安全な個人のWebサーバーを作成することを教えるための10個のステップ

Win2003のサーバーが実際に大幅に改善されたが、それかどうかをサーバーとして使用Win2003のサーバーは本当に安全？どのように我々は、安全な個人のWebサーバーを作成することができますか？ここでは、簡単に

A、
ページ1
のWindows Server2003のインストールを説明し、システムをインストールする2つのパーティションの最小値を必要とし、パーティションのフォーマットはNTFSフォーマットである

2、ネットワークから切断された2003のシステム

3をインストールし、IISをインストールし、必要なだけのコンポーネント（例えば、FTPおよびSMTPなどの不要なサービスを無効にする）をインストールするIIS。

インターネットを：デフォルトでは、IISサービスは、追加/Winのコンポーネントを削除するには、以下のオプションをチェックし、インターネットインフォメーションサービス（IIS）をダブルクリックし、「詳細」をクリックし、「アプリケーション・サーバー」を選択してインストールされていません情報サービスマネージャ;

公文書;で
バックグラウンドインテリジェント転送サービス（BITS）サーバー拡張機能、

World Wide Webサービス。

は、FrontPage拡張Webサイトを使用して、チェックされている場合は、次のFrontPage 2002 Server Extensionsの

4、MSSQL、その後、それが必要ソフトウェアおよび更新プログラムをインストールします。 MBSAを使用して

5は、（マイクロソフトBaseline Security Analyzerの）Microsoftは、コンピュータのセキュリティ設定を分析し、不足しているパッチやアップデートを識別するためのツールを提供します。ダウンロード：デフォルトの管理者アカウント名（管理者）を変更し、第二に、セットアップおよび
1
アカウントの管理、システム管理者アカウントは、より多くを構築するのが最善の方法ですで
ページの最後にあるリンクを参照してください。パスワードは、好ましくは、数字の組み合わせプラスシフトキープラス大文字と小文字の数を使用して説明した、長さが14よりも小さくありません。

2、最小限の権限を設定するために、トラップの管理者という名前の新しいアカウントを作成し、何気なく20以上のパスワード

3の最適な組み合わせを入力し、Guestアカウントが無効になっています名前と説明を変更し、複雑なパスワードを入力し、もちろん、今DelGuestツールがありますが、多分あなたはまた、Guestアカウントを削除するためにそれを使用することができますが、私は試していません。

4、グループポリシーエディタを開き、コンピュータの構成-Windows設定を選択し、キャリッジリターンの動作にgpedit.mscと入力します - [セキュリティの設定] - [アカウント戦略を - アカウントロックアウトのポリシーが、アカウントは「3つの無効なログイン」に設定されています「30分に設定されたロックのカウントをリセットします。」、「ロック時間は30分です」セキュリティ設定で

5、 - [セキュリティの設定で

6のセキュリティオプションを有効にするには、「最後のユーザー名を表示しない」 - - ローカルポリシーローカルポリシー - ユーザー権利の割り当てIISプロセスアカウントを起動し、唯一のインターネットゲストアカウントを保持するために、「ネットワーク経由でコンピュータへアクセス」。 Asp.netを使用している場合は、Aspnetアカウントも保持する必要があります。あなたはrunasコマンドを使用して特権コマンドを実行したい場合は

7は、オペレーティングシステムのユーザーアカウントを作成します。

第三に、
ページ1
ネットワークサービスのセキュリティ管理は、Cの$、Dの$、ADMIN $のデフォルトの共有

オープンレジストリの種類を禁止プロパティ - 、右側のウィンドウでHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters、新しいDWORD値が、名前が設定されているAutoShareServer値が0

2に設定されている、

[マイネットワーク]を右クリックしを結合NetBIOSとTCP /IPプロトコルを持ち上げ - [ローカルエリア接続]を右クリック - プロパティ - ダブルクリックして、インターネットプロトコル - 高-Wins-は、TCP /IP上でNETBIOS

3を無効にする不要なサービスをオフにし、次の推奨オプション

コンピュータブラウザです。ネットワークコンピュータの更新のメンテナンス、

分散ファイルシステムを無効：

分散linktrackingクライアントを無効にすることなく、ファイルを共有するLAN管理を：LAN接続情報の更新、

を無効にする必要はありませんエラー報告サービス：

NTLMSecuritysupportprovideを無効にする必要はありません、高速ワード検索を提供するために、：：telnetサービスを禁止するエラーレポート

マイクロソフトSERCHを送信そして、マイクロソフトSERCHは

PrintSpoolerを無効にする必要はありません、使用：なしプリンタは

リモートレジストリを無効にできない場合：リモート禁止：レジストリ

リモートデスクトップヘルプセッションマネージャのリモート変更を防ぎます

第四の支援、

は、運転中に入力し、グループポリシーエディタを開いて、コンピュータの構成-Windows設定を選択gpedit.mscと入力し
適切な監査ポリシーを開く - セキュリティ設定 - 監査ポリシープロジェクトの監査を作成するあなたも少しは深刻な影響を及ぼすことを発見した場合、プロジェクトの多くが監査は、生成された多くのイベントは、そのイベントの順序は難しい、それは、当然の深刻なレビューを見つけることがある場合ことに留意すべきですイベントは、状況に応じて次の2つの間の選択をする必要があります。

は、プロジェクトを監査することをお勧めします：で
ログオンイベントの成功または失敗

アカウントログオンイベントの成功または失敗

システムイベントの成功または失敗

ポリシーの変更成功失敗

オブジェクトアクセス失敗

ディレクトリサービスのアクセスの失敗

特権使用の失敗

他の5つのセキュリティ関連の設定

ページ1、重要な書類を隠し/ディレクトリ

は完全な隠ぺいを達成するために、レジストリを変更することができます、「HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows電流VersionExplorerAdvancedFolderHi-ddenSHOWALL」右「CheckedValue」をクリックし、変更を選択し、値1は、インターネット接続ファイアウォールが付属してシステムを起動し、Webサーバの設定サービスのオプションをチェックし、0

2に変更しました。

3は、禁止に応じてSynAttackProtect値、2

4. ICMPルータ広告メッセージの値をという名前の新しいSYNフラッド攻撃のDWORD値

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

を防ぐために

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface





0

6. IGMPプロトコルにEnableICMPRedirects
値は0 IGMPLevel

の値と呼ばれる

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新しいDWORD値をサポートしていません。 7、DCOMを無効にします。

は、タイプDcomcnfg.exeを実行します。 「コンポーネントサービス」を入力の下で、「コンソールルート」をクリックします。 「コンピュータ」サブフォルダを開きます。ローカルコンピュータの

、「マイコンピュータ」を右クリックして「プロパティ」を選びます。 「既定のプロパティ」タブを選択します。

は、「このコンピュータ上で分散COMを有効にする」チェックボックスをオフにします。で
注：私はクライアントアクセスライセンスの設定を使用して3-6の項目、2003年にテストされていないが働いています。しかし、一つのことは、私はバイ・サイド他の影響は認められなかったいくつかの時間を過ごしてくださいです。