文档介绍：服务器系统安全维护
编辑ppt
主要内容
一、Windows Server2003 IIS服务器
二、安装和配置DNS服务器
三、Windows Server2003中设置FTP服务器
四、Windows2000中设置FTP服务器SIEnableCmdDirective。它是允许或组织使用服务器端的#execcmd指示参数，应设置为0。
编辑ppt
确保IIS全局的设置安全(续)
要确保注册表内这些键值按如下设置：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\AllowGuestAccess。它是设置是否允许Guest访问Web服务器的参数，0表示禁止访问；1允许。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W3SVC\Parameters\EnableSvcLoc。它是允许或组织微软控制台（MMC）管理单元管理IIS服务器的参数，0表示禁止访问；1允许。可根据实际需要设置。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\Printers\DisableWebPrinting。它是禁止网络打印的参数，应设置为0。
编辑ppt
确保默认Web站点和管理Web站点的安全
第一次安全IID时会创建两个站点：默认Web站点和管理Web站点，它们有不少安全隐患，应该禁用。
编辑ppt
要删除以下默认Web站点的虚拟目录
Scripts
IISHelp
IISSamples
Printers
IISAdmin
IISAdmpwd
MSADC
PBServer
PBSData
RPC
CertSrv
CertControl
CertEnroll
编辑ppt
从系统文件中删除这些目录
C:\inetpub\scripts
C:\winnt\help\iishelp\iis
C:\inetpub\iissamples
C:\winnt\web\printers
C:\winnt\system32\inetsrv\iisadmin
C:\winnt\system32\inetsrv\iisadmpwd
编辑ppt
使FrontPage Server Extension无效
FPSE提供了方便的远程Web授权特性，但是它却导致了Web服务器遭受攻击面的扩大。
如果要完全删除FPSE，
首先打开“Internet服务管理器”
在每个Web站点上右键点击，选择“All Tasks”，“Remove Server Extensions”。然后删除_vti或_private目录
最后，从主Web站点属性的“ISAPI扩展”标签中删除文件。
编辑ppt
4. 确保Web站点的安全
Web站点为只读
设置WWW属性
帐户策略
在专用磁盘卷中放置内容
设置NTFS权限
设置IIS Web站点权限
配置IIS日志
打开审核策略
编辑ppt
Web站点为只读
在“管理Web站点”上单击鼠标右键，选择“新建站点”。
根据提示操作，我们自建的站点说明假设为“Web”，目录为“D:\webroot\”，只给读取权限。
编辑ppt
设置WWW属性
在“Web”的属性“主目录”中设置执行许可为“无”，“应用程序设置”、“配置”中删除不必要的IIS扩展名映射
编辑ppt
帐户策略
清理帐户
保护众所周知帐户的安全
再增加一个属于管理员组的帐号作管理和备份
创建一个帐号陷阱，就是说创建一个Administrator的本地帐号，但权限低密码强
定期修改口令
对于IIS服务器，建议不要使用帐户锁定策略
在“本地策略”的“安全选项”里，把“LanManager身份验证级别”改为“仅发送NTLM响应”，这样即使入侵者借助Sniffer得到口令的hash也很难破解
把“匿名连接的额外限制”设置为“没有显示匿名权限就无法访问”
启用“在关机时清理虚拟内存交换页面”
启用“登录屏幕上不要显示上次登录的用户名”
编辑ppt
在专用磁盘卷中放置内容
IIS会将默认Web站点的文件存储到<systemroot>\inetpub\wwwroot，其中<systemroot>是安装Windows Server2003操作系统的驱动器。
应该将构成Web站点和应用程序的所有文件和文件夹放置到IIS服务器的专用磁盘卷中。将这些文件和文件夹放置到IIS服务器的一个专用磁盘卷—不包含操作系统的磁