安全なパーソナルWebサーバーを作成するための10のステップ

Win2003サーバーのセキュリティは、Win2Kに比べて大幅に向上していますが、サーバーとしてWin2003サーバーを使用するのは本当に安全ですか。安全なパーソナルWebサーバーを構築する方法ここでは簡単に紹介します。

まず、Windows Server 2003のインストール

1、インストールシステムには少なくとも2つのパーティションが必要です。パーティションフォーマットはNTFSフォーマットです。

2、切断でネットワークの状況2003システムをインストールしました

3、IISをインストールし、必要なIISコンポーネントのみをインストールします（FTPやSMTPサービスなどの不要な無効化）。既定では、IISサービスはインストールされていませんので、[Winの追加と削除]コンポーネントで[Application Server]を選択し、[詳細]をクリックし、[インターネットインフォメーションサービス（iis）]をダブルクリックして、次のオプションを確認します。情報サービスマネージャ;

パブリックファイル;

バックグラウンドインテリジェント転送サービス（BITS）サーバーエクステンション;

ワールドワイドウェブサービス。

FrontPage拡張Webサイトを使用している場合は、次のチェックボックスをオンにします。FrontPage 2002 Server Extensions

4. MSSQLとその他の必要なソフトウェアをインストールしてから更新します。

5.マイクロソフトが提供するMBSA（マイクロソフトベースラインセキュリティアナライザー）ツールを使用して、コンピューターのセキュリティ構成を分析し、不足しているパッチやアップデートを特定します。ダウンロードアドレス：ページの末尾にあるリンクを参照してください。

次に、アカウントを設定して管理します。

1、システム管理者アカウントの作成を減らし、デフォルトの管理者アカウント名（Administrator）と説明を変更します。パスワードは、数字と大文字と小文字、およびいくつかの大文字のキーの組み合わせであることが好ましく、長さが14桁以上であることが好ましい。

2. Administratorという名前の新しいトラップアカウントを作成し、それに対する最小のアクセス許可を設定してから、20桁以上の最適なパスワードの組み合わせを入力します。

3. Guestアカウントを無効にします。そして名前と説明を変更し、そして複雑なパスワードを入力する、もちろん、今DelGuestツールがあります、あなたはGuestアカウントを削除するためにそれを使用することもできますが、私は試していません。

4.実行にgpedit.mscと入力し、Enterキーを押してグループポリシーエディタを開き、[コンピュータの構成] - [Windowsの設定] - [セキュリティの設定] - [アカウントのポリシー] - [アカウントのロックアウトポリシー]を選択し、アカウントを「3ログイン無効」に設定します。 、 "ロック時間は30分です"、 "リセットロック数は30分に設定されています"

5. [セキュリティの設定 - ローカルポリシー - セキュリティ]オプションで、[最後のユーザー名を表示しない]を設定して有効にします。

6.セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て「ネットワークからこのコンピュータへのインターネットアクセス」のみがインターネットゲストアカウントを維持し、IISプロセスアカウントを開始します。 Asp.netを使用している場合は、Aspnetアカウントも保持する必要があります。

7.ユーザーアカウントを作成してシステムを実行します特権コマンドを実行する場合は、Runasコマンドを使用します。

III。ネットワークサービスセキュリティ管理

1. C \\ $、D \\ $、ADMIN \\ $などの既定の共有を無効にします。

レジストリを開く、HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ lanmanserver \\ parametersをクリックし、右側のウィンドウで新しいDword値を作成し、名前をAutoShareServerに設定します。値を0に設定します。

2. TCP /IPプロトコルからNetBiosをバインド解除します。 > [ネットワークコンピュータ] - [プロパティ] - [ローカルエリア接続] - [プロパティ] - [インターネットプロトコル] - [詳細] - [勝利] - [TCP /IPでNETBIOSを無効にする]の順にクリックします。 >

コンピュータブラウザ：ネットワークコンピュータの更新を維持し、無効にする

分散ファイルシステム：LAN管理共有ファイル、無効にする必要がない

分散リンクトラッキングクライアント：LAN更新接続情報に使用、不要

エラーレポートサービスを無効にする：エラーレポートの送信を無効にする

Microsoft Serch：高速の単語検索を提供します。無効にする必要はありません。

NTLMSセキュリティサポートプログラム：telnetサービスとMicrosoft Serch

PrintSpooler：プリンタがない場合は無効にします。

リモートレジストリ：レジストリのリモート変更を禁止します。

リモートデスクトップヘルプセッションマネージャ：リモートアシスタントを無効にします。

4番目に、対応する監査ポリシーを開きます。

実行にgpedit.mscと入力し、Enterを押してグループポリシーエディタを開き、[コンピューターの構成] - [Windowsの設定] - [セキュリティの設定] - [監査ポリシー]を選択します。監査するプロジェクトが多すぎてイベントが多く生成される場合は、重大なインシデントを発見することが難しくなります。から選択してください。
確認が推奨される項目は次のとおりです。

ログインイベントは正常に失敗しました

アカウントログインイベントは正常に失敗しました

システムイベントは正常に失敗しました

ポリシーの変更成功失敗

オブジェクトアクセス失敗

ディレクトリサービスアクセス失敗

特権使用失敗

V.その他のセキュリティ関連設定

重要なファイルやディレクトリを隠す

「HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ Current Explorer \\ Advanced \\ Folder \\ Hi-dden \\ SHOWALL」を完全に隠すようにレジストリを変更できます。「CheckedValue」を右クリックします。 "、[変更]を選択し、値を1から0に変更します。

2.システム独自のインターネット接続ファイアウォールを起動し、設定サービスオプションでWebサーバーを確認します。

3、SYNフラッド攻撃を防止します。

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

SynAttackProtectという名前の新しいDWORD値、値2

4. ICMPルートアドバタイズメントメッセージへの応答を無効にします。HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters \\ Interfaces \\ interface

PerformRouterDiscoveryという新しいDWORD値を0の値で作成します。 > 5. ICMPリダイレクトパケット攻撃の防止

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

EnableICMPRedirectsの値を0に設定します。

6.未サポートIGMPプロトコル

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

新しいDWORD値、名前付きIGMPLevel値0

7. DCOMを無効にします。

Dcomcnfg.exeと入力し、[コンソールルート]の下の[コンポーネントサービス]をクリックし、[コンピュータ]サブフォルダを開きます。

ローカルコンピュータの場合は、[マイコンピュータ]を右クリックして[プロパティ]を選択し、[デフォルトのプロパティ]タブをクリックします。

[このコンピュータで分散COMを有効にする]チェックボックスをオフにします。

注：Server2000の設定は3〜6項目ですが、2003年に動作するかどうかはテストしていません。しかし、確かなことが1つあります。しばらくの間それを使用しており、他の副作用の影響を見つけられませんでした。