文档介绍：Window2003服务器安全配置方案江西省信息中心李新华前言:安全是相对的,安全防护不是追求一个永远也攻不破的安全技术,安全体系应能够保证在入侵发生,系统部分损失等较大风险产生时,关键任务不能中断,保持网络的生存能力。安全防护是有时效性的,今天的安全明天就不一定很安全,因为网络的攻防是此消彼长,道高一尺,魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断的检查、评估和调整相应的策略。目录:第一节安装Windows2003Server第二节安装和配置IIS第三节FTP服务器架设第四节win2003系统安全设置第五节IIS安全设置第六节设置安全的虚拟主机访问权限第一节安装Windows2003Server一、注意授权模式的选择(每服务器,每客户):建议选择“每服务器”模式,用户可以将许可证模式从“每服务器”转换为“每客户”,但是不能从“每客户”转换为“每服务器”模式。,以后可以免费转换为“每客户”模式。所谓许可证(CAL)就是为需要访问WindowsServer2003的用户所购买的授权。有两种授权模式:每服务器和每客户。每服务器:该许可证是为每一台服务器购买的许可证,许可证的数量由“同时”连接到服务器的用户的最大数量来决定。每服务器的许可证模式适合用于网络中拥有很多客户端,但在同一时间“同时”访问服务器的客户端数量不多时采用。并且每服务器的许可证模式也适用于网络中服务器的数量不多时采用。每客户:该许可证模式是为网络中每一个客户端购买一个许可证,这样网络中的客户端就可以合法地访问网络中的任何一台服务器,而不需要考虑“同时”有多少客户端访问服务器。该许可证模式适用于企业中有多台服务器,并且客户端“同时”访问服务器的情况较多时采用。微软在许可数上只是给了你一个法律上的限制,而不是技术上的。所以假如你希望服务器有更多的并发连接,只要把每服务器模式的数量改的大一些即可。这个数量会限制到windows中所有的网络应用,包括数据库。二、安装时候使用NTFS分区格式,设定好NTFS磁盘权限。C盘赋给administrators和system用户组权限,删除其他用户组,其它盘也可以同样设置。注意网站最好不要放置在C盘。Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。另外,还将c:\windows\.exe,,,,,,,这些文件都设置只允许administrators访问。另外在c:/DocumentsandSettings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在AllUsers/ApplicationData目录默认everyone用户有权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等方法,在用做web/ftp服务器的系统里,建议是将这些目录都设置的限定好权限。三、禁止不必要的服务和增强网络连接安全性把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,