Windows Internet服务器安全配置

Windows 2003版本区别

1）Windows Server 2003, Standard Edition （标准版）

针对中小型企业的核心产品，他也是支持双路处理器，4GB的内存。它除了具备 Windows Server 2003 Web Edition 所有功能外，还支持像证书服务、UDDI服务、传真服务、IAS因特网验证服务、可移动存储、RIS、智能卡、终端服务、WMS和 Services for Macintosh。

支持文件和打印机共享。 提供安全的网络联接。

2）Windows Server 2003, Enterprise Edition （企业版）

这个产品被定义为新一带高端产品，它最多能够支持8路处理器，32 GB内存，和28个节点的集群。它是 Windows Server 2003 Standard Edition 的扩展版本，增加了 Metadirectory Services Support、终端服务会话目录、集群、热添加（ Hot-Add）内存和 NUMA非统一内存访问存取技术。这个版本还另外增加了一个支持64位计算的版本。

全功能的操作系统支持多达8个处理器。 提供企业级的功能例如8节点的集群，支持32GB内存。 支持英特尔 安腾Itanium 处理器。 将推出支持64位计算机的版本，可以支持8个64位处理器以及64GB的内存。

3）Windows Server 2003, Datacenter Edition （数据中心）

像以往一样，这是个一直代表 微软产品最高性能的产品，他的市场对象一直定位在最高端应用上，有着极其可靠的稳定性和扩展性能。他支持高达8-32路处理器，64GB的内存、2-8节点的集群。与 Windows Server 2003 Enterprise Edition 相比， Windows Server 2003 Datacenter Edition 增加了一套 Windows Datacenter Program 程序包。这个产品同样也为另外一个64位版本做了支持。

微软迄今为止提供的最强大、功能最为强劲的服务器操作系统。 支持32路处理器和64GB内存。 同时提供8点集群和负载均衡。 提供64位处理器平台，可支持惊人的64路处理器和512GB的内存。

4）Windows Server 2003, Web Edition （Web版）

这个版本是专门针对Web服务优化的，它支持双路处理器，2GB的内存。该产品同时支持ASP.NET、DFS分布式文件系统、EFS文件加密系统、 IIS6.0、智能镜像、ICF因特网防火墙、IPv6、Mircrosoft.Net Framework、NLB网络负载均衡、PKI、 Print Services for UNIX、RDP、远程OS安装（非RIS服务）、RSoP策略的结果集、影子拷贝恢复（Shadow Copy Restore)、VPN和WMI命令行模式等功能。Windows Server 2003 Web Edition 唯一和其他版本不同的是它仅能够在AD域中做成员服务器，而不能够做DC域控制器。

可以架构各种网页应用，XML页面服务。 IIS 6.0。 轻松迅速开发各种基于 XML以及 ASP.NET服务项目的平台。5）Windows Server 2003,64-bit Edition （64位版本）

专门针对64位处理器 安腾Itanium而开发的版本。包括两个版本：

Windows Server 2003 Enterprise Server64-bit Edition。

Windows Server 2003 Datacenter Server64-bit Edition。实践篇

下面我用的例子.将是一台标准的虚拟主机.系统:windows2003服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制A.对于我们的例子来说.需要开通以下端口外->本地 80外->本地 20外->本地 21外->本地 PASV所用到的一些端口外->本地 25外->本地 110外->本地 3389然后按照具体情况.打开SQL SERVER和MYSQL的端口外->本地 1433外->本地 3306B.接着是开放从内部往外需要开放的端口按照实际情况,如果无需邮件服务,则不要打开以下两条规则本地->外 53 TCP,UDP本地->外 25按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口本地->外 80C.除了明确允许的一律阻止.这个是安全规则的关键.外->本地 所有协议 阻止

2.用户帐号a.将administrator改名,例子中改为rootb.取消所有除管理员root外所有用户属性中的远程控制->启用远程控制 以及终端服务配置文件->允许登陆到终端服务器c.将guest改名为administrator并且修改密码d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限将所有盘符的权限,全部改为只有administrators组 全部权限system 全部权限将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限然后做如下修改C:Documents and SettingsAll Users 开放默认的读取及运行 列出文件目录 读取三个权限C:Documents and Settings 增加Users用户组的读取运行权限，避免出现LoadUserProfile失败C:Program FilesCommon Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限 可以增加ASP ASP.net的Access数据库访问权限C:Windows如下的操作可能导致采用Ghost的操作失败,系统可以Ghost成功，但在启动后会自动重启，等待解决C:WINDOWS 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限C:WINDOWSTemp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限C:WINDOWS Microsoft.NETFrameworkv1.1.4322Temporary ASP.NET Files 如果需要支持ASP.net请开发该目录的读写权限同时注意下列相关目录权限不足IIS_WPG及Service用户的权限：C:WINDOWSHelpIISHelpCommonC:WINDOWSSystem32InetsrvASP Compiled TemplatesC:WINDOWSIIS Temporary Compressed Files

现在WebShell就无法在系统目录内写入文件了.当然也可以使用更严格的权限.在WINDOWS下分别目录设置权限.可是比较复杂.效果也并不明显.