安全なパーソナルWebサーバーを作成するための10のステップ

Win2003サーバーのセキュリティは、Win2Kに比べて大幅に向上していますが、Win2003サーバーをサーバーとして使用するのは本当に安全ですか？安全なパーソナルWebサーバーを構築する方法簡単な紹介、Windows Server 2003のセキュリティ

Win2003 ServerのセキュリティはWin2Kに比べて大幅に向上していますが、Win2003 Serverをサーバーとして使用するのは本当に安全ですか？安全なパーソナルWebサーバーを作成する方法？ここでは、簡単にシステムをインストールし、1

A、WindowsのServer2003のインストール

説明2つのパーティションの最小値を必要とし、パーティションのフォーマットはNTFSフォーマットである

2ネットワークが切断されている場合は2003システムをインストールします。

3. IISをインストールし、必要なIISコンポーネントのみをインストールします（FTPなどの不要なFTPを無効にします）。そしてSMTPサービス）。デフォルトでは、IISサービスはインストールされていません。[Winの追加と削除]コンポーネントで[アプリケーションサーバー]を選択し、[詳細]をクリックし、[インターネットインフォメーションサービス（iis）]をダブルクリックして、次のオプションを確認します。

インターネット情報サービスマネージャ;

共通ファイル;

バックグラウンドインテリジェント転送サービス（BITS）サーバー拡張機能、

World Wide Webサービス。

FrontPage拡張Webサイトを使用している場合は、次のチェックボックスをオンにします。FrontPage 2002 Server Extensions

4. MSSQLおよびその他の必要なソフトウェアをインストールしてから更新します。 （マイクロソフトBaseline Security Analyzerの）ツールのMicrosoft MBSAが提供する

5は、コンピュータのセキュリティ設定を分析し、不足しているパッチやアップデートを識別します。ダウンロード：ページのリンクの最後を参照してください

第二に、設定および管理アカウント

1、システム管理者アカウントは、より多くを構築するのが最善である、デフォルトの管理者アカウント名（管理者）を変更また、説明では、パスワードは、数字と大文字と小文字、およびいくつかの上部キーの組み合わせであることが好ましく、長さが14桁以上であることが好ましい。
ログイン

2、入力の最小権限とランダム組み合わせを設定するには、管理者トラップという名前の新しいアカウントは、20ビットの符号
よりも小さくない

3. Guestアカウントを無効にして名前と説明を変更してから、複雑なパスワードを入力しますもちろん、DelGuestツールもありますが、Guestアカウントの削除にも使用できますが、試したことはありません。

4、実行にgpedit.mscと入力し、グループポリシーエディタを開き、コンピュータの設定を選択します - Windowsの設定 - セキュリティの設定 - アカウントのポリシー - アカウントのロックアウトポリシー、アカウントを "ld"に設定、3回のログインが無効'、'ロック時間は30分、'リセットロック数は30分に設定されています。

5、[セキュリティの設定] - [ローカルポリシー] - [セキュリティオプション]の[最後のユーザー名を表示しない]を有効に設定します。

6、セキュリティ設定 - ローカルポリシー - ユーザー権利の割り当ては "ネットワークからこのコンピュータにのみアクセス"し、インターネットのゲストアカウントを保持し、IISプロセスアカウントを起動するだけです。 Asp.netを使用している場合は、Aspnetアカウントも保持する必要があります。

7.ユーザーアカウントを作成してシステムを実行します特権コマンドを実行する場合は、Runasコマンドを使用します。

第三に、ネットワークサービスのセキュリティ管理

1、Cの$、Dの$、ADMIN $のデフォルトを禁止クラスのシェア

レジストリHKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ lanmanserver \\ parametersを開き、右側のウィンドウで新しいDword値を作成し、AutoShareServerの値を0に設定します。

2. NetBiosとTCP /IPプロトコルのバインドを解除します。

[ネットワークコンピュータ]を右クリック - [プロパティ] - [ローカルエリア接続]を右クリック - [プロパティ] - [インターネットプロトコル] - [詳細] - [勝利] - TCP /IPでNETBIOSを無効にする

3.不要なサービスをオフにします。以下は推奨されるオプションです。

コンピュータブラウザ：ネットワークコンピュータの更新を維持し、無効にします。

分散ファイルシステム：LAN管理共有ファイル、無効にする必要はありません。

Linktrackingクライアント：LAN更新接続情報に使用され、無効にする必要はありません。

エラー報告サービス：エラー報告の送信を禁止します。

Microsoft Serch：高速な単語検索、不要の提供無効にすることができます。

NTLMSecurit Ysupportprovide：telnetサービスとMicrosoft Serchでは、無効にする必要はありません

PrintSpooler：プリンタがない場合は無効にします。

リモートレジストリ：レジストリのリモート変更を無効にします。

リモートデスクトップヘルプセッションマネージャー：

第四に、適切な監査ポリシーを開き

、操作にgpedit.mscと入力して入力し、グループポリシーエディタを開き、選択禁止リモートアシスタンスコンピュータの構成 - Windowsの設定 - セキュリティの設定 - 監査ポリシー監査プロジェクトを作成するとき、監査するプロジェクトが多すぎると、イベントが多く生成されるほど重大なインシデントを見つけるのが難しくなります。少ないとあなたが見つけた重大な出来事にも影響を与えるでしょう、そしてあなたは状況に応じて2つの中から選択する必要があります。

確認が推奨される項目は次のとおりです。

ログインイベントは正常に失敗しました

アカウントログインイベントは正常に失敗しました

システムイベントは正常に失敗しました

ポリシーの変更成功失敗

オブジェクトへのアクセスが失敗した

ディレクトリサービスのアクセス失敗

特権使用
V.その他のセキュリティ関連の設定

1.重要なファイル/ディレクトリを隠す

レジストリを変更して、完全に隠すことができます。 "HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\現在のバージョン¥Explorer¥Advanced¥Folder¥Hi-dden¥SHOWALL'、「CheckedValue」を右クリックし、「変更」を選択し、値を1から0に変更します。

2.システム自身のインターネット接続を開始します。ファイアウォールの場合は、[サービスの設定]オプションでWebサーバーを確認してください。

3、SynAttackProtect値の名前

ます。HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Servicesの\\ TCPIP \\パラメータ

新しいDWORD値SYNフラッド攻撃を防ぐために、値2

4. ICMPルートアドバタイズメッセージへの応答を無効にします。

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters \\ Interfaces \\ interface

PerformRouterDiscoveryという新しいDWORD値を0の値で作成します。

5. ICMPリダイレクトパケットが攻撃されないようにします。

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Tcpip \\ Parameters

EnableICMPRedirects値は0

6. IGMPプロトコル
をサポートしていません

ます。HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Servicesの\\ TCPIP \\パラメータ

新規に設定されています

操作入力Dcomcnfg.exeを：DWORD値がIGMPLevel値0

7、DCOMを無効にすると呼ばれます。 <;コンソールルートノード"の下にある[コンポーネントサービス]をクリックします。 [コンピュータ]サブフォルダを開きます。

ローカルコンピュータの場合は、[マイコンピュータ]を右クリックして、[プロパティ]をクリックします。 [デフォルトのプロパティ]タブをクリックします。

このコンピュータの[分散COM]チェックボックスをオフにします。

注：3〜6項目にServer2000の設定を使用しましたが、2003年に動作するかどうかはテストしていません。しかし、確かなことが1つあります。しばらくの間それを使用しており、他の副作用の影響を見つけられませんでした。

六、設定IISサービス：

1、あなたはIISのディレクトリがシステムディスクで区切る必要があります使用している場合、既定のWebサイトを使用しないでください。

2.デフォルトでIISによって作成されたInetpubディレクトリ（システムがインストールされているディスク上）を削除します。

3、_vti_bin、IISamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADCなど、システムディスクの下の仮想ディレクトリを削除します。

4、不要なIIS拡張マッピングを削除してください。

[デフォルトのWebサイト]を右クリックし、[プロパティ] - [ホームディレクトリ] - [設定]をクリックして、アプリケーションウィンドウを開き、不要なアプリケーションマッピングを削除します。主に.shtmlの、.shtm、.STM

5、IISログのパスを変更

を右クリック'既定のWebサイト&RARR;プロパティ - ウェブサイトは - ログ記録を有効にしますプロパティをクリックします。

6. 2000を使用している場合は、iislockdownを使用してIISを保護することができます2003年に実行されているIE6.0のバージョンは不要です。

7. UrlScanの使用

UrlScanは、着信HTTPパケットを分析し、疑わしいトラフィックを拒否するISAPIフィルタです。現在のバージョンは2.5ですが、2000Serverの場合は、まずバージョン1.0または2.0をインストールする必要があります。リンクなしでページ上のアドレスをダウンロードします。

特別な要件がない場合は、UrlScanのデフォルト設定を使用できます。

ただし、サーバー上でASP.NETを実行していてそれをデバッグする場合は、％WINDIR％\\ System32 \\ Inetsrv \\ URLscanを開く必要があります。