MSSQL 7.0 中的SA密码千万不能为空!默认情况下“SA”密码是空的,而它的权限是“admin”,想想后果吧。
5、限制管理员组的用户数量
严格限制管理员组的用户,时时刻刻保证只有一个Administrator(也就是你自己)是该组的用户。至少每天检查一次该组的用户,发现多增加的用户一律删除!毫无疑问,那新增的用户一定是入侵者留下的后门!同时要注意Guest用户,聪明的入侵者一般不会添加陌生用户名,这样容易被管理员发现行踪,他们通常是先激活Guest用户,然后是更改它的密码,再放到管理员组,但Guest无端跑到管理员组来干嘛?停掉!
6、停止不必要的服务
服务开的太多也不是个好事,将没有必要的服务通通关掉吧!特别是连管理员都不知道是干什么的服务,还开着干什么!关掉!免得给系统带来灾难。
另外,管理员如果不外出,不需要远程管理你的计算机的话,最好将一切的远程网络登录功能都关掉。注意,除非特别需要,否则禁用“Task Scheduler”、“RunAs Service”服务!
关闭一项服务的方法很简单,运行cmd.exe之后,直接net stop servername 即可。
比如以下服务可以禁用:
  * Alerter (disable)
  * ClipBook Server (disable)
  * Computer Browser (disable)
  * DHCP Client (disable)
  * Directory Replicator (disable)
  * FTP publishing service (disable)
  * License Logging Service (disable)
  * Messenger (disable)
  * Netlogon (disable)
  * Network DDE (disable)
  * Network DDE DSDM (disable)
  * Network Monitor (disable)
  * Plug and Play (disable after all hardware configuration)
  * Remote Access Server (disable)
  * Remote Procedure Call (RPC) locater (disable)
  * Schedule (disable)
  * Server (disable)
  * Simple Services (disable)
  * Spooler (disable)
  * TCP/IP Netbios Helper (disable)
  * Telephone Service (disable)
在必要时禁止如下服务:
  * SNMP service (optional)
  * SNMP trap (optional)
  * UPS (optional
  设置如下服务为自动启动:
  * Eventlog ( required )
  * NT LM Security Provider (required)
  * RPC service (required)
  * WWW (required)
  * Workstation (leave service on:will be disabled later in the document)
  * MSDTC (required)
  * Protected Storage (required)
7、管理员安分守己,不用公司的服务器做私人用途  
Win2K Server 除了可以像服务器之外,同时还可以做个人用户的计算机一样,上网浏览网页、收发E-mail等等。作为管理员,应该尽量少用服务器的浏览器来浏览网页,避免因浏览器的漏洞造成木马感染和公司的隐私信息暴露。微软IE漏洞多多,相信大家不会不知道吧?另外,也少在服务器上使用Outlook等工具来收发E-mail,避免染上病毒,给企业带来损失。
8、注意本地安全
防止远程入侵很重要,但系统的本地安全也不容忽视,入侵者不一定在远处,有可能就在身边!
(1)及时打上最新版的补丁,防止输入法漏洞,这是不用再说的了。输入法漏洞不仅是导致本地入侵,如果开了终端服务的话,系统之门就会大开,一个装了终端客户端的机器就可以轻易闯进来!
(2)不显示上次登录的用户
如果你的机器是不得不多人共用的话(其实,真正的一台服务器是不应该这样的),那禁止显示上次登录的用户很重要,免得别人猜中密码。设置方法是:在[开始]→[程序]→[管理工具]→[本地安全策略],打开“本地策略”的“安全选项”,在右边双击“登录屏幕上不要显示上次登录的用户名”,选中“已启用”,再点击[确定],这样,下次登录的时候就不会在用户名框上显示上次登录过的用户名了。
2、iis 的安全设置
  ■. 关闭并删除默认站点:
  默认FTP站点
  默认Web站点
  管理Web站点
  ■. 建立自己的站点,与系统不在一个分区,如
  D:\wwwroot3. 建立 E:\Logfiles 目录,以后建立站点时的日志文件均位于此目录,确保此目录上的访问控制权限是: Administrators(完全控制)System(完全控制)
  ■. 删除IIS的部分目录:
  IISHelp C:\winnt\help\iishelp
  IISAdmin C:\system32\inetsrv\iisadmin
  MSADC C:\Program Files\Common Files\System\msadc\
  删除 C:\\inetpub
    ■. 删除不必要的IIS映射和扩展:
  IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时,该调用由 DLL 处理。如果您不使用其中的某些扩展或功能,则应删除该  映射,步骤如下:
  打开 Internet 服务管理器:
  选择计算机名,点鼠标右键,选择属性:
  然后选择编辑
  然后选择主目录, 点击配置
  选择扩展名 \".htw\",\".htr\",\".idc\",\".ida\",\".idq\"和\".printer\",点击删除
  如果不使用server side include,则删除\".shtm\" \".stm\" 和 \".shtml\"
  ■. 禁用父路径 :
  “父路径”选项允许您在对诸如 MapPath 函数调用中使用“..”。在默认情况下,该选项处于启用状态,应该禁用它。
  禁用该选项的步骤如下:
  右键单击该 Web 站点的根,然后从上下文菜单中选择“属性”。
  单击“主目录”选项卡。
  单击“配置”。
  单击“应用程序选项”选项卡。
  取消选择“启用父路径”复选框。
  ■. 在虚拟目录上设置访问控制权限
  主页使用的文件按照文件类型应使用不同的访问控制列表:
  CGI (.exe, .dll, .cmd, .pl)
  Everyone (X)
  Administrators(完全控制)
  System(完全控制)
  脚本文件 (.asp)
  Everyone (X)
  Administrators(完全控制)
  System(完全控制)
  include 文件 (.inc, .shtm, .shtml)
  Everyone (X)
  Administrators(完全控制)
  System(完全控制)
  静态内容 (.txt, .gif, .jpg, .html)
  Everyone (R)
  Administrators(完全控制)
  System(完全控制)
  在创建Web站点时,没有必要在每个文件上设置访问控制权限,应该为每个文件类型创建一个新目录,然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。
  例如,目录结构可为以下形式:
  D:\wwwroot\myserver\static (.html)
  D:\wwwroot\myserver\include (.inc)
  D:\wwwroot\myserver \script (.asp)
  D:\wwwroot\myserver \executable (.dll)
  D:\wwwroot\myserver\images (.gif, .jpeg)
  ■. 启用日志记录
  确定服务器是否被攻击时,日志记录是极其重要的。
  应使用 W3C 扩展日志记录格式,步骤如下:
  打开 Internet 服务管理器:
  右键单击站点,然后从上下文菜单中选择“属性”。
  单击“Web 站点”选项卡。
  选中“启用日志记录”复选框。
  从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。
  单击“属性”。
  单击“扩展属性”选项卡,然后设置以下属性:
  * 客户 IP 地址
  * 用户名
  * 方法
  * URI 资源
  * HTTP 状态
  * Win32 状态
  * 用户代理
  * 服务器 IP 地址
  * 服务器端口
  六、其他方式达到的安全性
1、安装防火墙软件
安装普通的防火墙软件.抵御一般性攻击.比如:天网防火墙软件 下载地址
安装专业网络检测以及系统防护软件.比如:blackice  下载地址
2、在tcp/ip协议高级中进行端口限制
  解除NetBios与TCP/IP协议的绑定
  说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:NT:控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
  只开放必要的端口,关闭其余端口。
  说明:缺省情况下,所有的端口对外开放,黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。
  现将一些常用端口列表如下:

  端口 协议 应用程序
  21 TCP FTP
  25 TCP SMTP
  53 TCP DNS
  80 TCP HTTP SERVER
  1433 TCP SQL SERVER
  5631 TCP PCANYWHERE
  5632 UDP PCANYWHERE
  6(非端口) IP协议
  8(非端口) IP协议
3、加强数据备份;
  说明:这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,而这往往是黑客们真正关心的东西;遗憾的是,不少网管在这一点上作的并不好,不是备份不完全,就是备份不及时。数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。
方法:1、计划任务方式
   2、专用软件方式

参与评论
共有评论 0网友评论列表
© CopyRight 2009 南天互联帮助中心, Inc.All Rights Reserved.
Powered by:南天互联 Design by:Nicnt 鲁ICP备08105365号