Win2003开启IIS服务需要做的一些安全设置

Win2003开启IIS服务需要做的一些安全设置
2011-01-15 16:27:36
标签：Win2003 IIS
  windows 2003 Server开启IIS服务提供网络服务之后，除了为网络用户提供应用之外，同时也使服务器暴漏在网络中，会面临大量的网络威胁，因此需要对windows 2003服务器做一些配置，保证服务器的安全。
修改Request最大值

关闭IIS admin service服务，找到Windows\System32\Inesrv目录下的Metabase.xml并打开，找到ASPMaxRequestEntityAllowed，将其修改为需要的值。默认为204800，即200K，把它修改为20480000(20M)，然后重启IIS admin service服务。


修改Buffer最大值（最大下载文件大小）

关闭IIS admin service服务，找到Windows\System32\Inesrv目录下的Metabase.xml并打开，找到AspBufferingLimit，将其修改为需要的值。默认为4M，把它修改为10240000(10M)，然后重启IIS admin service服务。


启用父路径

打开Internet 信息服务(IIS)管理器，右键“网站”，依次选中 属性->主目录->配置->选项，把“启用父路径”前面打上勾。


自定义脚本错误的错误消息

打开Internet 信息服务(IIS)管理器，右键“网站”，依次选中 属性->主目录->配置->调试，把“脚本错误的错误消息”下的“向客户端发送下列文本错误消息”前面打上勾，修改错误信息内容为自定义内容。


让IIS支持ASP

打开Internet 信息服务(IIS)管理器，打开“Web服务扩展”，选中Active Server Pages，点击“允许”。


修改日志文件目录

打开Internet 信息服务(IIS)管理器，右键“网站”→“属性”，在“网站”标签下找到“活动日志格式”下“属性”，左键点击，弹出“日志记录属性”，在“修改日志文件目录”下的文本框内输入新的默认日志目录（最好设置到非操作系统盘）。点击“高级”，在需要记录的项目前打勾，点击两次“确定”


删除不必要的IIS扩展名映射

打开Internet 信息服务(IIS)管理器，右键“网站”→“属性”，在“主目录”标签下找到“配置”，点击打开“应用程序配置”，在“应用程序扩展”下，修改扩展名的映射关系。


加速任务栏

在任务栏上右键，选择“属性”，保留“任务栏保持在其他窗口的前端”、“显示时间”，其他全部去除。


堵住资源共享隐患

右击“网上邻居”-“属性”，打开“网络连接”界面，选择活动的网卡，右击，选择“属性”，左键点击“Microsoft网络客户端”，再点击“卸载”，在弹出的对话框中“是”确认卸载。左键点击“Microsoft网络的文件和打印机共享”，再点击“卸载”，在弹出的对话框中选择“是”确认卸载。

解除Netbios和TCP/IP协议的绑定

右击“网上邻居”、“属性”，打开“网络连接”界面，选择活动的网卡，右击，选择“属性”，在弹出的“属性”框中双击“Internet（TCP/IP）协议”，点击“高级”—“WINS”，选择“禁用TCP/IP上的NETBIOS”，点击三次“确认”关闭本地连接属性。


关闭自动播放功能

点击“开始”—“运行”，输入“Gpedit.msc”，打开组策略编辑器，依次展开“计算机配置”—“管理模板”—“系统”，在右侧窗口找到“关闭自动播放”选项，双击，在打开的对话框上部选择“已启用”，在对话框下部选择“所有驱动器”，点击“确定”完成设置。


删除或者禁用非系统必要用户

除了管理员、Internet来宾帐户、启动IIS进程帐户以及ASPNET帐户外，禁用其他一切系统内存在的帐户，包括Guest、SQL DEBUG(安装了SQL SERVER后会自动添加，这里先说明一下)以及TERMINAL USER等等。


禁止默认共享

点击“开始”—“运行”，输入“Regedit”，打开注册表编辑器，打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”，在右边的窗口中新建Dword值，名称设为AutoShareServer，值设为“0”。


修改“我的文档”的位置

右键点击“我的文档”，选择“属性”，修改“目标文件夹位置”到非系统盘。


修改虚拟内存的位置或禁用虚拟内存

两者选择其一，在内存足够大的情况下可以禁用虚拟内存。如果内存不是非常大，还是修改虚拟内存到硬盘的非系统盘。一般情况下不建议禁用虚拟内存，遇到过4G的内存跑虚拟主机内存不够的情况。

修改虚拟内存的位置：右键点击“我的电脑”，选择“属性”—“高级”—“性能”—“设置”—“高级”—“虚拟内存”—“更改”，在“驱动器”选择框里面选中系统盘，选择“无分页文件”，再在非系统盘如D盘，选择“自定义大小”，输入“初始大小”和“最大值”，点击“确定”确认修改。

禁用虚拟内存：右键点击“我的电脑”，选择“属性”—“高级”—“性能”—“设置”—“高级”—“虚拟内存”—“更改”，对所

有驱动器都选择“无分页文件”，然后点击“确定”确认修改。


提高系统性能

右键点击“我的电脑”，选择“属性”—“高级”—“性能”—“设置”，选择“调整为最佳性能”；

打开“我的电脑”，选择“工具”—“文件夹选项”—“常规”，选择“使用windows传统风格的文件夹”，点击“查看”，选中“隐藏受保护的操作系统文件”、“不缓存缩略图”、“在地址栏显示完整路径”，其他选项均取消。


关闭桌面主题和屏幕保护程序

在桌面空白处右击，选择“属性”，点击“桌面”，在“背景”选择框中选择“无”；

在桌面空白处右击，选择“属性”，点击“屏幕保护程序”，在“屏幕保护程序”选择框中选择“无”；

在桌面空白处右击，选择“排列图标”，去掉“显示桌面图标”。


开启远程桌面

右键点击“我的电脑”，选择“属性”—“远程”，选中“允许用户远程连接到您的计算机”复选框。单击“选择远程用户……”，在随后出现的对话框中添加或删除允许使用远程桌面的用户，点击“确定”退出设置。


修改远程桌面的端口

远程桌面默认的3389是许多扫描工具都要扫描的，我们改个端口，减少一些不必要的威胁。

点击“开始”—“运行”，输入“Regedit”打开注册表编辑器，打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”，找到“PortNamber”，其默认值是3389，将其修改为您想要的端口比如说“8888”等任意的数字。再打开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp”，找到“PortNumber”，同样，其默认值是3389，将其修改为和上面的修改一样的端口号。退出注册表编辑器。


删除Inetpub文件夹

C盘根目录Inetput下的文件可能会造成安全问题，而且web文件不可能放系统盘，所以将Inetpub文件夹剪切到其他地方备份，以备需要用的时候用。


删除iisadmpwd目录

该文件夹内文件是用来更改密码之类的脚本，在作服务器的情况下，该文件夹不应该还存在，将其删除。注意，删除改文件夹的时候需要关闭IIS。


删除printers文件夹

该文件夹作用是Web打印，在做Web服务器的时候不需要。C:\Windows\Web\printers\


备份系统

至此重启服务器，对刚刚做好的操作系统做一个GHOST。