ネットワーク・サーバのセキュリティ設定のヒントのウェポンマスター

の高速システムの交換を、しかし、Win2003のシステムのために、まだ多くのユーザーのお気に入りがある
専門家のネットワークサーバーのセキュリティ設定のヒントの武器。だからここにあなたとネットワーク・サーバでシステムのWin2003のセキュリティ設定の下でのシェアのヒントは、ユーザーのニーズを満たすWin2003の。

システム：Windows2003の

サービス：[IIS] [SERV-U] [IMAIL] [SQL Server 2000の] [PHP] [MySQLの]

1. WINDOWSローカルセキュリティこの例のポート制限ポリシー

A.、ポート

アウター開く必要 - >ローカル80

アウター - >ローカル20

アウター - >ローカル21

アウター - >

アウターPASV
ローカルポート番号として使用される - >ローカル25

アウター - >局所110 < BR>

アウター - >局所3389

と特定の条件、及びオープンSQL ServerのMYSQLポート

アウター - >局所1433

アウター - > 3306

B.ローカルは、あなたが電子メールサービスを必要としない場合は、ポート
は

実際の状況によると、以下の2つのルールを開いていない開く必要が

ローカル
うち内側から開いています - >外53 TCP、UDP

ローカル - >外25

特定の状況によると、サーバー上のWebページにアクセスする必要がある場合は、以下のポート

ローカル開けないようにしてください - >外80

明示全てが停止することが許可されている場合を除きC.が、これは安全規則の鍵

外です - >すべてのローカル契約は防ぐ

2.ユーザーアカウント

管理者の名前が変更A. 、

Bを
ルート実施例はすべて、すべてのユーザが管理者

リモートコントロールのルート属性を除きキャンセル - >と、リモートコントロールと

ターミナルサービスの設定を有効ファイル - >ターミナルサーバーにログオンすることができ

C.ゲストは、管理者に名前を変更し、

D.は、管理者のルートに加えて、IUSERとIWAMとASPNETユーザーは、他のすべてのユーザーを無効
パスワードを変更しますなど

3.ディレクトリのパーミッション

すべての手紙の権利、すべての変更のみ

は、Administratorsグループのフルアクセス
<上のSQLのデバッグターミナルのUSERを含みますP> ystemすべての著作権

以下の修正のCドライブのすべてのサブフォルダにすべての権限を継承します>

C：\\ Program Files \\ Commonファイルオープン\\オープンデフォルトの誰もが3

を読み取るために、リストファイルディレクトリのパーミッションを読み、実行\\ WINDOWS：誰もが、デフォルトのファイルのディレクトリを読み込み、実行リストは、3つの権限

Cを読み込み、 C：\\ WINDOWS \\ Tempには、読んで実行し、ディレクトリ内のファイルを一覧表示、読み取り、書き込み権限

今ウェブシェルは、システムディレクトリにファイルを書き込むことができない、誰もが修正開きます。もちろん、あなたがより制限された権限を使用することができ、ディレクトリWINDOWSにアクセス権を設定しました。しかし、より複雑な、効果が明らかにされていません。

4. IIS

IIS 6で、アプリケーションの種類の拡張子に対応するファイルの種類が削除されたISAPI危険IDQ、スクリプトタイプのようなPRINT、

私たちは、IIS 5でのASPとASA以外のすべてのタイプを削除する必要があります。

[DenyExtensions]は、一般的に以下を添加する。CER

。CDX

。MDB

.BAT <においてURLSCAN

を搭載BR>

。CMD

。com

。HTW

。IDA

。IDQ

。HTR

。IDC

。shtm

。SHTML

。STM

。プリンタ

侵入者にダウンロードされることはありません。 MDBのデータベースは、このメソッドは、ファイルのヘッダーに特殊文字を追加していくつかの方法よりも徹底しています。

でも、ファイルのヘッダーに特殊文字を追加して、あなたはまだ

5. WEBディレクトリのパーミッション

より安全なアプローチを符号化することによって構築することができるので、各顧客のWindowsを作成することですユーザー、その後、IIS匿名ユーザーの侵入部位に応じて、ユーザーへの結合を、実行IISと彼はディレクトリを指摘し、システム管理者の権限を変更するフルアクセス

システムの完全な権利

ユーザーのみを作成した（またはIUSER）高度な選択 - >フルコントロール以外のオープン、トラバースフォルダ/実行プログラム、
のうち3

の追加の権限の所有権へのアクセスサーバー上のサイトはあまりされていない場合、およびフォーラムがあります私たちは、各フォーラムの削除のためのディレクトリをアップロードすることができ、このユーザーに対してのみ読み取りおよび書き込み権限を許可を実行フォーラムを回避するために、侵入者がアップロードされたファイルタイプ検出が実行されていない場合でも、ウェブシェルそう。

6. MS SQLクライアントアクセスライセンス

次のスクリプトを使用マスターを実行し、システムアカウントログインクエリアナライザを使用して

電子XEC sp_dropextendedprocは 'xp_cmdshellを'

電子XEC sp_dropextendedprocは'xp_dirtree'

電子XEC sp_dropextendedprocは 'xp_enumgroups'

電子XEC sp_dropextendedprocは 'xp_fixeddrives'

電子XEC sp_dropextendedprocは 'xp_loginconfig'

電子XEC sp_dropextendedprocは' xp_enumerrorlogs '

電子XEC sp_dropextendedprocは' xp_getfiledetails'

電子XEC sp_dropextendedprocは 'Sp_OACreate'

電子XEC sp_dropextendedprocは 'sp_OADestroy'

電子XEC sp_dropextendedprocは 'sp_OAGetErrorInfo' < BR>

電子XEC sp_dropextendedprocは 'sp_OAGetProperty'

電子XEC sp_dropextendedprocは 'Sp_OAMethod'

電子XEC sp_dropextendedprocは 'sp_OASetProperty'

電子XEC sp_dropextendedprocは 'sp_OAStop'

電子XEC sp_dropextendedprocは 'Xp_regaddmultistring'

電子XEC sp_dropextendedprocは「Xp_reg削除キー '

電子XEC sp_dropextendedprocは' Xp_regdeletevalue '

電子XEC sp_dropextendedprocは' Xp_regenumvalues'

電子XEC sp_dropextendedprocは 'Xp_regread'

電子XEC sp_dropextendedprocは 'Xp_regremovemultistring'

電子XEC sp_dropextendedprocは 'Xp_regwrite'

すべての危険な拡張を削除するために行くの手順sp_makewebtask

ドロップ

7.許可CMD.EXEとNET.EXEを変更特定の管理者に2つのファイルを修正する

の権限は、この場合のように、アクセスすることができ、我々は
は

cmd.e XE rootユーザーすべての権限

ら以下のように変更。ユーザー所有権が今com.exeが_com.e XEと改名提供

この防止不正アクセス

comlogプログラム例を用いてもよい
のE XEのルート、そのように、COMファイルを置き換えますすべてのコマンドライン命令を記録することができ

8.バックアップ

ntbackupのようにREG輸出

LMとして、reg.e XE重要なデータのバックアップシステムを使用して、ソフトウェアのバックアップシステムの状態を使用して\\ SOFTWARE \\ O DBCのE：\\バックアップ\\システム\\ odbc.reg /Y

MCAFEEにおけるバックアップシステムODBC

9.ウイルス対策

に、我々はまた、ルールを防止するために添加することができますE XEを作成および変更するには、Windowsディレクトリ。DLLファイル、我々はソフトウェアでWEBディレクトリにアンチウイルスプログラムを追加し、一日一回実行、およびリアルタイム監視を開きます。

10.閉じる未使用のサービス

私たちは、一般的に以下のサービス

コンピュータブラウザ

ヘルプとサポート

メッセンジャー
をシャットダウン

印刷スプーラ

リモートレジストリ

TCP /IP NetBIOSヘルパー

サーバーをドメインコントローラとして使用されていない場合、我々はまた、ワークステーション

11を無効にすることができます。サーバは/HKEY_CLASSES_ROOT

WScript.Network.1下
WScript.NetworkするFSO、コンポーネントのします。regsvr32 /uc:windows\\system32\\scrrun.dll取り消し、使用レジストリエディターを必要としない場合はキャンセル危険なコンポーネントは、

WScript.Shell

WScript.Shell.1

Shell.application

Shell.Application.1

キーまたは名前を変更
削除

文字列は、これらのキーの下にあります含まCLSID

{72C24DD5-D70A-438B-8A42-98424B88AFB8}

に/HKEY_CLASSES_ROOT /CLSIDにキー

すべての
を削除

12.監査

ローカルセキュリティポリシーの名前これらの文字列 - >ローカル戦略 - >監査ポリシー

を開き、次の

ポリシーの変更の監査成功、失敗

システムイベントの監査成功、失敗

監査アカウントログオンイベントの成功失敗

監査アカウント管理の成功、失敗

ネットワーク・サーバ・システムは、インターネットのニーズを保護するために、ネットワーク・サーバのセキュリティ設定の重要な部分です。手順は複雑であるが、これらの操作が必要ですが、無視することはできません。
zh-CN"],null,[1],zh-TW"]]]