Win2003开启IIS服务需要做的一些安全设置
2011-01-15 16:27:36
标签:Win2003 IIS
windows 2003 Server开启IIS服务提供网络服务之后,除了为网络用户提供应用之外,同时也使服务器暴漏在网络中,会面临大量的网络威胁,因此需要对windows 2003服务器做一些配置,保证服务器的安全。
修改Request最大值
关闭IIS admin service服务,找到Windows\System32\Inesrv目录下的Metabase.xml并打开,找到ASPMaxRequestEntityAllowed,将其修改为需要的值。默认为204800,即200K,把它修改为20480000(20M),然后重启IIS admin service服务。
修改Buffer最大值(最大下载文件大小)
关闭IIS admin service服务,找到Windows\System32\Inesrv目录下的Metabase.xml并打开,找到AspBufferingLimit,将其修改为需要的值。默认为4M,把它修改为10240000(10M),然后重启IIS admin service服务。
启用父路径
打开Internet 信息服务(IIS)管理器,右键“网站”,依次选中 属性->主目录->配置->选项,把“启用父路径”前面打上勾。
自定义脚本错误的错误消息
打开Internet 信息服务(IIS)管理器,右键“网站”,依次选中 属性->主目录->配置->调试,把“脚本错误的错误消息”下的“向客户端发送下列文本错误消息”前面打上勾,修改错误信息内容为自定义内容。
让IIS支持ASP
打开Internet 信息服务(IIS)管理器,打开“Web服务扩展”,选中Active Server Pages,点击“允许”。
修改日志文件目录
打开Internet 信息服务(IIS)管理器,右键“网站”→“属性”,在“网站”标签下找到“活动日志格式”下“属性”,左键点击,弹出“日志记录属性”,在“修改日志文件目录”下的文本框内输入新的默认日志目录(最好设置到非操作系统盘)。点击“高级”,在需要记录的项目前打勾,点击两次“确定”
删除不必要的IIS扩展名映射
打开Internet 信息服务(IIS)管理器,右键“网站”→“属性”,在“主目录”标签下找到“配置”,点击打开“应用程序配置”,在“应用程序扩展”下,修改扩展名的映射关系。
加速任务栏
在任务栏上右键,选择“属性”,保留“任务栏保持在其他窗口的前端”、“显示时间”,其他全部去除。
堵住资源共享隐患
右击“网上邻居”-“属性”,打开“网络连接”界面,选择活动的网卡,右击,选择“属性”,左键点击“Microsoft网络客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。左键点击“Microsoft网络的文件和打印机共享”,再点击“卸载”,在弹出的对话框中选择“是”确认卸载。
解除Netbios和TCP/IP协议的绑定
右击“网上邻居”、“属性”,打开“网络连接”界面,选择活动的网卡,右击,选择“属性”,在弹出的“属性”框中双击“Internet(TCP/IP)协议”,点击“高级”—“WINS”,选择“禁用TCP/IP上的NETBIOS”,点击三次“确认”关闭本地连接属性。
关闭自动播放功能
点击“开始”—“运行”,输入“Gpedit.msc”,打开组策略编辑器,依次展开“计算机配置”—“管理模板”—“系统”,在右侧窗口找到“关闭自动播放”选项,双击,在打开的对话框上部选择“已启用”,在对话框下部选择“所有驱动器”,点击“确定”完成设置。
删除或者禁用非系统必要用户
除了管理员、Internet来宾帐户、启动IIS进程帐户以及ASPNET帐户外,禁用其他一切系统内存在的帐户,包括Guest、SQL DEBUG(安装了SQL SERVER后会自动添加,这里先说明一下)以及TERMINAL USER等等。
禁止默认共享
点击“开始”—“运行”,输入“Regedit”,打开注册表编辑器,打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”,在右边的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。
修改“我的文档”的位置
右键点击“我的文档”,选择“属性”,修改“目标文件夹位置”到非系统盘。
修改虚拟内存的位置或禁用虚拟内存
两者选择其一,在内存足够大的情况下可以禁用虚拟内存。如果内存不是非常大,还是修改虚拟内存到硬盘的非系统盘。一般情况下不建议禁用虚拟内存,遇到过4G的内存跑虚拟主机内存不够的情况。
修改虚拟内存的位置:右键点击“我的电脑”,选择“属性”—“高级”—“性能”—“设置”—“高级”—“虚拟内存”—“更改”,在“驱动器”选择框里面选中系统盘,选择“无分页文件”,再在非系统盘如D盘,选择“自定义大小”,输入“初始大小”和“最大值”,点击“确定”确认修改。
禁用虚拟内存:右键点击“我的电脑”,选择“属性”—“高级”—“性能”—“设置”—“高级”—“虚拟内存”—“更改”,对所
有驱动器都选择“无分页文件”,然后点击“确定”确认修改。
提高系统性能
右键点击“我的电脑”,选择“属性”—“高级”—“性能”—“设置”,选择“调整为最佳性能”;
打开“我的电脑”,选择“工具”—“文件夹选项”—“常规”,选择“使用windows传统风格的文件夹”,点击“查看”,选中“隐藏受保护的操作系统文件”、“不缓存缩略图”、“在地址栏显示完整路径”,其他选项均取消。
关闭桌面主题和屏幕保护程序
在桌面空白处右击,选择“属性”,点击“桌面”,在“背景”选择框中选择“无”;
在桌面空白处右击,选择“属性”,点击“屏幕保护程序”,在“屏幕保护程序”选择框中选择“无”;
在桌面空白处右击,选择“排列图标”,去掉“显示桌面图标”。
开启远程桌面
右键点击“我的电脑”,选择“属性”—“远程”,选中“允许用户远程连接到您的计算机”复选框。单击“选择远程用户……”,在随后出现的对话框中添加或删除允许使用远程桌面的用户,点击“确定”退出设置。
修改远程桌面的端口
远程桌面默认的3389是许多扫描工具都要扫描的,我们改个端口,减少一些不必要的威胁。
点击“开始”—“运行”,输入“Regedit”打开注册表编辑器,打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”,找到“PortNamber”,其默认值是3389,将其修改为您想要的端口比如说“8888”等任意的数字。再打开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp”,找到“PortNumber”,同样,其默认值是3389,将其修改为和上面的修改一样的端口号。退出注册表编辑器。
删除Inetpub文件夹
C盘根目录Inetput下的文件可能会造成安全问题,而且web文件不可能放系统盘,所以将Inetpub文件夹剪切到其他地方备份,以备需要用的时候用。
删除iisadmpwd目录
该文件夹内文件是用来更改密码之类的脚本,在作服务器的情况下,该文件夹不应该还存在,将其删除。注意,删除改文件夹的时候需要关闭IIS。
删除printers文件夹
该文件夹作用是Web打印,在做Web服务器的时候不需要。C:\Windows\Web\printers\
备份系统
至此重启服务器,对刚刚做好的操作系统做一个GHOST。
分享到:
相关推荐
提起微软公司IIS web服务器的安全问题,很多人立刻就会联想到那些为人们所称颂的致命漏洞: UNICODE , CGI 解析, .ida,idq, .Printer远程... win2003 IIS安全设置远程确定目录权限 让我们打开一个IIS服务器来看
IIS的相关设置: 删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有...
一 开启系统自带的防火墙 别忘了在例外里:勾上远程桌面,这是远程管理的端口,要不就远程连不上了,再添加80端口,这是iis默认端口,用户访问用的。再点确定。 二 iis设置,选中“网站”(是指就叫网站那个默认...
现在到处是劫持网址加广告的,这样通过https访问,就不用担心了,比较适合对安全级别要求高的网站,当然老站更需要开启https了。 无废话图文教程,教你一步一步搭建CA服务器,以及让IIS启用HTTPS服务。 一、架设证书...
运行环境:Win2003 IIS6.0/Win2008 IIS7.0/Win2012 IIS8.0(需开启IIS6.0兼容模块) 网站安全狗核心功能 网马木马主动防御及查杀 网页木马和网页挂马扫描工具采用特征码 启发式引擎的查杀算法,WEB木马检出率大于...
第一步:下载这个软件就可以了 星外PHP5.2.17自动配置安装包 快捷配置iis php运行环境,这个是星外发布的对于没有对iis配置过php环境的朋友使用,这个版本是安装在c盘的,使用液不会受到影响,默认开启了很多扩展,...
8、IIS服务配置安全 8.1、是否使用默认WEB站点,如果使用是否将它与系统盘分开存放。 8.2、是否删除了IIS默认的Inetpub目录,此目录一般在系统盘下。 8.3、是否删除了系统盘下的虚拟目录,如:_vti_bin、IISSamples...
1.打开IIS管理器,找到需要配置SSL证书的站点,右键属性。 2.选择“目录安全性”,在“安全通信”区域点击“编辑”。 3.勾选“要求安全通道(SSl)”,确定完成。 4.修改IIS403文件。 路径:C:\WINDOWS\Help\...
数据库在data/文件夹里,安全起见,请修改数据库名字。 打开Conn.asp,里面有相应说明 打开admin/Conn.asp,里面有相应说明 ...服务器要求:WIN2000或WIN2003+IIS5.0或IIS6.0或更新版本+IE5.0或IE6.0或更新版本
为了安全起见,第一次使用本系统请修改数据库连接,用记事本或DW打开Conn.asp文件修改, 里面有说明。然后到Data目录下修改数据库名为你刚才修改的。 系统主要功能: 1、用户管理 2、组权限管理 3、文件上传共享 4...
《Windows Server 2003系统安全管理》以Windows Server 2003操作系统为背景,详细地阐述了Windows Server 2003系统本身,以及基于该系统应用的安全设置,并给出了相应的完全解决方案,从而最大限度地确保系统能够...
数据库在data/文件夹里,安全起见,请修改数据库名字...服务器要求:WIN2000或WIN2003 IIS5.0或IIS6.0或更新版本 IE5.0或IE6.0或更新版本 删除上传图片和开启缩略图功能,服务器必须需要支持FSO功能和ASPJPEG组件。
数据库在data/文件夹里,安全起见,请修改数据库名字...服务器要求:WIN2000或WIN2003 IIS5.0或IIS6.0或更新版本 IE5.0或IE6.0或更新版本 删除上传图片和开启缩略图功能,服务器必须需要支持FSO功能和ASPJPEG组件。
windows server 2008 r2的IIS7或者iis7.5还是和之前的win2000、winxp、win2003系统的IIS版本相比,在界面上和功能上都有很大的变化,首先是功能增加了,安全性增强了,但配置操作的也比较以前的老版本复杂多了。...
第一种方法:通过iis中的ip地址和域名限制在需要设置的网站上 》 右键属性 》 目录安全性 ip地址和域名限制授权访问与拒绝访问说明如果是授权访问,下面填写的就是拒绝访问的ip如果是拒绝访问 下面填写的就是可以...
11239 网吧维护\资料\FW\WIN2000SERVER安全设置的一些小技巧.TXT 0 网吧维护\资料\FW\WWW.TXT 6103 网吧维护\资料\FW\修改注册表提高WIN2000抗拒绝服务攻击能力.TXT 10904 网吧维护\资料\FW\安全正确的配置WIN2000+...
动进行相关设置,将Apache和MySQL安装为系统服务并启动。APMServ集合了Apache稳定安全的 优点,并拥有跟IIS一样便捷的图形管理界面,同时支持MySQL 5.0 & 4.0两个版本,虚拟主机、 虚拟目录、端口更改、SMTP、上传...
删除上传图片和开启缩略图功能,服务器必须需要支持FSO功能和ASPJPEG组件。 推荐:WIN2003+IIS6.0+IE6.0+SQL2000 若您发现风铃校友录的任何BUG或有任何意见和建议,欢迎你到论坛或直接告诉我们。 联系QQ:181046951 ...
第1步,在开始菜单中依次单击“管理工具”→“Internet信息服务(IIS)管理器”菜单项,打开“Internet 信息服务(IIS)管理器”窗口。在左窗格中依次展开服务器→“网站”目录,右键单击Web站点名称(如jinshouzhi....