Web Ftp Mail服务器的日常管理与维护.docx

Web Ftp Mail服务器的日常管理与维护 一、设置和管理账户  1、系统管理员账户最好少建，更改默认的管理员帐户名（Administrator）和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。  2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码。 3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，然后禁用。  4、开始-程序-管理工具-本地安全策略，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。 6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)  二、网络服务安全管理  1、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改. 2、 解除NetBios与TCP/IP协议的绑定  　　右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS  3、关闭不需要的服务，以下为建议选项  开始-所有程序-管理工具-服务 　　 Computer Browser:维护网络计算机更新，禁用  　　 Distributed File System: 局域网管理共享文件，不需要禁用  　　 Distributed linktracking client：用于局域网更新连接信息，不需要禁用  　　 Error reporting service：禁止发送错误报告  　　 Microsoft Serch：提供快速的单词搜索，不需要可禁用  　　 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用  　　 PrintSpooler：如果没有打印机可禁用  　　 Remote Registry：禁止远程修改注册表  　　 Remote Desktop Help Session Manager：禁止远程协助 　　 Messenger:信使服务(windows2000) 　　 Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉) 　　 TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持 注：新上架的服务器已经做过其他安全设置只开以下端口，需要开其他端口可以在。右击网上邻居-属性-Internet协议（TCP/IP）属性-高级-选项-TCP/IP筛选－属性-TCP端口－添加你想要开的端口. 　 　 默认开启的端口列表： 　 　FTP:20.21 　　 mail:25.110 　　 Web:80 　　 pcanywhere:5631 　　 远程桌面：3389 (3389不要关闭，否则将无法远程连接)   三、系统安全管理  　　1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。 　　2. Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。 　　3. 另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限. 　　4. net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe这些文件都设置只允许administrators.system访问.guests禁止访问  四、打开相应的审核策略  　　开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略 　　注:windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置. 　　推荐的要审核的项目是：  　　登录事件 成功 失败  　　账户登录事件 成功 失败  　　系统事件 成功 失败  　　策略更改 成功 失败  　　对象访问 失败  　　目录服务访问 失败  　　特权使用 失败  　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　  五、IIS的安装与配置  　　1.IIS6.0安装过程　　在控制面板里依次选择“添加或删除程序”的“添加/删除Windows组件”；双击“应用程序服务器”，再双击“Internet信息服务(IIS)”，选中“万维网服务”（注：此选项下还可进一步作选项筛选，请根据自己需要选用，如下图所示），点确定即安装完成。(一个方便的方法:选中ASP.NET其他的组件会自动选上)   　　2.IIS6.0的配置　　WEB服务默认随系统启动，IIS6.0最初安装完成是只支持静态内容的（即不能正常显示基于ASP的网页内容），因此首先要做的就是打开其动态内容支持功能。依次选择“开始”－“程序”－“管理工具”－“inter信息服务管理器”，在打开的IIS管理窗口左面点“web服务扩展”；将鼠标所在的项“ASP.NET v.1.1.4322”以及“Active Server Pages”项启用（点允许）即可。   　　右击网站-新建-网站.按向导操作 　　输入网站描述：这里可以随便填.一般为了方便查找.填写网站的域名 　　网站IP地址：服务器只有一个IP地址这里可以选(全部未分配),如果选了IP.在更换服务器IP时.这里的IP也要进行更换.所以为方便.这里也不选. 　　网站TCP端口(默认值:80)(T)：:默认为80.有特殊需要也可以更改为其他没有用的端口(如81).但访问时要在域名端口号::81 　　此网站的主机头（默认：无）：服务器做虚拟主机或者服务器上有多个站点时。主机头填写该站点的域名。只有一个站点可以不填（注：主机头是唯一的。不可以和其他主机头重复） 　　路径：单击浏览。找到网站程序所放的目录。 　　允许下列权限：默认权限即可。这样一个站点就初步建好了。 　　添加主机头：右击刚建的站点（）－属性－文档选项卡－添加 　　添加上默认的首页文件名：默认的首面文件通常有：index.htm.Default.htm.index.asp.Default.asp.Default.php.Default.aspx   　　网站选项卡 　　新建站点的一个基本设置在这里可能更改。   　　选择高级：可以给网站添加多个域名。 　　IP地址：默认 　　端口：80 　　主机头值：需要添加的域名(如：) 注：添加的域名不可重复。 　　更改IIS日志的路径  　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性  　　建议:IIS日志默认是放在C:\WINDOWS\system32\LogFiles下.服务器运行一段时间后.日志会特别大.造成C盘空间不足.建议把路径改在其他盘符 　　2、性能选项卡： 　　对于做虚拟主机想限制各个站点带宽的。这项很有用。 　　3、主目录选项卡：   　　本地路径-浏览：网站程序的路径。 　　配置－选项选项卡：   　　会话超时：session的存活时间 　　启用父路径：windows默认没有勾选这个选项。在asp程序中使用“../”，请请复选框选中 　　4、目录安全性选卡   　　如果你的网站访问需要用户名和密码。可以检查一下，是否启用了匿名访问，并检查一下上面的用户名：如上图就是：IUSR_EDONG-FU5JINJ65 这个用户对网站程序有没有访问的权限。 　　5、IIS设置进行备份 　　有多种方法可以用来完成此项工作。在Internet信息服务管理器控制台（IIS插件）中所设置的属性和值都被储存在Metabase.bin文件中，缺省情况下，这个文件位于“C:\winnt\system32\inetsrv”目录中。在IIS 5.0中，你可以从内置的IIS插件中来备份元数据。如果需要进行此工作，请选择桌面上的计算机图标然后单击右健。然后再选择 “备份/恢复配置”。然后你就可以选择备份现有元数据设置或者恢复以前的版本。与此相同的选项在MetaEdit 2.2中也可找到。 当你以这种方式保存了元数据时，你的备份将以.md0文件的格式储存在C:\winnt\system32\instrv\metaback文件夹中。当你执行备份时，文件将使用你所指定的名称，如Pre-Lockdown.md0。如果你使用相同的文件名创建了多个备份，他们将使用数字逐渐递增的扩展名，如Backup.md0，Backup.md1等等。 在你的元数据严重损坏的情况下，你将不能启动IIS。此时，你也不能从IIS插件或metaedit中执行恢复操作。如果真的发生了类似情况，你就可以通过从备份文件夹中选用最合适的.md0（.md1等等）元数据备份文件来替换Metabase.bin。如果你的备份文件没有错误，IIS将会立刻启动。 制作元数据的备份还有其它两个意义。你可以使用xcopy，scopy或其它复制程序来简单地复制Metabase.bin文件。你应该先停止Internet服务，以保证你的元数据是最新的并且不在使用状态中。最后，我们还提供了两个脚本--metaback.vbs和metarest.vbs--它们位于Inetpub/IISSamples/sdk/admin（如果你在IIS 5.0上安装了IIS SDK）文件夹中或在IIS Resource Kit/Utility/ADSI Admin Scripts文件夹（如果你安装了IIS 4.0 Resource Kit）中。这些.vbs脚本使用了一个ADSI命令，它是专门为创建元数据备份而提供的。 　　6、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描. 　　7、如果需要加装ＰＨＰ支持，ＰＨＰ的安装目录网站匿名用户一定要有读的权限。 　　8、为了防止跨站浏览，建议每个网站，使用不同的来宾账号进行访问。 　　设置方法： 　　A、右击我的电脑-管理-本地用户和组-右击（新建用户,如：webuser，密码为：edonguser）,设置为guests组。 　　B、为您的网站目录添加相应的权限。如您的网站目录在：D:\hosts\edong　。右击edong文件夹，找到安全选项卡，设置权限为：administrator 完全控制。System完全控制，webuser除完全控制外其他权限都给。 　　C、打开IIS管理器,右击需要设置的网站－属性－选择“目录安全性”选项卡－“身份验证和访问控制”编辑-启用匿名访问-用户名输入：webuser　密码输入：edonguser