Windows2008 Server 常規設置及基本安全策略

1、系統及程序

一、屏幕保護與電源

桌面右鍵--〉個性化--〉屏幕保護程序
屏幕保護程序 選擇無
更改電源設置 選擇高性能
選擇關閉顯示器的時間 關閉顯示器 選 從不 保存修改


二、安裝IIS

管理工具--〉服務器管理器--〉添加服務器角色--〉勾選 Web服務器（IIS）

勾選下列 角色服務
ASP
CGI（和PHP有關）
ISAPI擴展
ISAPI篩選器
在服務器端包含文件（用於支持SSI shtml）

也能夠以後添加
服務器管理器--〉角色--〉web 服務器(IIS)--〉角色服務 點擊 添加角色服務

http://qingguo408.blog.163.com/blog/static/15662855201121893825604/
如需安裝SQL2005，則下列角色服務必須勾選

1. 常見的 HTTP 功能
靜態內容  
默認文檔
目錄瀏覽
HTTP 重定向

2. 應用程序開發
ASP.Net
.NER 擴展
ISAPI 擴展
ISAPI 篩選器

3. 安全性
Windows 身份驗證

4. 管理工具 IIS6 管理兼容性
IIS 6 元數據庫兼容性
IIS 6 WMI 兼容性


設置日誌、輸出緩存的目錄


添加默認文檔
index.asp index.php Default.asp 等

啓用父路徑
ASP  啓用父路徑  False 改成 True

增長IIS對MIME文件類型的支持
MIME類型
.rmvb application/vnd.rn-realmedia
.iso  application/octet-stream
.rar  application/octet-stream
.7z   application/octet-stream
.mkv  application/octet-stream


Win2008或IIS7的文件上傳大小限制解決方案

默認狀況下，IIS7的上傳限制爲200K。當上傳文件小於30M時，能夠經過以下方法設置：
在iis7中找到asp設置，在「asp」的「限制屬性」中最後一行「最大請求主體限制」，修改該值爲你所想要的，如2G（2000000000，單位爲B）。

當上傳文件要求大於30M時，繼續以下修改：

1. 中止IIS7
2. 找到「C:\Windows\System32\inetsrv\config\schema\IIS_schema.xml」文件。
這個文件是隻讀的，即便用管理員權限也不能修改。要先修改文件的權限，而後去掉只讀屬性才能夠。

1) 右鍵文件->屬性->安全，選中目標用戶，點擊高級，修改文件全部者；
2) 肯定後點擊編輯，就能夠修改當前用戶的權限了，添加「寫入」權限。至此，權限設置OK了。
3) 將文件的只讀屬性去掉。

用記事本打開該文件，找到「」，將「30000000」修改成你想要的值（如2000000000）保存。
將「C:\Windows\System32\inetsrv\config\schema\IIS_schema.xml」文件加上只讀屬性。

啓動IIS7。本人上傳120M視頻文件經過。可是，win2008最大隻能上傳小於2G的文件。這個要注意。


三、配置php

http://www.cnblogs.com/kaite/archive/2012/03/10/2389489.html
把php安裝包解壓的一個目錄下，C:\php
拷貝一個php.ini-development副本，把它重命名爲php.ini。
配置php.ini 文件，搜索以下配置並修改相應的配置值：

extension_dir = "C:\php\ext"
; date.timezone = 改成 date.timezone = Asia/Shanghai

若是不改以上的date.timezone可能打開網頁會提示500錯誤

組件
extension=php_mbstring.dll
extension=php_gd2.dll
extension=php_MySQL.dll
extension=php_mysqli.dll phpMyAdmin使用

PHP 5.3以上版本使用fastcgi模式，配置IIS 7須要在IIS添加一個處理程序映射
處理程序映射--〉添加一個模塊處理程序：

*.php
FastCgiModule
C:\php\php-cgi.exe
PHP_vis_FastCGI

默認文檔中添加index.php 爲默認文檔

PHP目錄 Users 讀取運行權限

php測試
<?php
  phpinfo();
?>

新版本的Windows版本PHP，在出現錯誤時，會將詳細的錯誤信息自動存儲到Windows系統的TEMP臨時目錄，文件名爲：php-errors.log。在Windows2003系統中路徑通常是：C:\WINDOWS\Temp\php-errors.log。用記事本打開這個文件，就能夠看到詳細的php錯誤記錄了。

HTTP 錯誤 500.0 – Internal Server Error
發生未知 FastCGI 錯誤

發生此錯誤的關鍵緣由在於沒有安裝VC9運行庫 即VISUAL C++ 2008 (installer自動帶上了Visual C++ 2008)

Microsoft Visual C++ 2008 Redistributable Package (x86)下載地址：
http://www.microsoft.com/downloads/details.aspx?FamilyID=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF&displaylang=zh-cn
Microsoft Visual C++ 2008 Redistributable Package (x64)下載地址：
http://www.microsoft.com/downloads/zh-cn/resultsForProduct.aspx?displaylang=zh&ProductID=23947d52-b2bc-4e88-8c51-e81dc2905b0d

若是安裝VC9運行庫仍出現上面錯誤，多數是由於php安裝目錄沒有給IIS_IUSRS用戶讀取和執行權限形成的。


四、Mysql 5安裝
http://faq.comsenz.com/usersguide/discuz


2、系統安全配置

一、目錄權限

除系統所在分區以外的全部分區都賦予Administrators和SYSTEM有徹底控制權，以後再對其下的子目錄做單獨的目錄權限



二、遠程鏈接
個人電腦屬性--〉遠程設置--〉遠程--〉只容許運行帶網絡超級身份驗證的遠程桌面的計算機鏈接

選擇容許運行任意版本遠程桌面的計算機鏈接(較不安全)。備註：方便多種版本Windows遠程管理服務器。


http://apps.hi.baidu.com/share/detail/16610280

windows server 2008的遠程桌面鏈接，與2003相比，引入了網絡級身份驗證（NLA，network level authentication)，XP SP3不支持這種網絡級的身份驗證，vista跟win7支持。

然而在XP系統中修改一下注冊表，便可讓XP SP3支持網絡級身份驗證。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

在右窗口中雙擊Security Pakeages，添加一項「tspkg」。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

在右窗口中雙擊SecurityProviders，添加credssp.dll；請注意，在添加這項值時，必定要在原有的值後添加逗號後，別忘了要空一格（英文狀態）。

而後將XP系統重啓一下便可。再查看一下，便可發現XP系統已經支持網絡級身份驗證


三、修改遠程訪問服務端口

更改遠程鏈接端口方法，可用windows自帶的計算器將10進制轉爲16進制。更改3389端口爲8208，重啓生效！

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0002010

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002010


1.在開始--運行菜單裏,輸入regedit,進入註冊表編輯,按下面的路徑進入修改端口的地方
2.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3.找到右側的 "PortNumber"，用十進制方式顯示，默認爲3389，改成(例如)6666端口
4.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
5.找到右側的 "PortNumber"，用十進制方式顯示，默認爲3389，改成同上的端口
6.在控制面板--Windows 防火牆--高級設置--入站規則--新建規則
7.選擇端口--協議和端口--TCP/特定本地端口：同上的端口
8.下一步，選擇容許鏈接
9.下一步，選擇公用
10.下一步，名稱：遠程桌面-新(TCP-In)，描述：用於遠程桌面服務的入站規則，以容許RDP通訊。[TCP 同上的端口]
11.刪除遠程桌面(TCP-In)規則
12.從新啓動計算機


四、配置本地鏈接

網絡--〉屬性--〉管理網絡鏈接--〉本地鏈接

打開「本地鏈接」界面，選擇「屬性」，左鍵點擊「Microsoft網絡客戶端」，再點擊「卸載」，在彈出的對話框中「是」確認卸載。點擊「Microsoft網絡的文件和打印機共享」，再點擊「卸載」，在彈出的對話框中選擇「是」確認卸載。


解除Netbios和TCP/IP協議的綁定 139端口

打開「本地鏈接」界面，選擇「屬性」，在彈出的「屬性」框中雙擊「Internet協議版本（TCP/IPV4）」，點擊「屬性」，再點擊「高級」—「WINS」，選擇「禁用TCP/IP上的NETBIOS」，點擊「確認」並關閉本地鏈接屬性。


禁止默認共享
點擊「開始」—「運行」，輸入「Regedit」，打開註冊表編輯器，打開註冊表項「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters」，在右邊的窗口中新建Dword值，名稱設爲AutoShareServer，值設爲「0」。


關閉 445端口

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

新建 Dword（32位）名稱設爲SMBDeviceEnabled 值設爲「0」


五、共享和發現

右鍵「網絡」 屬性 網絡和共享中心  共享和發現

關閉
網絡共享
文件共享
公用文件共享
打印機共享

顯示我正在共享的全部文件和文件夾
顯示這臺計算機上全部共享的網絡文件夾


六、用防火牆限制Ping
網上本身查吧，ping仍是常常須要用到的


七、防火牆的設置
控制面板→Windows防火牆設置→更改設置→例外，勾選FTP、HTTP、遠程桌面服務 核心網絡
HTTPS用不到能夠不勾
3306：Mysql
1433：Mssql


八、禁用不須要的和危險的服務，如下列出服務都須要禁用。

控制面板 管理工具 服務

Distributed linktracking client   用於局域網更新鏈接信息
PrintSpooler  打印服務
Remote Registry  遠程修改註冊表
Server 計算機經過網絡的文件、打印、和命名管道共享
TCP/IP NetBIOS Helper  提供 TCP/IP (NetBT) 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持

Workstation   泄漏系統用戶名列表 與Terminal Services Configuration 關聯

Computer Browser 維護網絡計算機更新 默認已經禁用
Net Logon   域控制器通道管理 默認已經手動
Remote Procedure Call (RPC) Locator   RpcNs*遠程過程調用 (RPC) 默認已經手動

刪除服務
sc delete MySql


九、安全設置-->本地策略-->安全選項

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-->Windows設置-->安全設置-->本地策略-->安全選項


交互式登錄：不顯示最後的用戶名　　　　　　　啓用
網絡訪問：不容許SAM賬戶的匿名枚舉　　 　　  啓用 已經啓用
網絡訪問：不容許SAM賬戶和共享的匿名枚舉　　 啓用
網絡訪問：不容許儲存網絡身份驗證的憑據　　　啓用
網絡訪問：可匿名訪問的共享　　　　　　　　　內容所有刪除
網絡訪問：可匿名訪問的命名管道　　　　　　　內容所有刪除
網絡訪問：可遠程訪問的註冊表路徑　　　　　　內容所有刪除
網絡訪問：可遠程訪問的註冊表路徑和子路徑　　內容所有刪除
賬戶：重命名來賓賬戶　　　　　　　　　　　　這裏能夠更改guest賬號
賬戶：重命名系統管理員賬戶　　　　　　　　　這裏能夠更改Administrator賬號


十、安全設置-->帳戶策略-->帳戶鎖定策略
在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-->Windows設置-->安全設置-->帳戶策略-->帳戶鎖定策略，將帳戶鎖定閾值設爲「三次登錄無效」，「鎖定時間爲30分鐘」，「復位鎖定計數設爲30分鐘」。


十一、本地安全設置
選擇計算機配置-->Windows設置-->安全設置-->本地策略-->用戶權限分配
關閉系統：只有Administrators組、其它所有刪除。
經過終端服務拒絕登錄：加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger  
經過終端服務容許登錄：加入Administrators、Remote Desktop Users組，其餘所有刪除


十二、更改Administrator，guest帳戶，新建一無任何權限的假Administrator帳戶
管理工具→計算機管理→系統工具→本地用戶和組→用戶
新建一個Administrator賬戶做爲陷阱賬戶，設置超長密碼，並去掉全部用戶組
更改描述：管理計算機(域)的內置賬戶


1三、密碼策略
選擇計算機配置-->Windows設置-->安全設置-->密碼策略
啓動 密碼必須符合複雜性要求
最短密碼長度

1四、禁用DCOM （"衝擊波"病毒 RPC/DCOM 漏洞）
運行Dcomcnfg.exe。控制檯根節點→組件服務→計算機→右鍵單擊「個人電腦」→屬性」→默認屬性」選項卡→清除「在這臺計算機上啓用分佈式 COM」複選框。


1五、ASP漏洞

主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。

regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll

刪除可能權限不夠
del C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\system32\shell32.dll

若是確實要使用，或者也能夠給它們改個名字。

　　WScript.Shell能夠調用系統內核運行DOS基本命令
　　能夠經過修改註冊表，將此組件更名，來防止此類木馬的危害。
　　HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
　　更名爲其它的名字，如：改成WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
　　本身之後調用的時候使用這個就能夠正常調用此組件了
　　也要將clsid值也改一下
　　HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值
　　HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值
　　也能夠將其刪除，來防止此類木馬的危害。

　　Shell.Application能夠調用系統內核運行DOS基本命令
　　能夠經過修改註冊表，將此組件更名，來防止此類木馬的危害。
　　HKEY_CLASSES_ROOT\Shell.Application\
　　及
　　HKEY_CLASSES_ROOT\Shell.Application.1\
　　更名爲其它的名字，如：改成Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
　　本身之後調用的時候使用這個就能夠正常調用此組件了
　　也要將clsid值也改一下
　　HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
　　HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
　　也能夠將其刪除，來防止此類木馬的危害。

　　禁止Guest用戶使用shell32.dll來防止調用此組件。

　　2000使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests
　　2003使用命令：cacls C:\WINDOWS\system32\shell32.dll /e /d guests

禁止使用FileSystemObject組件，FSO是使用率很是高的組件，要當心肯定是否卸載。更名後調用就要改程序了，Set FSO = Server.CreateObject("Scripting.FileSystemObject")。

　　FileSystemObject能夠對文件進行常規操做,能夠經過修改註冊表，將此組件更名，來防止此類木馬的危害。
　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
　　更名爲其它的名字，如：改成 FileSystemObject_ChangeName
　　本身之後調用的時候使用這個就能夠正常調用此組件了
　　也要將clsid值也改一下
　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
　　也能夠將其刪除，來防止此類木馬的危害。

　　2000註銷此組件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
　　2003註銷此組件命令：RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

　　如何禁止Guest用戶使用scrrun.dll來防止調用此組件？
　　使用這個命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests


1五、打開UAC

控制面板 用戶帳戶 打開或關閉用戶帳戶控制


1六、程序權限

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"

或徹底禁止上述命令的執行
gpedit.msc-〉用戶配置-〉管理模板-〉系統
啓用 阻止訪問命令提示符 同時 也停用命令提示符腳本處理
啓用 阻止訪問註冊表編輯工具
啓用 不要運行指定的windows應用程序，添加下面的
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

1七、Serv-u安全問題

安裝程序儘可能採用最新版本，避免採用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個複雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口範圍（4001—4003）在本地服務器中設置中作好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截「FTP bounce」攻擊和FXP，對於在30秒內鏈接超過3次的用戶攔截10分鐘。域中的設置爲：要求複雜密碼，目錄只使用小寫字母，高級中設置取消容許使用MDTM命令更改文件的日期。

更改serv-u的啓動用戶：在系統中新建一個用戶，設置一個複雜點的密碼，不屬於任何組。將servu的安裝目錄給予該用戶徹底控制權限。創建一個FTP根目錄，須要給予這個用戶該目錄徹底控制權限，由於全部的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，不然沒法操做文件。另外須要給該目錄以上的上級目錄給該用戶的讀取權限，不然會在鏈接的時候出現530 Not logged in, home directory does not exist。好比在測試的時候ftp根目錄爲d:soft，必須給d盤該用戶的讀取權限，爲了安全取消d盤其餘文件夾的繼承權限。而通常的使用默認的system啓動就沒有這些問題，由於system通常都擁有這些權限的。

若是FTP不是必須天天都用，不如就關了吧，要用再打開。